热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

前端跨域访问后端数据的方法

参考链接:https:mp.weixin.qq.coms4G_27oRLSMMYBFvtYZgqcg一、什么是跨域当两个域名的协议、子域名、主域名、端口号中有任意一个不

参考链接:https://mp.weixin.qq.com/s/4G_27oRLSMMYBFvtYZgqcg

一、什么是跨域

当两个域名的协议、子域名、主域名、端口号中有任意一个不相同的时候,两者之间的请求便存在跨域。

1、什么是同源策略及其限制内容

  同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。如果缺少了同源策略,浏览器很容易遭受XSS、CSRF等攻击。所谓同源是指\'协议+域名(子域名、主域名)+端口号\'三者相同,即便两个不同域名指向同一个IP,也不属于同源。

2、常见的跨域场景

 

 

 特别说明:

  HTML标签中img、link、script的这三个标签允许跨域加载资源

注:

1.请求跨域了,那么请求有没有发出去?

  跨域并不是请求发不出,请求能正常发送并且服务器也能正常接收和返回结果,只不过结果被浏览器拦截了。

2.为什么表单方式可以发起跨域请求而Ajax不能?

  归根结底,跨域是为了阻止用户读取到另一个域名下的内容。Ajax可以获取响应,浏览器认为不安全拦截了响应。但是表单并不会获取新的内容,所以可以发起跨域请求。同时也说明了跨域并不能完全阻止CSRF,因为请求已经发出去了。

二、跨域解决方案

1、JSONP

  原理:利用script标签没有跨域限制的漏洞,网页可以得到其他动态来源的JSON数据。此方式需要目标服务器支持才能实现。

  1.1 Ajax与JSONP对比

  原则上两者都是客户端向服务端发送请求并获取服务端返回的数据。但是Ajax属于同源策略,JSONP属于非同源策略。

  1.2 JSONP的优缺点

  优点:JSONP的兼容性好,能解决大部分主流浏览器的跨域数据访问的问题。

  缺点:JSONP仅仅支持get请求,对数据安全性无法保障

  1.3 Jquery中ajax通过jsonp获取跨域数据示例
  请求方JS代码:

$(function () {
    $.ajax({
        url:\'http://test.cache.com/index/checkjsonp.html\',
        dataType:\'jsonp\',
        type:\'get\',
        jsonpCallback:\'checkCallback\', //自定义传递给服务器的函数名,而不是使用jQuery自动生成的,可省略
        jsonp:"callback",
        success:function (data) {
            console.log(data)
        },
        error:function () {
            alert(\'error\')
        }
    })
});

 跨域服务器返回PHP代码:

    public function checkJsonp()
    {
        echo "checkCallback(".json_encode(array(\'success\'=>1)).")";
    } 

   返回结果:

2、HTTP访问控制(CORS)

 2.1 原理:  

          CORS需要浏览器和服务器同时支持,IE8和9需要通过XDomainRequest来实现,存在一定的兼容性问题。

     浏览器会自动的进行CORS通信,实现CORS通信的关键在于服务器。只要服务器实现了CORS,也就实现了跨域 

 2.2 实现:

    服务端设置 Access-Control-Allow-Origin 就可以开启CORS。该属性表示那些域名可以访问该网站,如果设置成通配符则表示所有网站均可访问

 2.3 示例:

  JS代码:

$(function () {
    $.ajax({
        url:\'http://test.cache.com/index/checkjsonp.html\',
        dataType:\'json\',
        type:\'get\',
        success:function (data) {
            console.log(data)
        },
        error:function () {
            alert(\'error\')
        }
    })
});

 PHP代码:

    public function checkJsonp()
    {
        header("Access-Control-Allow-Origin:http://initial.think6.com");
        header(\'Access-Control-Allow-Methods:OPTIONS, GET, POST\'); // 允许option,get,post请求
        header(\'Access-Control-Allow-Headers:x-requested-with\'); // 允许x-requested-with请求头
        echo json_encode(array(\'success\'=>1));
    }

 返回结果:

