同源策略和跨域?

AeahKa
65 阅读1分钟

同源策略

是什么:

如果两个URL的协议端口和域名都完全一致,两个URL同源。

怎么做:

只要在浏览器里打开页面,就默认遵守同源策略。

优点:

保证用户的隐私安全和数据安全。

缺点:

很多时候,前端需要访问另一个域名的后端接口,会被浏览器阻止其获取响应。
比如:甲站点通过AJAX访问乙站点的 /money 查询余额接口,请求会发出,但是响应会被浏览器屏蔽。

怎么解决缺点:

使用跨域手段。

一、JSONP

  1. 甲站点利用 script 标签可以跨域的特性,向乙站点发送 get 请求;
  2. 乙站点改造 JS 文件的内容,将数据传进回调函数;
  3. 甲站点通过回调函数拿到乙站点的数据。

点击了解什么是 JSONP

二、CORS

  1. 对于简单请求,乙站点在响应头里添加 Access-Control-Allow-Origin: http://甲站点
  2. 对于复杂请求,如POST,乙站点需要:
    a. 响应 OPTIONS 请求,在响应中添加如下响应头 
    Access-Control-Allow-Origin: http://甲站点
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type
    b. 响应 POST 请求,在响应中添加Access-Control-Allow-Origin
  3. 如果需要附带身份信息,JS 中需要在 AJAX 里设置 xhr.withCredentials = true,详见 MDN CORS 文档
avatar
文章
阅读
粉丝