1、什么是同源策略?
同源策略,即Same origin policy,它是所有支持JavaScript的浏览器都会使用的一种安全策略。
所谓同源,指的是同协议、同域名、同端口。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
2、什么是跨域?跨域有几种实现形式?
- 由于同源策略的存在,我们的浏览器不能执行其他网站的脚本,这时候就需要用到跨域。
简言之,跨域就是在不同源的情况下,通过某一个域名的网页去请求另一个域名的资源。其中,只要协议、域名、端口中有任何一个是不同的,就被视为是跨域。 - 一般来说,跨域有包括JSONP、CORS、降域、postMessage等在内的四种实现形式。
3、JSONP 的原理是什么?
JSONP,即JSON Padding, 其原理是利用<script>标签中src属性的链接没有跨域限制的特性,达到与第三方通讯的目的。
当我们需要进行跨域通讯时,可以先创建一个<script>标签元素,地址指向第三方的API网址,并提供一个回调函数来接收数据。第三方产生的响应为JSON数据的包装,这样浏览器就会调用callback函数,并传递解析后的JSON对象作为参数。本站的脚本就可以在callback函数里处理所传入的数据了。
4、CORS是什么?
CORS的全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。
当我们使用 XMLHttpRequest 发送请求时,浏览器如果发现该请求不符合同源策略,会给该请求加一个请求头:Origin;后台在经过一系列的处理后,如果确定接受该请求,则会在返回的结果中加入一个响应头:Access-Control-Allow-Origin。
浏览器会自动判断该响应头中是否包含 Origin 的值。如果包含,则浏览器会处理该响应,我们就可以拿到响应数据;如果不包含,浏览器会直接驳回,我们就无法拿到响应数据了。
所以 CORS 的表象会让你觉得它与同源的 ajax 请求没有任何区别,代码也完全一样。
