Cross-Origin Resource Sharing 跨域資源共享

Cross-Origin Resource Sharing，跨域資源共享，簡稱 CORS。CORS系統定義了一種瀏覽器和服務器交互的方式來確定是否允許跨域請求?？缬蛸Y源共享是一種網絡瀏覽器的技術規范，它為Web服務器定義了一 種方式，允許網頁從不同的域訪問其資源。

CORS即Cross-Origin Resource Sharing，跨域資源共享。當前網站a.com輸出響應頭Access-Control-Allow-Origin: http://www.b.com，這樣b.com就可以通過AJAX向a.com發出請求。不過IE6和7都不支持Access-Control-Allow-Origin這個header。

簡言之，CORS就是為了讓AJAX可以實現可控的跨域訪問而生的。

由于有同源策略，跨域請求是被禁止。

我們需要在服務器端設置允許不同域的請求。

Apache配置方法

Apache需要使用mod_headers模塊來激活HTTP頭的設置，它默認是激活的。你只需要在Apache配置文件的<Directory>，<Location>，<Files>或<VirtualHost>的配置里加入以下內容即可

Header set Access-Control-Allow-Origin *

PHP配置方法

header("Access-Control-Allow-Origin:*");

以上的配置的含義是允許任何域發起的請求都可以獲取當前服務器的數據。當然，這樣有很大的危險性，惡意站點可能通過XSS攻擊我們的服務器。所以我們應該盡量有針對性地設置安全的來源，例如下面的設置使得只有http://www.shihj.com這個域才能跨域訪問服務器的API。

header("Access-Control-Allow-Origin:http://www.shihj.com");

對于通配符*，它可以直接Access-Control-Allow-Origin:*這樣使用，但它是不允許通配子域名的，如：Access-Control-Allow-Origin:*.shihj.com。

?

值得注意的是,直接通過FORM表單提交的POST/GET請求并不會被瀏覽器同源策略限制,這也是為什么要設置csrf_token防范CSRF攻擊.

?

JSONP的跨域客戶端具體實現：

不管jQuery也好，extjs也罷，又或者是其他支持jsonp的框架，他們幕后所做的工作都是一樣的，下面我來循序漸進的說明一下jsonp在客戶端的實現：

?

1、我們知道，哪怕跨域js文件中的代碼（當然指符合web腳本安全策略的），web頁面也是可以無條件執行的。

遠程服務器remoteserver.com根目錄下有個remote.js文件代碼如下：

alert('我是遠程文件');

本地服務器localserver.com下有個jsonp.html頁面代碼如下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html>

毫無疑問，頁面將會彈出一個提示窗體，顯示跨域調用成功。

?

2、現在我們在jsonp.html頁面定義一個函數，然后在遠程remote.js中傳入數據進行調用。

jsonp.html頁面代碼如下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> var localHandler = function(data){ alert('我是本地函數，可以被跨域的remote.js文件調用，遠程js帶來的數據是：' + data.result); }; </script> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html>

remote.js文件代碼如下：

localHandler({"result":"我是遠程js帶來的數據"});

運行之后查看結果，頁面成功彈出提示窗口，顯示本地函數被跨域的遠程js調用成 功，并且還接收到了遠程js帶來的數據。很欣喜，跨域遠程獲取數據的目的基本實現了，但是又一個問題出現了，我怎么讓遠程js知道它應該調用的本地函數叫 什么名字呢？畢竟是jsonp的服務者都要面對很多服務對象，而這些服務對象各自的本地函數都不相同啊？我們接著往下看。

?

3、聰明的開發者很容易想到，只要服務端提供的js腳本是動態生成的就行了唄，這樣調用者可以傳一個參數過去告訴服務端“我想要一段調用XXX函數的js代碼，請你返回給我”，于是服務器就可以按照客戶端的需求來生成js腳本并響應了。

看jsonp.html頁面的代碼：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> // 得到航班信息查詢結果后的回調函數 var flightHandler = function(data){ alert('你查詢的航班結果是：票價 ' + data.price + ' 元，' + '余票 ' + data.tickets + ' 張。'); }; // 提供jsonp服務的url地址（不管是什么類型的地址，最終生成的返回值都是一段javascript代碼） var url = "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998&callback=flightHandler"; // 創建script標簽，設置其屬性 var script = document.createElement('script'); script.setAttribute('src', url); // 把script標簽加入head，此時調用開始 document.getElementsByTagName('head')[0].appendChild(script); </script> </head> <body> </body> </html>

這次的代碼變化比較大，不再直接把遠程js文件寫死，而是編碼實現動態查詢，而這也正是jsonp客戶端實現的核心部分，本例中的重點也就在于如何完成jsonp調用的全過程。

我們看到調用的url中傳遞了一個code參數，告訴服務器我要查的是CA1998次航班的信息，而callback參數則告訴服務器，我的本地回調函數叫做flightHandler，所以請把查詢結果傳入這個函數中進行調用。

OK，服務器很聰明，這個叫做flightResult.aspx的頁面生成了一段這樣的代碼提供給jsonp.html（服務端的實現這里就不演示了，與你選用的語言無關，說到底就是拼接字符串）：

flightHandler({"code": "CA1998","price": 1780,"tickets": 5 });

我們看到，傳遞給flightHandler函數的是一個json，它描述了航班的基本信息。運行一下頁面，成功彈出提示窗口，jsonp的執行全過程順利完成！

?

4、到這里為止的話，相信你已經能夠理解jsonp的客戶端實現原理了吧？剩下的就是如何把代碼封裝一下，以便于與用戶界面交互，從而實現多次和重復調用。

什么？你用的是jQuery，想知道jQuery如何實現jsonp調用？好吧，那我就好人做到底，再給你一段jQuery使用jsonp的代碼（我們依然沿用上面那個航班信息查詢的例子，假定返回jsonp結果不變）：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" > <head> <title>Untitled Page</title> <script type="text/javascript" src=jquery.min.js"></script> <script type="text/javascript"> jQuery(document).ready(function(){
$.ajax({ type: "get", async: false, url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998", dataType: "jsonp", jsonp: "callback",//傳遞給請求處理程序或頁面的，用以獲得jsonp回調函數名的參數名(一般默認為:callback) jsonpCallback:"flightHandler",//自定義的jsonp回調函數名稱，默認為jQuery自動生成的隨機函數名，也可以寫"?"，jQuery會自動為你處理數據 success: function(json){ alert('您查詢到航班信息：票價： ' + json.price + ' 元，余票： ' + json.tickets + ' 張。'); }, error: function(){ alert('fail'); } }); }); </script> </head> <body> </body> </html>

是不是有點奇怪？為什么我這次沒有寫flightHandler這個函數呢？而且竟然也運行成功了！哈哈，這就是jQuery的功勞了，jquery在處理jsonp類型的ajax時（還是忍不住吐槽，雖然jquery也把jsonp歸入了ajax，但其實它們真的不是一回事兒），自動幫你生成回調函數并把數據取出來供success屬性方法來調用，是不是很爽呀？

相關資料

https://segmentfault.com/q/1010000002994755

http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html

?

轉載于:https://www.cnblogs.com/share123/p/6525909.html

總結

以上是生活随笔為你收集整理的js 跨域问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。