URL: Uniform Resource Locator 统一资源定位符,俗称网址
http://www.baidu.com:80/dir/index.html?uid=1#ch1
服务器地址:www.baidu.com
服务器端口号:80 (http默认端口:80,https默认端口:443)
带层次的文件路径:dir/index.html
查询字符串:uid=1
片段标识符:ch1(不会发起请求,只是在文档内定位,浏览器不会把这段内容发送给server)
什么是源?
location.origin 可以打出当前页面完整的源(IE不支持)
IE不支持,如何解决?
if(!location.origin){
location.origin=location.protocol+location.hostname+’:’+location.port
}
同源是指 协议+域名+端口号 相同
同源策略(Same-Origin Policy)是浏览器的一个功能
不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
计算机中的host文件?
我们在访问一个域名的时候,会去服务器请求IP,但是呢,我们也可以不去服务器请求,而是自己手动设定一个。
默认情况下,80端口只有系统管理员才能监听。
什么不是同源策略?
a.com/index.html
可以引用b.com/main.js
可以引用b.com/style.css
可以引用b.com/logo.png
(可以跨站引用,但是不能用ajax去读取)
但是,a.com里面的b.com/main.js 不能对b.com的资源进行读写。
跨域:突破同源策略的限制
1.降域
不同源->同源
用JS 改变当前页面的域
document.domain=a.com
ajax有可能不受domain限制?
缺点:只对Iframe形式的跨域可以解决
要有同样后缀的域名才能实施
2.JSONP
a.com 可以引用b.com的js文件
我们是不是可以在b.com的js文件里放数据?
满足两个条件:
1.接受一个callback的名字:XXX
2.返回JS的内容,调用XXX
注意,jsonp (json with padding) 和json没有什么关系
jsonp 就是动态的script. 你传什么callback,我就生成什么样的方法。
3.Cross-Origin Resource Sharing
4.HTML5 postMessage
5.其它Hack
CORS ( Cross-Origin Resource Sharing ,跨域资源共享)定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。
CORS的基本思想是:就是使用自定义的HTTP头部让浏览器与服务器沟通,从而决定请求或相应应该是成功,还是应该失败。
首先,我们来明确一下使用XMLHttpRequest ( XHR ) 对象实现AJAX通信的一个主要限制,来源于跨域安全策略。默认情况下,XHR对象只能访问与包含它的页面位于同一个域中的资源。这种安全策略可以预防某些恶意行为,但是,实现合理的跨域请求对开发某些浏览器应用程序也是至关重要的。
比如XHR发起的跨域GET或POST请求,为了让服务器能正常处理这个请求,我们在发送该请求时,需要给它附加一个额外的Origin头部,其中包含请求页面的源信息(协议、域名、端口),然后服务器根据这个头部信息来决定是否给予响应。
Origin : http://www.baidu.com
如果服务器认为该请求可接受,就在Access-Control-Allow-Origin头部中发回相同的源信息,如果是公共资源,可以回发“ * ”。
Access-Control-Allow-Origin : http://www.baidu.com
如果没有这个头部,或者有这个头部信息但源信息不匹配,浏览器就会驳回请求。正常情况下,浏览器会处理请求。这个请求和响应都不能包含cookie信息。