Cross-Origin Resource Sharing 跨域資源共享

Cross-Origin Resource Sharing，跨域資源共享，簡(jiǎn)稱 CORS。CORS系統(tǒng)定義了一種瀏覽器和服務(wù)器交互的方式來(lái)確定是否允許跨域請(qǐng)求?？缬蛸Y源共享是一種網(wǎng)絡(luò)瀏覽器的技術(shù)規(guī)范，它為Web服務(wù)器定義了一 種方式，允許網(wǎng)頁(yè)從不同的域訪問(wèn)其資源。

CORS即Cross-Origin Resource Sharing，跨域資源共享。當(dāng)前網(wǎng)站a.com輸出響應(yīng)頭Access-Control-Allow-Origin: http://www.b.com，這樣b.com就可以通過(guò)AJAX向a.com發(fā)出請(qǐng)求。不過(guò)IE6和7都不支持Access-Control-Allow-Origin這個(gè)header。

簡(jiǎn)言之，CORS就是為了讓AJAX可以實(shí)現(xiàn)可控的跨域訪問(wèn)而生的。

由于有同源策略，跨域請(qǐng)求是被禁止。

我們需要在服務(wù)器端設(shè)置允許不同域的請(qǐng)求。

Apache配置方法

Apache需要使用mod_headers模塊來(lái)激活HTTP頭的設(shè)置，它默認(rèn)是激活的。你只需要在Apache配置文件的<Directory>，<Location>，<Files>或<VirtualHost>的配置里加入以下內(nèi)容即可

Header set Access-Control-Allow-Origin *

PHP配置方法

header("Access-Control-Allow-Origin:*");

以上的配置的含義是允許任何域發(fā)起的請(qǐng)求都可以獲取當(dāng)前服務(wù)器的數(shù)據(jù)。當(dāng)然，這樣有很大的危險(xiǎn)性，惡意站點(diǎn)可能通過(guò)XSS攻擊我們的服務(wù)器。所以我們應(yīng)該盡量有針對(duì)性地設(shè)置安全的來(lái)源，例如下面的設(shè)置使得只有http://www.shihj.com這個(gè)域才能跨域訪問(wèn)服務(wù)器的API。

header("Access-Control-Allow-Origin:http://www.shihj.com");

對(duì)于通配符*，它可以直接Access-Control-Allow-Origin:*這樣使用，但它是不允許通配子域名的，如：Access-Control-Allow-Origin:*.shihj.com。

?

值得注意的是,直接通過(guò)FORM表單提交的POST/GET請(qǐng)求并不會(huì)被瀏覽器同源策略限制,這也是為什么要設(shè)置csrf_token防范CSRF攻擊.

?

JSONP的跨域客戶端具體實(shí)現(xiàn)：

不管jQuery也好，extjs也罷，又或者是其他支持jsonp的框架，他們幕后所做的工作都是一樣的，下面我來(lái)循序漸進(jìn)的說(shuō)明一下jsonp在客戶端的實(shí)現(xiàn)：

?

1、我們知道，哪怕跨域js文件中的代碼（當(dāng)然指符合web腳本安全策略的），web頁(yè)面也是可以無(wú)條件執(zhí)行的。

遠(yuǎn)程服務(wù)器remoteserver.com根目錄下有個(gè)remote.js文件代碼如下：

alert('我是遠(yuǎn)程文件');

本地服務(wù)器localserver.com下有個(gè)jsonp.html頁(yè)面代碼如下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html>

毫無(wú)疑問(wèn)，頁(yè)面將會(huì)彈出一個(gè)提示窗體，顯示跨域調(diào)用成功。

?

2、現(xiàn)在我們?cè)趈sonp.html頁(yè)面定義一個(gè)函數(shù)，然后在遠(yuǎn)程remote.js中傳入數(shù)據(jù)進(jìn)行調(diào)用。

jsonp.html頁(yè)面代碼如下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> var localHandler = function(data){ alert('我是本地函數(shù)，可以被跨域的remote.js文件調(diào)用，遠(yuǎn)程js帶來(lái)的數(shù)據(jù)是：' + data.result); }; </script> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html>

remote.js文件代碼如下：

localHandler({"result":"我是遠(yuǎn)程js帶來(lái)的數(shù)據(jù)"});

運(yùn)行之后查看結(jié)果，頁(yè)面成功彈出提示窗口，顯示本地函數(shù)被跨域的遠(yuǎn)程js調(diào)用成 功，并且還接收到了遠(yuǎn)程js帶來(lái)的數(shù)據(jù)。很欣喜，跨域遠(yuǎn)程獲取數(shù)據(jù)的目的基本實(shí)現(xiàn)了，但是又一個(gè)問(wèn)題出現(xiàn)了，我怎么讓遠(yuǎn)程js知道它應(yīng)該調(diào)用的本地函數(shù)叫 什么名字呢？畢竟是jsonp的服務(wù)者都要面對(duì)很多服務(wù)對(duì)象，而這些服務(wù)對(duì)象各自的本地函數(shù)都不相同啊？我們接著往下看。

?

