跨域请求:页面向非本身来源的域的url(非同源)发起的请求。
非同源:url地址中协议名、域名(IP)、端口号三者其中有1个不同。
浏览器禁止ajax跨域请求,但是不禁止非ajax的跨域请求(页面资源请求,表单请求,a标签的链接)。
浏览器为什么会禁止ajax跨域请求?
保证cokie只发送到同源的服务器,保护浏览器用户的隐私。
浏览器对于跨域ajax请求,并不会直接禁止,而是会发出本次请求,在收到请求的响应头时查看是否包含Access-Control-Allow-Origin,从而判断本次请求是否允许跨域。如果不包含本字段或者本字段的值中不包含当前页面的域名则表示不允许;如果本字段的值包含当前页面地址或者值为*则表示允许跨域访问。
如果本次请求不允许跨域访问,浏览器会直接放弃本次请求,按照请求失败处理。如果允许跨域访问则按照请求成功处理。
cors跨域可以使用get也可以使用post。
JSONP(JSON padding)。浏览器只禁止ajax的跨域请求*,所以可以创建一个script标签,把script标签的src设置为请求接口的地址,并准备好一个函数,将函数名作为本次请求的参数发给服务器,服务器收到请求之后,使用参数中的函数名拼接出一段js代码,将需要返回的数据作为参数拼接在函数调用中,然后将这段js代码返回给前端。
前端浏览器在收到这段代码之后会立刻执行,调用准备好的函数,函数中的参数就是本次请求的数据。
当页面需要向非同源服务器发送请求时,可以先将请求发送到自身来源的服务器,自己的服务器对请求向目标服务器进行转发,当得到请求数据之后再将数据返回给页面。