1.同源策略又名同域策略,就是(主机名+协议+端口号【若存在】)三者相同。也就是说javascript只可以操作自己域下的东西,不能操作其他域下的东西。比如百度下javascript是不可操作谷歌下的页面;
在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以加载跨域资源,而不受同源限制,但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等仍然认为属于同源。
2.使用ajax必须满足同源策略;在本地hosts文件配置两个域名访问IP作为测试用
127.0.0.1 www.fwd.com
127.0.0.1 www.khd.com
在 http://www.khd.com:8002/khd 文件里用ajax请求http://www.fwd.com:8001/fwd(jquery)
请求页面(jquery):
<input type="button" value="提交" onclick="doajax();"/> <script> function doajax() { $.ajax({ url: 'http://www.fwd.com:8001/fwd', type: 'POST', data:{'k1':'v1'}, success: function (responseText, statusText) { }, error: function (event, errorText, errorType) { } }); } </script>
此时点击按钮发起ajax请求后,可以看到请求已被浏览器的同源策略阻止。
3. 突破浏览器同源策略ajax跨域请求,有两个办法:
法一、JSONP方式
自定义JSONP跨域请求数据只能是get方法的请求,也就是利用script标签和script标签的src发送get请求
1在要请求数据的页面用js创建一个script标签,src等于要请求数据的地址
2响应页面返回的必须是一个带有参数的函数名称
3自定义对应响应页面返回的函数,这样自定义的函数也就会执行了,就能得到数据
请求页面(原生js):
<input type="button" value="跨域提交" onclick="doajax();"/> <script> //利用原生js自己创建一个跨域请求 function doajax() { //当点击提交按钮是执行函数 var tag = document.createElement('script'); //创建一个script标签 tag.src = 'http://www.fwd.com:8001/fwd'; //设置script标签的src地址,为要请求数据的地址,因为src是不受同源策略 document.head.appendChild(tag); //将script标签添加到head标签里面 document.head.removeChild(tag); //添加后会立即发送请求,所以这里可以将添加的script标签删除了 } //响应网站返回,shuju({'k1':'v1'}); 也就相当于返回了一个带有参数的函数名称 function shuju(shj) { //自定义执行函数,和响应网站返回的名称相同,参数就是响应网站返回的数据 for(var i in shj){ //循环响应网站返回的数据 alert(i + ':' + shj[i]); //打印出数据的键和值,v1:k1 } } </script>
响应页面:
class fwdHandler(tornado.web.RequestHandler): def get(self): #接收get请求 # self.render("fwd.html") self.write("shuju({'k1':'v1'});") #返回的数据 def post(self): self.write("post请求成功")
ajax的JSONP方式:
ajax跨域请求本质上就是上面自定义跨域的方式,只不过ajax帮我们封装好了,不用我们去创建script标签
请求页面(jquery):
<input type="button" value="跨域提交" onclick="doajax();"/> <script> function doajax() { //当点击提交按钮是执行函数 $.ajax({ type: 'GET', url: 'http://www.fwd.com:8001/fwd', dataType: 'jsonp', //JSONP,数据类型 jsonpCallBack:'shj' //接收响应页面带有参数的函数名称,shj来自响应端 }); } //响应网站返回,shuju({'k1':'v1'}); 也就相当于返回了一个带有参数的函数名称 function shuju(shj) { //自定义执行函数,和响应网站返回的名称相同,也就会执行自定义函数,而参数就是响应网站返回的数据 for (var i in shj) { //循环响应网站返回的数据 alert(i + ':' + shj[i]); //打印出数据的键和值 } } </script>
响应端:
class fwdHandler(tornado.web.RequestHandler): def get(self): #接收get请求 # self.render("fwd.html") self.write("shuju({'k1':'v1'});") #返回数据 def post(self): self.write("post请求成功")
法二、基于CORS实现跨域Ajax
请求页面不变,响应端返回数据的时候带有响应头标识,告诉浏览器允许跨域请求。
响应端:
class fwdHandler(tornado.web.RequestHandler): def get(self): #接收get请求 pass def post(self): self.set_header('Access-Control-Allow-Origin','*') self.write("{'k1':'v1'}") # 返回数据
跨域传输cookie(跨域请求中,默认HTTP Authentication信息,Cookie头以及用户的SSL证书都是不会被发送):
请求页面(jquery):
xhrFields:{withCredentials: true}, //传递Cookie头以及用户的SSL证书
响应端(python):
class fwdHandler(tornado.web.RequestHandler): def get(self): #接收get请求 pass def options(self): #接收预检的options请求 self.set_header('Access-Control-Allow-Credentials', "true") #传递Cookie头以及用户的SSL证书 self.set_header('Access-Control-Allow-Origin', 'http://www.khd.com:8002') #预检请求或者数据请求时允许跨域,允许跨域的域名 self.set_header('Access-Control-Allow-Methods', 'PUT') #预检请求时允许请求页面的请求方式跨域,允许跨域的请求方式(多个逗号隔开) self.set_header('Access-Control-Allow-Headers', "k1,k2") #预检请求时允许请求页面ajax设置请求头headers属性跨域,允许跨域的headers属性请求头(多个逗号隔开) def put(self): self.set_header('Access-Control-Allow-Credentials', "true") # 传递Cookie头以及用户的SSL证书 self.set_header('Access-Control-Allow-Origin','http://www.khd.com:8002') self.write("{'k1':'v1'}") # 返回数据 self.set_cookie('kkkkk', 'vvvvv') #写入cookie print(self.get_cookie('kkkkk')) #获取cookie