jquery----Ajax 心已赠人 2021-10-25 14:44 422阅读 0赞 伪Ajax请求: 利用iframe进行伪造请求,利用js给iframe的src属性添加网址,iframe会给这个网址发送静态请求 ![ContractedBlock.gif][] ![ExpandedBlockStart.gif][] <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8"> <title></title> </head> <body> <div> <p>请输入要加载的地址:<span id="currentTime"></span></p> <p> <input id="url" type="text" /> <input type="button" value="刷新" onclick="LoadPage();"> </p> </div> <div> <h3>加载页面位置:</h3> <iframe id="iframePosition" style="width: 100%;height: 500px;"></iframe> </div> <script type="text/javascript"> function LoadPage(){ var targetUrl = document.getElementById('url').value; document.getElementById("iframePosition").src = targetUrl; } </script> </body> </html> iframe 原生Ajax: <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8"> <title></title> <script src="jquery.min.js"></script> </head> <body> <h1>XMLHttpRequest - Ajax请求</h1> <input type="button" οnclick="XmlGetRequest();" value="Get发送请求" /> <input type="button" οnclick="XmlPostRequest();" value="Post发送请求" /> <script type="text/javascript"> function GetXHR(){ var xhr = null; if(XMLHttpRequest){ //表示对不同的浏览器的支持(包括新版本ie),现在通常的浏览器都支持XMLHttpRequest xhr = new XMLHttpRequest(); //创建ajax引擎对象 }else{ xhr = new ActiveXObject("Microsoft.XMLHTTP"); //ie } return xhr; } function XmlGetRequest(){ var xhr = GetXHR(); xhr.onreadystatechange = function(){ //回调函数,ajax请求之后,onreadystatechange函数会被执行4次 if(xhr.readyState == 4&&xhr.status==200){ // 已经接收到全部响应数据,执行以下操作 var data = xhr.responseText; console.log(data,"data"); }else{ //服务器资源还没到 //可以让页面显现一个等待的gif图片 } }; // 指定连接方式和地址----文件方式 xhr.open('get', "/test/", true); //true表示异步(默认),如果为同步,send()之后必须等返回结果,并处理请求之后,在继续执行send()之后的代码 // 发送请求 xhr.send(); } function XmlPostRequest(){ var xhr = GetXHR(); console.log("POST XHR") xhr.onreadystatechange = function(){ if(xhr.readyState == 4){ // 已经接收到全部响应数据,执行以下操作 var data = xhr.responseText; console.log(data); } }; // 指定连接方式和地址----文件方式 xhr.open('POST', "/test/", true); // 设置请求头 xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset-UTF-8'); //在form表单中有属性enctype="application/x-www-form-urlencoded",表示数据按照键值对发送(form表单默认有) // 发送请求 xhr.send('n1=1;n2=2;'); } </script> </body> </html> 流程:创建一个XMLHttpRequest对象,设置回调函数,建立连接,(Post请求,要设置请求头) ,发送数据 ![1527592-20190711223859009-520100843.png][] Jquery Ajax: jQuery其实就是一个JavaScript的类库,其将复杂的功能做了上层封装,使得开发者可以在其基础上写更少的代码实现更多的功能。 jQuery.ajax(...) 部分参数: url:请求地址 type:请求方式,GET、POST(1.9.0之后用method) headers:请求头 data:要发送的数据 contentType:即将发送信息至服务器的内容编码类型(默认: "application/x-www-form-urlencoded; charset=UTF-8") async:是否异步 timeout:设置请求超时时间(毫秒) beforeSend:发送请求前执行的函数(全局) complete:完成之后执行的回调函数(全局) success:成功之后执行的回调函数(全局) error:失败之后执行的回调函数(全局) accepts:通过请求头发送给服务器,告诉服务器当前客户端课接受的数据类型 dataType:将服务器端返回的数据转换成指定类型 "xml": 将服务器端返回的内容转换成xml格式 "text": 将服务器端返回的内容转换成普通文本格式 "html": 将服务器端返回的内容转换成普通文本格式,在插入DOM中时,如果包含JavaScript标签,则会尝试去执行。 "script": 尝试将返回值当作JavaScript去执行,然后再将服务器端返回的内容转换成普通文本格式 "json": 将服务器端返回的内容转换成相应的JavaScript对象 "jsonp": JSONP 格式 使用 JSONP 形式调用函数时,如 "myurl?callback=?" jQuery 将自动替换 ? 为正确的函数名,以执行回调函数 如果不指定,jQuery 将自动根据HTTP包MIME信息返回相应类型(an XML MIME type will yield XML, in 1.4 JSON will yield a JavaScript object, in 1.4 script will execute the script, and anything else will be returned as a string converters: 转换器,将服务器端的内容根据指定的dataType转换类型,并传值给success回调函数 $.ajax({ accepts: { mycustomtype: 'application/x-some-custom-type' }, // Expect a `mycustomtype` back from server dataType: 'mycustomtype' // Instructions for how to deserialize a `mycustomtype` converters: { 'text mycustomtype': function(result) { // Do Stuff return newresult; } }, }); 更多 jQuery.get(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 dataType: 返回内容格式,xml, json, script, text, html jQuery.post(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数 success: 载入成功时回调函数 dataType: 返回内容格式,xml, json, script, text, html jQuery.getJSON(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 jQuery.getScript(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 跨域Ajax: **同源策略 Same-Origin-Policy(SOP)** [ ][Link 1] ** 浏览器**采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说浏览器禁止的是来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。 情景: 比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。 浏览器中有哪些不受同源限制呢? <script>、<img>、<iframe>、<link>这些包含 src 属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。 **跨域** 跨域是指从一个域的网页去请求另一个域的资源。