0
点赞
收藏
分享

微信扫一扫

同源策略与Jsonp

_karen 2022-08-22 阅读 62

同源策略与Jsonp

同源策略

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。

 

示例:非同源请求报错(项目端口不同)

项目1:

 

setting.py 配置静态文件

STATIC_URL = '/static/'
STATICFILES_DIRS = (
os.path.join(BASE_DIR, 'static'),
)

 静态文件: 

同源策略与Jsonp_json

<script src="http://code.jquery.com/jquery-latest.js"></script>

urls.py

from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'index/$',views.index),
url(r'ajax_send/$',views.ajax_send),

  

 

views.py

from django.shortcuts import render,HttpResponse

def index(request):
return render(request,"index.html")


def ajax_send(request):
   print('项目1...............')
return HttpResponse("项目1的数据")

  

index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>index</title>
</head>
<body>
<h3>pro1的首页</h3>

<button class="b1">send a request</button>
</body>
<script src="/static/jquery.js"></script>
<script>
$(".b1").click(function(){
$.ajax({
//url:"/ajax_send/", //访问项目1的本路径
url:"http://127.0.0.1:8080/ajax_send/", //访问项目2的路径,同源策略接收不到数据。

  

项目2的代码同上

//===================================setting.py


STATIC_URL = '/static/'
STATICFILES_DIRS = (
os.path.join(BASE_DIR,'static'),
)


//===================================urls.py

from django.conf.urls import url
from django.contrib import admin
from app01 import views
urlpatterns = [
url(r'^admin/', admin.site.urls),
url(r'index/$',views.index),
url(r'ajax_send/$',views.ajax_send),
]


//===================================views.py

from django.shortcuts import render,HttpResponse

def index(request):
return render(request,"index.html")


def ajax_send(request):
   print('项目2..............')
return HttpResponse("项目2的数据")

  

同源问题: 当点击项目1的按钮时,发送了请求,但是会发现报错如下:

同源策略与Jsonp_json_02

已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:7766/SendAjax/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

但是注意,项目2中的访问已经发生了,说明是浏览器对非同源请求返回的结果做了拦截。

同源策略与Jsonp_ajax_03

 

注意:jquery.js也是非同源请求,但却能拿到数据。script标签请求不拦截,就拦截ajax请求。

 

script标签请求:

index.html

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>index</title>
</head>
<body>
<h3>pro1的首页</h3>

<button class="b1">send a request</button>
</body>
<script src="/static/jquery.js"></script>
<script>
/*
$(".b1").click(function(){
$.ajax({
//url:"/ajax_send/", //访问项目1的本路径
url:"http://127.0.0.1:8080/ajax_send/", //访问项目2的路径
success:function(data){
alert(data);
}
})
})
*/
</script>
<!-- 单发一个script请求。刷新页面则请求。-->
<script src="http://127.0.0.1:8080/ajax_send/"></script>

  

刷新页面:

同源策略与Jsonp_ajax_04

 项目2的返回值改成英文。定义成一个变量。

from django.shortcuts import render,HttpResponse

def index(request):
return render(request,"index.html")


def ajax_send(request):
print('项目2.........')
# return HttpResponse("项目2的数据")
return HttpResponse("baobao")

同源策略与Jsonp_json_05

 

项目1的js中定义baobao这个变量。运行结果:页面不会报错了。

<script>
var baobao="贝贝";

  

运行结果:页面不会报错了。

同源策略与Jsonp_json_06

 

 定义一个变量是没有意义的。接下来项目1的js中定义一个函数。

项目1的js中定义一个函数:

<script>
// 定义函数
function baobao(){
console.log('贝贝');
}
// baobao(); //调用函数
</script>
<!-- 单发一个script请求。刷新页面则请求。-->
<script src="http://127.0.0.1:8080/ajax_send/"></script>

 

项目2返回的值是一个调用函数的字符串。相当于调用了项目1里的函数。

def ajax_send(request):
print('项目2.........')
# return HttpResponse("项目2的数据")
# return HttpResponse("baobao")
return HttpResponse("baobao()")