3、WebSocket

原理:WebSocket是一种通信协议,它实现了浏览器与服务器之间的全双工通信(即通信双方可以同时发动和接收信息的信息交互方式)。同时websocket并不实行同源策略,只要服务器支持,它就可以实现跨域通信。

4、Node中间件代理

原理:同源策略是浏览器需要遵循的标准,服务器向服务器请求则无需遵循同源策略,从而实现跨区数据请求。

 

5、nginx反向代理

实现原理类似于Node中间件,需要搭建一个中转nginx服务器,用于转发请求。使用nginx反向代理实现跨域是最简单的方式,只需要修改nginx服务器配置即可解决跨域问题,支持所有浏览器、session。无需修改代码且不会影响服务器性能。

 

 

 

 

 

 

   

 


推荐阅读
  • 阿里云 Aliplayer高级功能介绍(八):安全播放
    如何保障视频内容的安全,不被盗链、非法下载和传播,阿里云视频点播已经有一套完善的机 ... [详细]
  • KKCMS代码审计初探
    本文主要介绍了KKCMS的安装过程及其基本功能,重点分析了该系统中存在的验证码重用、SQL注入及XSS等安全问题。适合初学者作为入门指南。 ... [详细]
  • 在项目部署后,Node.js 进程可能会遇到不可预见的错误并崩溃。为了及时通知开发人员进行问题排查,我们可以利用 nodemailer 插件来发送邮件提醒。本文将详细介绍如何配置和使用 nodemailer 实现这一功能。 ... [详细]
  • PHP 过滤器详解
    本文深入探讨了 PHP 中的过滤器机制,包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时,详细介绍了各种过滤器的用途和用法。 ... [详细]
  • 自 Node.js 6.3 版本起,调试功能已内置在核心模块中,无需额外安装 node-inspector 等工具。通过简单的命令即可启动调试模式,并利用 Chrome 浏览器进行高效的代码调试。 ... [详细]
  • 探讨了如何解决Ajax请求响应时间过长的问题。本文分析了一个从服务器获取少量数据的Ajax请求,尽管服务器已经对JSON响应进行了缓存,但实际响应时间仍然不稳定。 ... [详细]
  • JavaScript 基础语法指南
    本文详细介绍了 JavaScript 的基础语法,包括变量、数据类型、运算符、语句和函数等内容,旨在为初学者提供全面的入门指导。 ... [详细]
  • C#设计模式学习笔记:观察者模式解析
    本文将探讨观察者模式的基本概念、应用场景及其在C#中的实现方法。通过借鉴《Head First Design Patterns》和维基百科等资源,详细介绍该模式的工作原理,并提供具体代码示例。 ... [详细]
  • 本文详细介绍了跨站脚本攻击(XSS)的基本概念、工作原理,并通过实际案例演示如何构建XSS漏洞的测试环境,以及探讨了XSS攻击的不同形式和防御策略。 ... [详细]
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • 使用Echarts for Weixin 小程序实现中国地图及区域点击事件
    本文介绍了如何使用Echarts for Weixin在微信小程序中构建中国地图,并实现区域点击事件。包括效果展示、条件准备和逻辑实现的具体步骤。 ... [详细]
  • 本文介绍了 PHP 的基本概念、服务器与客户端的工作原理,以及 PHP 如何与数据库交互。同时,还涵盖了常见的数据库操作和安全性问题。 ... [详细]
  • 本文旨在提供一套高效的面试方法,帮助企业在短时间内找到合适的产品经理。虽然观点较为直接,但其方法已被实践证明有效,尤其适用于初创公司和新项目的需求。 ... [详细]
  • 本文探讨了使用C#在SQL Server和Access数据库中批量插入多条数据的性能差异。通过具体代码示例,详细分析了两种数据库的执行效率,并提供了优化建议。 ... [详细]
  • 本文探讨了XSS攻击的基本原理及其防御方法,重点介绍了如何在前后端实施有效的安全措施来防止XSS攻击。 ... [详细]
author-avatar
潇潇雨621715
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有