比如从 http://www.baidu.com/ 页面去请求 http://www.google.com 的资源。 **1、JSONP实现跨域请求** 缺点:仅仅用于get请求 原理:利用src属性不受同源策略的影响。将需要请求的url动态添加到src属性中,服务器针对这些请求将数据存放在js文件中,返回给客户端 ** JSONP**:该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。 1、简单例子 远程服务器remoteserver.com根目录下有个remote.js文件代码如下: alert('我是远程文件'); 本地服务器localserver.com下有个jsonp.html页面代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html> 页面将会弹出一个提示窗体,显示跨域调用成功。 2、现在我们在jsonp.html页面定义一个函数,然后在远程remote.js中传入数据进行调用。 jsonp.html页面代码如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> var localHandler = function(data){ alert('我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:' + data.result); }; </script> <script type="text/javascript" src="http://remoteserver.com/remote.js"></script> </head> <body> </body> </html> remote.js文件代码如下: localHandler({"result":"我是远程js带来的数据"}); 3、动态生成js脚本(数据) <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title> <script type="text/javascript"> // 得到航班信息查询结果后的回调函数 var flightHandler = function(data){ alert('你查询的航班结果是:票价 ' + data.price + ' 元,' + '余票 ' + data.tickets + ' 张。'); }; // 提供jsonp服务的url地址(不管是什么类型的地址,最终生成的返回值都是一段javascript代码) var url = "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998&callback=flightHandler"; // 创建script标签,设置其属性 var script = document.createElement('script'); script.setAttribute('src', url); // 把script标签加入head,此时调用开始 document.getElementsByTagName('head')[0].appendChild(script); </script> </head> <body> </body> </html> 服务器根据请求的内容,执行相应的操作,取出callback中的函数动态生成js文件(数据,return HttpResponse("Callback\_function(\{"a":"b"\})")),给客户端返回 flightHandler({ "code": "CA1998", "price": 1780, "tickets": 5 }); 4、jQuery如何实现jsonp调用 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" > <head> <title>Untitled Page</title> <script type="text/javascript" src=jquery.min.js"></script> <script type="text/javascript"> jQuery(document).ready(function(){ $.ajax({ type: "get", async: false, url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998", dataType: "jsonp", jsonp: "callback",//传递给请求处理程序或页面的,用以获得jsonp回调函数名的参数名(一般默认为:callback) jsonpCallback:"flightHandler",//自定义的jsonp回调函数名称,默认为jQuery自动生成的随机函数名,也可以写"?",jQuery会自动为你处理数据 也可以不用sucess,自己写函数flightHandler success: function(json){ alert('您查询到航班信息:票价: ' + json.price + ' 元,余票: ' + json.tickets + ' 张。'); }, error: function(){ alert('fail'); } }); }); </script> </head> <body> </body> </html> jquery在处理jsonp类型的ajax时(,虽然jquery也把jsonp归入了ajax,但其实它们真的不是一回事儿),自动帮你生成回调函数并把数据取出来供success属性方法来调用 补充: ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加 CORS: 参考:[https://www.cnblogs.com/lishanlei/p/8823823.html\#autoid-0-0-0][https_www.cnblogs.com_lishanlei_p_8823823.html_autoid-0-0-0] 随着技术的发展,现在的浏览器可以支持主动设置从而允许跨域请求,即:跨域资源共享(CORS,Cross-Origin Resource Sharing),其本质是设置响应头,使得浏览器允许跨域请求。 CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否 Access-Control-Allow-Origin:指定授权访问的域 "Access-Control-Allow-Origin", "http://192.168.56.130" 比如配置了192.168.56.130,那么只有192.168.56.130 能拿到数据,否则全部报403异常 Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等) 简单请求:一次请求 浏览器发出CORS 简单请求,只需要在头信息之中增加一个Origin字段。 浏览器发出CORS 非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。 条件: 1、请求方式:HEAD、GET、POST 2、请求头信息: Accept Accept-Language Content-Language Last-Event-ID Content-Type 对应的值是以下三个中的任意一个 application/x-www-form-urlencoded multipart/form-data text/plain 注意:同时满足以上两个条件时,则是简单请求,否则为复杂请求 非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。 关于“预检” - 请求方式:OPTIONS - “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息 - 如何“预检” => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过 Access-Control-Request-Method => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过 Access-Control-Request-Headers # 补充eval函数使用 # eval("var obj = {'s':'xxx'}") //格式 转载于:https://www.cnblogs.com/yanxiaoge/p/10513904.html [ContractedBlock.gif]: https://images.cnblogs.com/OutliningIndicators/ContractedBlock.gif [ExpandedBlockStart.gif]: /images/20211025/98362b3e550f4af59c0db98b9f19f0a6.png [1527592-20190711223859009-520100843.png]: /images/20211025/41ff2b849a3a4a9788d5a2b1bd599d09.png [Link 1]: https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy [https_www.cnblogs.com_lishanlei_p_8823823.html_autoid-0-0-0]: https://www.cnblogs.com/lishanlei/p/8823823.html#autoid-0-0-0
相关 jQueryAJAX的$.ajax()用jsonp解决跨域问题 在以前的$.ajax()的跨域解决办法是:先访问本地服务器,在本地服务器中再访问到远程服务器。 可是呢!大家有没有觉得那种办法会在性能上稍有欠缺呢,会不会造成资源成本的浪费呢 末蓝、/ 2022年09月25日 03:23/ 0 赞/ 261 阅读
还没有评论,来说两句吧...