 刷新项目1的页面,运行结果如下:

同源策略与Jsonp_html_07

 

本质项目1想拿项目2的数据。

项目2实参上传些值给项目1.

def ajax_send(request):
print('项目2.........')
# return HttpResponse("项目2的数据")
# return HttpResponse("baobao")
# return HttpResponse("baobao()")
return HttpResponse("baobao('项目2的数据')")

 项目1接收传参:

<script>
function baobao(s){
console.log(s);
}
// baobao('项目2的数据'); //调用函数
</script>
<!-- 单发一个script请求。刷新页面则请求。-->
<script src="http://127.0.0.1:8080/ajax_send/"></script>

  

运行结果:

同源策略与Jsonp_json_08

 

假设项目2不发送字符串,而是发送字典类型的数据给项目1。项目1该如何接收???

项目2:序列化字典:json.dumps(res)

def ajax_send(request):
print('项目2.........')
# return HttpResponse("项目2的数据")
# return HttpResponse("baobao")
# return HttpResponse("baobao()")
# return HttpResponse("baobao('项目2的数据')")

res={"name":"宝宝"}
import json
return HttpResponse("baobao('%s')"%json.dumps(res))

 

项目1:反序列化数据:JSON.parse(s);    JSONP的来历!!!!

<script>   
// 接收传参
// 定义函数
function baobao(s){
console.log(s);
JSON.parse(s);
}
// baobao('项目2的数据'); //调用函数
</script>
<!-- 单发一个script请求。刷新页面则请求。-->
<script src="http://127.0.0.1:8080/ajax_send/"></script>

  

项目1刷新页面:运行结果:

同源策略与Jsonp_html_09

 

 接下来动态定义函数名!!!

 项目1传的的是什么函数名,项目2就是动态的函数名。

 项目1:

<script>
// 定义函数
function foo(s){
console.log(s);
JSON.parse(s);
}
</script>
<!-- 项目1传的的是什么函数名,项目2就是动态的函数名。-->
<script src="http://127.0.0.1:8080/ajax_send/?a=foo"></script>

项目2:

def ajax_send(request):
print('项目2.........')

func = request.GET.get("a")
res={"name":"宝宝"}
import json
return HttpResponse("%s('%s')"%(func,json.dumps(res)))

  

运行结果:

同源策略与Jsonp_json_10

 思考:以上都是刷新页面发送请求的,如何点击按钮发送请求呢???

项目1中新增一个按钮,点击b2发送请求。

 项目1的index.html:

<button class="b2">send a request_b2</button>

<script>
// 思考:以上都是刷新页面发送请求的,如何点击按钮发送请求呢???
$(".b2").click(function(){
// 创建一个script标签,添加到body中。
var $ele_script = $("<script>");
$ele_script.attr("src","http://127.0.0.1:8080/ajax_send/?a=foo");
$("body").append($ele_script);
})
</script>

  

运行结果:

同源策略与Jsonp_html_11

 

 项目1:封装功能代码:把路径当成参数动态传值。并且清空该标签。

 项目1:index.html

function kuayu(url){
// 创建一个script标签,添加到body中。
var $ele_script = $("<script>");
$ele_script.attr("src",url);
$ele_script.attr("class","kuayu");
$("body").append($ele_script); //发送请求
// 请求完成之后删除该标签
$(".kuayu").remove()
};

$(".b2").click(function(){
kuayu("http://127.0.0.1:8080/ajax_send/?a=foo")

  

基于jqeury的API实现跨越请求

 //====================基于jqeury的API实现跨越请求====================

对script请求的封装

 项目1:

//====================基于jqeury的API实现跨越请求====================
$(".b2").click(function(){
// 跨域请求
$.getJSON("http://127.0.0.1:8080/ajax_send/?a=?",function(data){
console.log(data);
});

 

同源策略与Jsonp_html_12

a是一个随机字符串的函数名。

项目2:

def ajax_send(request):
print('项目2.........')

