search

博客列表 >JS基础-跨域请求

JS基础-跨域请求

岂几岂几
岂几岂几原创
2020年05月24日 16:58:01740浏览

跨域请求

1. CORS

  • CORS : 跨域资源共享

  • CSRF : 跨站请求伪造

    • 用户在访问A网站, 此时用户在A网站的信息记录在Cookie中, 假设A网站没有对Cookie做同源策略限制, 此时如果有B网站的链接嵌入到A网站中, 用户点开了该链接后, 跳转到B网站, 假设B网站是不怀好意的网站, 那么B网站的所有者就能获取到A网站的Cookie, 然后使用Cookie以该用户的身份去访问A网站.

    • 产生跨站伪造的原因就是网站没有遵循同源策略

1.2. 同源策略

  • 多个页面的协议, 域名, 端口完全相同, 则认为他们遵循了同源策略.

    • 协议: 要么是http, 要么是https等.

    • 域名: 多个页面的域名要完全相同. www.php.cnwww.php.net 是不同的!

    • 端口: 要么是80, 要么是443, 或者都是别的, 必须相同.

  • 同源策略是一种安全机制, 浏览器禁止通过脚本发起跨域请求, 如: XMLHttpRequest , Fetch API 等. 但是允许HTML标签属性跨域. 即, 可以用 <a> 标签或 <img> 发送跨域请求或跨域访问.

    • 当使用脚本发起跨域请求时, 浏览器会提示禁止跨域.

    • 此时, 若目标网站允许跨域, 则需要在跨域请求的目标请求头指定允许跨域访问自己的站点: header('Access-Control-Allow-Origin: http://php11.edu'). 记得一定要指定协议

      • 若不指定允许跨域访问的站点, 那么这个站点将是非常不安全的. 即, 不要这样设置: header('Access-Control-Allow-Origin: *')

1.3. JSONP跨域

  • 虽然同源策略不允许脚本发起跨域请求, 但是并不阻止HTML标签的属性发起. JSONP就是使用HTML标签的属性发起跨域请求的方式.
  1. <script src="把需要跨域的脚本URL写到这里发起一个跨域请求">
  2. </script>

实战案例

1. 通过HTML标签属性跨域

浏览器允许通过标签属性跨域

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <meta name="viewport" content="width=device-width, initial-scale=1.0">
  6.     <title>通过HTML标签属性跨域</title>
  7. </head>
  8. <body>
  9.     <img src="https://img.php.cn/upload/image/234/213/408/1590257532837910.png" alt="球员列表" style="width: 400px;"><br>
  11.     <a href="https://www.baidu.com">访问百度</a><br>
  13.     <button type="button">发送跨域请求</button>
  14. </body>
  15. </html>

2. CORS跨域请求

php.edu站点的文件php.edu/0522/test1.php中设置允许站点php11.edu跨域

  1. <?php
  2. // 指定允许http://php11.edu站点跨域访问当前文件
  3. header('Access-Control-Allow-origin: http://php11.edu');
  4. echo '跨域请求返回的数据';
  5. // 刷新缓冲区
  6. flush();

php11.edu站点的php11.edu/js/0522/demo1.html使用ajax发起跨域访问请求

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <meta name="viewport" content="width=device-width, initial-scale=1.0">
  6.     <title>CORS跨域</title>
  7. </head>
  8. <body>
  9.     <button type="button">发送跨域请求</button>
  11.     <script>
  12.         var btn = document.querySelector('button');
  13.         btn.addEventListener('click', function() {
  14.             // 通过ajax发送一个跨域请求
  15.             var xhr = new XMLHttpRequest();
  17.             xhr.onreadystatechange = function() {
  18.                 if(xhr.readyState === 4 && xhr.status === 200) {
  19.                     console.log(xhr.responseText);
  20.                 }
  21.             }
  23.             xhr.open('GET', 'http://php.edu/0522/test1.php', true);
  25.             xhr.send(null);
  26.         });
  27.     </script>
  28. </body>
  29. </html>

成功获取到数据

3. JSONP跨域

php.edu站点中负责获取请求,并执行查询,调用回调函数.

