如何在本地伪装一个网站
1.编辑 hosts 文件
Mac:sudo vi/etc/hosts
Windows:hosts文件的路径是:C:\Windows\System32\Drivers\etc\hosts,可以使用记事本等文字编辑器打开
2.添加一行 127.0.0.1 xxx.com
3.保存关闭
4.访问 xxx.com 端口号
如何监听 80 端口
Mac:sudo http-server -c-1 -p 80
Windows :
1.以管理员身份运行 git bash
2.http-server -c-1 -p 80
浏览器的同源策略
同源指的是协议相同,域名相同,端口相同。不同源的客户端脚本在没明确授权的情况下,不能读写对方的资源。
http://zhihu.com 这个网址,协议是 http://,域名是 zhihu.com,端口是80(默认端口可以省略)。
下面都不同源
1 | 1. http://zhihu.com vs http://www.zhihu.com |
2 | 2. http://zhihu.com vs https://zhihu.com |
3 | 3. http://zhihu.com vs http://zhihu.com:81 |
4 | 4. http://zhihu.com vs http://zhihu.com.cn |
only http://zhihu.com vs http://zhihu.com
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
限制范围
1.Cookie、LocalStorage 和 IndexDB 无法读取。
2.DOM 无法获得。
3.AJAX 请求不能发送。
CORS
CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。当一个资源从与该资源本身所在的服务器不同源请求一个资源时,资源会发起一个跨域 HTTP 请求。
1.简单模式 (GET、POST)
目标服务器在响应头里添加 Access-Control-Allow-Origin: http://xxx.com 即可,服务端仅允许来自 http://xxx.com 的访问
2.复杂模式(除了GET、POST)
1 | Access-Control-Allow-Origin: http://xxx.com |
2 | Access-Control-Allow-Methods: POST, GET, OPTIONS, PATCH, DELETE, HEAD |
会发两次请求,第一次是 OPTIONS 请求,询问目标服务器是否允许 PUT/PAT等,如果允许,则发真正的请求。
JSONP
JSONP是服务器与客户端跨源通信的常用方法。
它的基本思想是,网页通过添加一个 script 元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
1.让目标网站在一个 xxx.js 里放置数据,形式是 JSON + Padding
1 | {{callback}}({ |
2 | "name":"frank", |
3 | "qb":10000 |
4 | }) |
2.本网站使用 script 加载 xxx.js
1 | var script = document.createElement('script'); |
2 | script.src = 'http://qq.com/xxx.js'; |
3 | document.head.appendChild(script); |
3.约定用 callback=xxx 来交流
1 | function jsonp(url,fn){ |
2 | var functionName = 'frank' + parseInt(Math.random()*10000,10); |
3 | window[functionName] = fn; |
4 | var script = document.createElement('script'); |
5 | script.src = url + '?callback=' + functionName; |
6 | document.head.appendChild(script); |
7 | } |
1 | // nodejs |
2 | if(path === '/xxx.js'){ |
3 | var callback = query.callback |
4 | var string = fs.readFileSync('./xxx.js', 'utf8') |
5 | response.setHeader('Content-Type', 'text/javascript;charset=utf-8') |
6 | setTimeout(function(){ |
7 | response.end(string.replace('{{callback}}', callback)) |
8 | }, Math.random() * 1000) |
9 | } |
4.jQuery 用法
1 | $.ajax({ |
2 | url:'http://qq.com/xxx.js', |
3 | dataType:'jsonp', |
4 | success:function(data){ |
5 | console.log('第一次') |
6 | console.log(data) |
7 | } |
8 | }) |
JSONP 和 AJAX 的区别
1.原理 JSONP 是 script,AJAX 是 JS 发出的请求
2.JSONP 只能 GET,AJAX 都行
3.JSONP 不太安全,因为大家都可以访问(没有限制),AJAX 有跨域限制