func = request.GET.get("a")
print("func",func)

 

项目2运行结果:

同源策略与Jsonp_html_13

 

 

结果是一样的,要注意的是在url的后面必须添加一个callback参数,这样getJSON方法才会知道是用JSONP方式去访问服务,callback后面的那个问号是内部自动生成的一个回调函数名。

      此外,如果说我们想指定自己的回调函数名,或者说服务上规定了固定回调函数名该怎么办呢?我们可以使用$.ajax方法来实现

 $.ajax

//====================基于jqeury的API(ajax)实现跨越请求====================

 项目1:

//====================基于jqeury的API(ajax)实现跨越请求====================
function baobao(s){
console.log(s);
}

$(".b2").click(function(){
$.ajax({
url:'http://127.0.0.1:8080/ajax_send/',
//url:'http://127.0.0.1:8080/ajax_send/?a=baobao', 相当于
dataType:'jsonp', // 期待数据类型.会生成script标签请求。
jsonp: 'a', // 键
jsonpCallback:"baobao" // 值
})

  

项目1运行结果:

同源策略与Jsonp_html_14

项目2运行结果:

同源策略与Jsonp_html_15

 

 

//====================以上代码还是要自定义函数,接下来终极版!!!====================

 项目1:

//====================以上代码还是要自定义函数,接下来终极版!!!====================

$(".b2").click(function(){
$.ajax({
url:'http://127.0.0.1:8080/ajax_send/',
//url:'http://127.0.0.1:8080/ajax_send/?a=随机字符串',
dataType:'jsonp', // 期待数据类型.会生成script标签请求。
jsonp: 'a', //键
success:function(data){
console.log(data);
}

  

项目2的运行结果:

同源策略与Jsonp_html_16

 

应用:

// =========================================================================================
// 应用
$(".b2").click(function(){
$.ajax({
url:'http://www.jxntv.cn/data/jmd-jxtv2.html?',
dataType:'jsonp', // 期待数据类型.会生成script标签请求。
jsonp: 'callback', //键
jsonCallback:"list"
});

});

function list(data){
//console.log(data.data);
$.each(data.data,function(i,weekday){
//console.log(weekday); // {week: "周日", list: Array(19)}
$("body").append("<p>"+ weekday.week +"</p>");
//console.log(weekday.list); // {19个数据} 0:{time: "0030", name: "通宵剧场六集连播", link: "http://www.jxntv.cn/live/jxtv2.shtml"}
$.each(weekday.list,function(j,show){
s="<p><a href='+ show.link +'>"+ show.name +"</a><p>"
$("body").append(s);
})

});
};

  

运行结果:

同源策略与Jsonp_ajax_17

 

总结:

jsonp是json用来跨域的一个东西。原理是通过script标签的跨域特性来绕过同源策略。

 

JSONP的原型:创建一个回调函数,然后在远程服务上调用这个函数并且将JSON 数据形式作为参数传递,完成回调。

 

 将JSON数据填充进回调函数,这就是JSONP的JSON+Padding的含义。

 

jQuery框架也当然支持JSONP,可以使用$.getJSON(url,[data],[callback])方法

<script>

function f(){

$.ajax({
url:"http://127.0.0.1:7766/SendAjax/",
dataType:"jsonp", //必须有,告诉server,这次访问要的是一个jsonp的结果。
jsonp: 'callbacks', //jQuery帮助随机生成的:callbacks="wner"
success:function(data){
alert("hi "+data)
}
});

}

</script>

  

  jsonp: 'callbacks'就是定义一个存放回调函数的键,jsonpCallback是前端定义好的回调函数方法名'SayHi',server端接受callback键对应值后就可以在其中填充数据打包返回了; 

 jsonpCallback参数可以不定义,jquery会自动定义一个随机名发过去,那前端就得用回调函数来处理对应数据了。利用jQuery可以很方便的实现JSONP来进行跨域访问。  

注意 JSONP一定是GET请求



举报

相关推荐

0 条评论