  1. <?php
  2. // 这里返回json数据, 而json只支持utf8编码
  3. header('content-type: text/html;charset=utf-8');
  5. // 模拟根据id值获取数据, 并调用回调函数处理数据
  6. // 获取请求参数(jsonp指定一个回调函数名)
  7. $callback = $_GET['jsonp'];
  8. $id = $_GET['id'];
  10. // 返回的处理结果数组
  11. $res = [
  12.     'status' => '1',
  13.     'message' => '查询成功',
  14. ];
  16. // 判断id值是否有效
  17. if(!filter_var($id, FILTER_VALIDATE_INT, ['option' => ['min_range' => 1]])) {
  18.     $res['status'] = '0';
  19.     $res['message'] = 'ID值无效';
  20. }
  22. // 连接数据库
  23. $pdo = new PDO('mysql:host=localhost;dbname=phpedu;charset=utf8;port=3306', 'root', 'root');
  24. // 查询
  25. $stmt = $pdo->query("SELECT * FROM `player` WHERE `id` = {$id}");
  26. // 判断是否查到值
  27. if(!$stmt || $stmt->rowCount < 1) {
  28.     // 没查到的处理
  29.     $res['status'] = '0';
  30.     $res['message'] = 'ID值无效';
  31. } else {
  32.     // 查到数据
  33.     $res['data'] = $stmt->fetch(PDO::FETCH_ASSOC);
  34. }
  36. // 打印回调
  37. echo $callback . '(' . json_encode(json_encode($res)) . ')';

php11.edu中通过JSONP发送跨域请求

  1. <!DOCTYPE html>
  2. <html lang="en">
  4. <head>
  5.     <meta charset="UTF-8">
  6.     <meta name="viewport" content="width=device-width, initial-scale=1.0">
  7.     <title>通过JSONP跨域</title>
  8. </head>
  10. <body>
  11.     <button>发送跨域请求</button>
  12.     <script>
  13.         /* 1. 被当做参数值传给跨域的目标站点, 目标站点echo "调用该函数的字符串", 
  14.         相当于在当前站点执行该函数调用 */
  15.         function handle(jsonData) {
  16.             // console.log(jsonData);
  17.             // json=>js对象
  18.             var res = JSON.parse(jsonData);
  19.             // 约定状态值为0表示查询结果异常
  20.             if(res.status === '0') {
  21.                 alert(res.message ?? '查询失败');
  22.                 return;
  23.             }
  25.             // 渲染数据
  26.             var ul = document.createElement('ul');
  27.             ul.innerHTML += "<ul>姓名: " + res.data.name + "</ul>";
  28.             ul.innerHTML += "<ul>球队: " + res.data.team + "</ul>";
  29.             ul.innerHTML += "<ul>身高: " + res.data.height + "</ul>";
  30.             ul.innerHTML += "<ul>体重: " + res.data.weight + "</ul>";
  31.             ul.innerHTML += "<ul>位置: " + res.data.position + "</ul>";
  33.             document.body.appendChild(ul);
  34.         }
  35.     </script>
  36.     <script>
  37.         /* 2. 给按钮增加点击事件, 生成一个跨域请求的script标签 */
  38.         var btn = document.querySelector('button');
  39.         btn.addEventListener('click', function () {
  40.             // 生成一对<script>标签
  41.             var script = document.createElement("script");
  42.             // 为script标签的src属性赋予一个跨域请求的url, 并带上handle函数作为回调
  43.             script.src = "http://php.edu/0522/test2.php?jsonp=handle&id=1";
  44.             // 把生成的标签加到head标签中
  45.             document.head.appendChild(script);
  46.             // 相当于在head标签中生成了下面的标签, 然后就能自动发起跨域请求了
  47.             // <-script src="http://php.edu/0522/test2.php?jsonp=handle&id=1"><-/script>
  48.     }, false);
  49.     </script>
  50. </body>
  52. </html>

执行结果:

  • 查询到值时

  • 查询不到值

学习心得

跨域访问涉及到网站安全, 必须要注意. 成功跨域访问, 一种是访问的目标站点指定了当前站点允许跨域访问(CORS); 另一种是曲线救国, 使用HTML标签的属性发起.

上一条:类的继承,抽象类的作用,实现,以及接口的基本语法演示下一条:html学习:第16章 细说跨域请求(CORS/JSONP)
声明:本文内容转载自脚本之家,由网友自发贡献,版权归原作者所有,如您发现涉嫌抄袭侵权,请联系admin@php.cn 核实处理。
全部评论
文明上网理性发言,请遵守新闻评论服务协议

相关文章

查看更多