什么是AJAX ?
AJAX 是无需刷新页面就能够从服务器去的数据的一种方法,负责Ajax运作的核心对象是XMLHttpRequest(XHR)对象。
同源策略是对XHR的一个主要约束,它为通信设置了“相同的域、相同的端口、相同的协议”这一限制。
试图访问上述限制之外的资源都会引发安全错误,除非采用被认可的跨域解决方案。
这个方案叫做CORS(Cross-Origin Resource Sharing)跨源资源共享。
哪些访问属于跨域?
-
http://a.com不允许访问http://b.com(不同域)
-
http://a.com不允许访问https://a.com(同一域名,不同协议)
-
http://a.com不允许访问http://a.com:8080(同一域名,不同端口)
-
http://a.com不允许访问http://192.168.1.1(域名和域名对应的ip)
-
http://a.a.com不允许访问http://b.a.com(主域相同,子域不同)
三种解决方案:
-
方案一: //弊端:存在浏览器兼容的问题
服务方设置: Access-Control-Allow-Origin。 切记:Access-Control-Allow-Origin 不可设置为 * 。 //设置可供访问的白名单 $white_list = ['http://t1.abc.com','http://t2.abc.com']; $_SERVER['HTTP_ORIGIN'] //表示请求方的域名 $http_origin = ''; if (!empty($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'],$white_list)) { $http_origin = $_SERVER['HTTP_ORIGIN']; //设置 header 信息 header("Access-Control-Allow-Origin: {$http_origin}"); header("Access-Control-Allow-Methods","POST,GET"); header('Access-Control-Allow-Credentials:true'); //允许访问Cookie header('Access-Control-Allow-Headers : X-Requested-With'); //设置Headers } //执行代码逻辑... 另:如果请求的是html,在文件里加上meta标签。 <meta http-equiv="Access-Control-Allow-Origin" content="*">
-
方案二: //弊端:不支持 POST 请求。 使用 JSONP 进行解决跨域问题,网上文章蛮多的。
-
方案三: 与方案一类似。 修改Nginx Apache 配置。 //Nginx http { ...... add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; ...... } Apache : <Directory /> ...... Header set Access-Control-Allow-Origin * </Directory>
大家可以根据自己的情况进行选择方案~
出自:http://mp.weixin.qq.com/s?__biz=MjM5NDM4MDIwNw==&mid=2448834685&idx=1&sn=4b39921d64588c8139a8bfd02cce6b68&chksm=b28a40bd85fdc9abc00d7862477edc688959d40b865bbddd17b21e40ddcf8c4ac4bd4a6a97e7#rd (编辑:李大同)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
