题目1: 什么是同源策略
浏览器限制不同源的两个网站间脚本和文本的相互访问,只允许访问同源下的内容。所谓同源,就是指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
题目2: 什么是跨域?跨域有几种实现形式
二、 什么是跨域?跨域有几种实现形式?
答:一个网站访问非同源页面的对象就是跨域;有四种常见的方式:
- CORS(跨域资源共享);
- JSONP;
- 降域;
- PostMessage
CORS是一个W3C标准,全称是“跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老式浏览器全部支持,服务器改造非常小。它的基本思想是,网页通过添加一个<script>元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
当这两个域名都属于同一个基础域名!而且所用的协议,端口都一致的时候,可以使用降域来实现跨域
当上述成立的时候,可以通过将domain改成一样的来实现
例:
//页面A的URL: http://a.homyit.com/a.html
设置window.domain = http://homyit.com
//页面B的URL: http://b.homyit.com/a.html
设置window.domain = homyit.com
这样两个页面间就可以通信了
- HTML5引入了一个全新的API:跨文档通信 API(Cross-document messaging)。这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。postMessage(适用于两个iframe或两个页面之间)
题目3: JSONP 的原理是什么
html中的script标签可以引入其他域下的js,利用这个特性可以实现跨域访问接口,需要后端支持
在请求的query中传入约定好的函数名,构建callback(JSON)的格式,事先在HTML中定义好function callback(),然后返回的字符串callback(JSON)会当做JS执行,把想要的信息放在页面上。
<script>
function jsonpCallBack (res, req) {
console.log(res, req);
}
</script>
<script type="text/JavaScript" src="http://localhost/test/jsonp.php?callback=jsonpCallBack&data=getJsonpData"></script>
<?php
/*后端获取请求字段数据,并生成返回内容*/
$data = $_GET["data"];
$callback = $_GET["callback"];
echo $callback."('success', '".$data."')";
?>
题目4: CORS是什么
是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上
实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。两种请求的流程略有不同,具体可参考
阮一峰,CORS通信
题目五,跨域实例
代码
关于fs ,path 等模块 参考(http://javascript.ruanyifeng.com/nodejs/fs.html#)