3、聰明的開發(fā)者很容易想到，只要服務(wù)端提供的js腳本是動(dòng)態(tài)生成的就行了唄，這樣調(diào)用者可以傳一個(gè)參數(shù)過(guò)去告訴服務(wù)端“我想要一段調(diào)用XXX函數(shù)的js代碼，請(qǐng)你返回給我”，于是服務(wù)器就可以按照客戶端的需求來(lái)生成js腳本并響應(yīng)了。

看jsonp.html頁(yè)面的代碼：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> // 得到航班信息查詢結(jié)果后的回調(diào)函數(shù) var flightHandler = function(data){ alert('你查詢的航班結(jié)果是：票價(jià) ' + data.price + ' 元，' + '余票 ' + data.tickets + ' 張。'); }; // 提供jsonp服務(wù)的url地址（不管是什么類型的地址，最終生成的返回值都是一段javascript代碼） var url = "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998&callback=flightHandler"; // 創(chuàng)建script標(biāo)簽，設(shè)置其屬性 var script = document.createElement('script'); script.setAttribute('src', url); // 把script標(biāo)簽加入head，此時(shí)調(diào)用開始 document.getElementsByTagName('head')[0].appendChild(script); </script> </head> <body> </body> </html>

這次的代碼變化比較大，不再直接把遠(yuǎn)程js文件寫死，而是編碼實(shí)現(xiàn)動(dòng)態(tài)查詢，而這也正是jsonp客戶端實(shí)現(xiàn)的核心部分，本例中的重點(diǎn)也就在于如何完成jsonp調(diào)用的全過(guò)程。

我們看到調(diào)用的url中傳遞了一個(gè)code參數(shù)，告訴服務(wù)器我要查的是CA1998次航班的信息，而callback參數(shù)則告訴服務(wù)器，我的本地回調(diào)函數(shù)叫做flightHandler，所以請(qǐng)把查詢結(jié)果傳入這個(gè)函數(shù)中進(jìn)行調(diào)用。

OK，服務(wù)器很聰明，這個(gè)叫做flightResult.aspx的頁(yè)面生成了一段這樣的代碼提供給jsonp.html（服務(wù)端的實(shí)現(xiàn)這里就不演示了，與你選用的語(yǔ)言無(wú)關(guān)，說(shuō)到底就是拼接字符串）：

flightHandler({"code": "CA1998","price": 1780,"tickets": 5 });

我們看到，傳遞給flightHandler函數(shù)的是一個(gè)json，它描述了航班的基本信息。運(yùn)行一下頁(yè)面，成功彈出提示窗口，jsonp的執(zhí)行全過(guò)程順利完成！

?

4、到這里為止的話，相信你已經(jīng)能夠理解jsonp的客戶端實(shí)現(xiàn)原理了吧？剩下的就是如何把代碼封裝一下，以便于與用戶界面交互，從而實(shí)現(xiàn)多次和重復(fù)調(diào)用。

什么？你用的是jQuery，想知道jQuery如何實(shí)現(xiàn)jsonp調(diào)用？好吧，那我就好人做到底，再給你一段jQuery使用jsonp的代碼（我們依然沿用上面那個(gè)航班信息查詢的例子，假定返回jsonp結(jié)果不變）：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" > <head> <title>Untitled Page</title> <script type="text/javascript" src=jquery.min.js"></script> <script type="text/javascript"> jQuery(document).ready(function(){
$.ajax({ type: "get", async: false, url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998", dataType: "jsonp", jsonp: "callback",//傳遞給請(qǐng)求處理程序或頁(yè)面的，用以獲得jsonp回調(diào)函數(shù)名的參數(shù)名(一般默認(rèn)為:callback) jsonpCallback:"flightHandler",//自定義的jsonp回調(diào)函數(shù)名稱，默認(rèn)為jQuery自動(dòng)生成的隨機(jī)函數(shù)名，也可以寫"?"，jQuery會(huì)自動(dòng)為你處理數(shù)據(jù) success: function(json){ alert('您查詢到航班信息：票價(jià)： ' + json.price + ' 元，余票： ' + json.tickets + ' 張。'); }, error: function(){ alert('fail'); } }); }); </script> </head> <body> </body> </html>

是不是有點(diǎn)奇怪？為什么我這次沒有寫flightHandler這個(gè)函數(shù)呢？而且竟然也運(yùn)行成功了！哈哈，這就是jQuery的功勞了，jquery在處理jsonp類型的ajax時(shí)（還是忍不住吐槽，雖然jquery也把jsonp歸入了ajax，但其實(shí)它們真的不是一回事兒），自動(dòng)幫你生成回調(diào)函數(shù)并把數(shù)據(jù)取出來(lái)供success屬性方法來(lái)調(diào)用，是不是很爽呀？

相關(guān)資料

https://segmentfault.com/q/1010000002994755

http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html

?

轉(zhuǎn)載于:https://www.cnblogs.com/share123/p/6525909.html

總結(jié)

以上是生活随笔為你收集整理的js 跨域问题的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。