CORS和jsonp实现跨域请求

时间:2021-07-20 22:26:14

同源策略:所谓同源是指,域名,协议,端口相同,它是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器都会使用这个策略。当浏览器同时打开两个tab页面(两个不同服务器提供),tab1页面发送请求时,浏览器会检测是否是向tab1的服务器发出请求,若是向tab2的服务器发出的请求会报错。如下面的示例代码,index.html 运行在 http://127.0.0.1:8001服务器上,向另一个服务器http://127.0.0.1:8002/cos_service 发送ajax请求,浏览器控制台出现错误提示:同源策略禁止读取位于 http://127.0.0.1:8002/cos_service/ 的远程资源。(原因:CORS 请求未能成功),  为了实现这种跨域请求,可以利用CORS和jsonp.

index.html     ( http://127.0.0.1:8001/index.html)

<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Title</title>
</head>
<body>
<p>跨域请求jsonpdemo2项目中的视图</p>
<button onclick="send();">请求</button>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script>
function send() {
$.ajax({
url:'http://127.0.0.1:8002/cos_service/',
type: 'get',
success:function(data) {
console.log(data);
}}
);
}
</script>
</body>
</html>

1. CORS ( Cross-origin resource sharing ) 跨域资源共享

  对于上面的请求,只需在http://127.0.0.1:8002/cos_service/的视图函数的返回请求头中设置Access-Control-Allow-Origin=访问的域名,此处为http://127.0.0.1:8001,代码如下:

views.py    ( http://127.0.0.1:8002/

def cos_service(request):
  info={"name":"小明","age":24}
response = HttpResponse(json.dumps(info))
response['access-control-allow-origin']='http://127.0.0.1:8001'
  # response['access-control-allow-origin'] = '*' #对所有客服端请求
  return response

相关知识:

  浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

  只要同时满足以下两大条件,就属于简单请求

  (1) 请求方法是以下三种方法之一:
        HEAD
        GET
        POST
  (2)HTTP的头信息不超出以下几种字段:
        Accept
        Accept-Language
        Content-Language
        Last-Event-ID
        Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

  *简单请求和非简单请求的区别?

    简单请求:一次请求
       非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
  * 关于“预检”

    - 请求方式:OPTIONS
    - “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
  - 如何“预检”
         => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
          Access-Control-Request-Method
         => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
          Access-Control-Request-Headers

  支持跨域,简单请求

    服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'

  支持跨域,复杂请求

  由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。

  • “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
  • “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers

2. jsonp实现 (json + padding)

  jsonp主要利用script标签中src的跨域请求,需要前后端的配合实现,设置相同函数名称。对于上面 http://127.0.0.1:8001/ 上的前端页面index.html,ajax请求中设置参数jsonp:callback,并定义相应的function callback()函数,在 http://127.0.0.1:8002/的视图函数views.py的返回内容中内嵌相同的函数名称,即字符窜“callback()”。 具体代码如下:

  (注意:ajax请求跨域url为:http://127.0.0.1:8002/service, 设置成https://127.0.0.1:8002/service会出错,服务器不会响应)

index.html     (http://127.0.0.1:8001/)

<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Title</title>
</head>
<body>
<p>跨域请求jsonpdemo2项目中的视图</p>
<button onclick="send();">请求</button>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script>
function callable(arg){
console.log(arg);
}
</script>
<script>
function send() {
$.ajax({
url:'http://127.0.0.1:8002/service/',
type: 'get',
dataType:'jsonp', //未加jsonp时控制台显示:同源策略禁止读取位于 http://127.0.0.1:8002/service/ 的远程资源。(原因:CORS 请求未能成功)
jsonp:'callable',
success:function(data) {
}}
);

views.py  ( http://127.0.0.1:8002/)

def service(request):
print 'service'
data ='参数'
info={"name":"小明","age":24}
# return HttpResponse("callable('%s')"%data)
return HttpResponse("callable('%s')" %json.dumps(info))

  上面的ajax请求中dataType:'jsonp', 伪造script的src请求,类似于下面的代码,将上面的index.html 换为下面代码时能达到相同的功能。

<script>
function callable(arg){
console.log(arg);
}
</script>
<script src="http://127.0.0.1:8002/service/"></script> <!--https://时不会返回结果,另外script标签必须放在传回函数的下方,否则找不到-->
<script>

相关参考博客:http://www.cnblogs.com/yuanchenqi/articles/7638956.html#_label6

https://www.cnblogs.com/keyi/p/6726089.html