keywords: 同源策略、跨域、jsonp。
-
什么是同源策略(same origin policy)
同源:协议、域名、端口相同
同源策略:为保证用户数据安全而规定的不同源网页彼此间的限制行为,主要有以下3种:
1、cookie、localStorage和indexDB无法读取;
2、DOM无法操作;
3、ajax无法发送;
-
什么是跨域?跨域有几种实现形式?
跨域:在突破同源策略,在不同源的网页间交换数据。
实现形式:
1、降域,利用document.domain;
2、jsonp;
3、cors;
4、postMessage;
5、hack:比如hash或window.name;
-
jsonp的原理是什么?
jsonp即 json with padding,是利用script加载不同源页面数据的一种方式。
原理:
1、script标签可以引用不同源的数据,比如加载jquery,因此可以利用script加载不同源的数据;
2、利用script加载的数据会被当作js执行,因此,如果和后台约定数据格式,便可以得到不同源的数据;
3、具体来说,在script标签的src属性后面加上查询字符串callback = xxx,后台传回数据,形如xxx(data),我们便可以利用预先定义的xxx函数得到相应数据。
**缺点: **
1、安全性不高,只要得到相应api,每个人都可以得到数据(可以在src中加token提高安全性)。
2、无法向后台写入数据。
-
CORS是什么?
CORS即cross origin resorce sharing(跨域资源共享),允许向跨源服务器发送ajax请求,突破同源策略。
参考:跨域资源共享
网友评论