11. cookie_session_原生ajax_readyState的值_同源策略_跨域_jsonp的使用
1. cookie
浏览器存储技术。(服务器将少量数据交于浏览器存储管理)
作用: 存储数据, 解决 http 协议无状态问题
工作流程:
浏览器发送请求给服务器,请求登录
服务器返回响应给浏览器,此时携带了cookie(其中包含着当前用户的唯一标识)
浏览器接受到响应中cookie,得保存下来
浏览器下一次发送请求时,会自动携带上cookie,
服务器接受到请求,解析cookie,从而判断是哪个用户发送的请求(解决http协议无状态问题)
服务器端的使用:
设置 cookie res.cookie(key, value, options)
获取 cookie 引入第三方中间件解析 cookie-parser req.cookies
清除浏览器 cookie res.clearCookie(key)
前端使用:
document.cookie 读写二合一
清除 document.cookie = 'hello=123;expires=' + new Date(Date.now() - 1000);
特点:
cookie 数量有限制,同一个域名下大约 20 个左右(不同浏览器不一样)
cookie 大小有限制,每一个 cookie 最大值大约 4kb 左右(不同浏览器不一样)
2. session
也是一种解决 http 协议无状态问题的方案
不同的是:
session 存储位置是服务器
存储大小近乎无限
传输流量更小(只产生一个cookie)
① 创建xhr对象
② 绑定事件监听
onreadystatechange 会监听 readyState 值的变化,一旦发生变化,就会触发当前事件
③ 设置请求信息
xhr.open(请求方式, 请求地址) (get 请求参数在这写, 以 查询字符串 的方式)
④ 发送请求
xhr.send(body); (post 请求参数写在这儿,以 请求体参数 的方式)
问题:
chrome 和 firefox: 第二次 get 请求默认走协商缓存,状态码 304,还是会向服务器发送请求
ie:第二次 get 请求默认走强制缓存,状态码 200,不会向服务器发请求
解决:让每一次请求不一样,只要请求不一样,就不会走缓存
4. 谈谈readyState的值
0: xhr 对象创建成功,但是 xhr.open() 方法还未调用
1: xhr.open() 方法已经调用了,但是还未调用 xhr.send() 方法(意味着还没有发送请求,还可以设置请求头信息)
2: xhr.send() 方法已经调用了,接受到了部分响应数据(响应首行和响应头)
3: 接受了响应体数据(如果响应体数据较小或者是纯文本,在此阶段就全部接受完了)
4: 接受了全部响应体数据(数据较大或者音视频资源等)
5. 跨域
同源: 协议、域名、端口号 必须完全相同
同源策略 (Same-Origin Policy) 最早由 Netscape 公司提出,是浏览器的一种安全策略
违背同源策略就是跨域
解决最终原理:绕过浏览器的 ajax 引擎就 ok,所以后面还有服务器代理模式、Nginx 反向代理等方案
解决方案:
- jsonp
利用 script 标签能够跨域的特性解决跨域的
只能发送 get 请求, 兼容性好
步骤:
① 创建 script 标签
② 设置响应成功的回调函数
③ 设置 script 的src 属性
④ 将 script 添加到页面中生效
⑤ 服务器必须响应 callback(data) 格式数据
- cors
11. cookie_session_原生ajax_readyState的值_同源策略_跨域_jsonp的使用的更多相关文章
- 第二百七十四节,同源策略和跨域Ajax
同源策略和跨域Ajax 什么是同源策略 尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可.浏览器的各种保安措 ...
- JS同源策略和跨域问题
同源策略和跨域问题:http://www.cnblogs.com/chaoyuehedy/p/5556557.html 深入浅出JSONP--解决ajax跨域问题:http://www.cnblogs ...
- JS同源策略和跨域访问
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响.可以说Web是构建在同源策略基础之上的,浏览器只 ...
- cors跨域和jsonp劫持漏洞 和 同源策略和跨域请求解决方案
cors跨域和jsonp劫持漏洞: https://www.toutiao.com/a6759064986984645127/ 同源策略和跨域请求解决方案:https://www.jianshu.co ...
- Ajax_同源策略以及跨域问题
Ajax_同源策略 同源策略是浏览器的一种安全策略, 同源指的是:协议.域名.端口.必须完全相同. 违背同源策略就是跨域. 而AJAX是默认遵循同源策略的: 同源说通俗一点呢就是页面跟获取请求的接口是 ...
- ajax请求总是不成功?浏览器的同源策略和跨域问题详解
场景 码农小明要做一个展示业务数据的大屏给老板看,里面包含了来自自己网站的数据和来自隔壁老王的数据.那么自己网站的数据提供了 http://xiaoming.com/whoami 这样的数据接口隔壁老 ...
- django中同源策略和跨域解决方案
一 同源策略 1.1何谓同源? 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源. 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同 ...
- 1.7 xss之同源策略与跨域访问
同源策略: 同源策略 在web应用的安全模型中是一个重要概念.在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时.源是由URI,主机名,端口号组合而 ...
- script标签crossorigin属性及同源策略和跨域方法
首先介绍(同源策略) 同源策略是浏览器最核心且基本的安全约定,要求协议.域名.端口都相同为同源,如果非同源时请求数据浏览器会在控制台抛出跨域异常错误,同源策略是浏览器的行为,即使客户端请求发送了,服务 ...
随机推荐
- JS异步加载的三种方案
js加载的缺点:加载工具方法没必要阻塞文档,个别js加载会影响页面效率,一旦网速不好,那么整个网站将等待js加载而不进行后续渲染等工作. 有些工具方法需要按需加载,用到再加载,不用不加载. 一.def ...
- JavaScript事件的属性列表
HTML 4.0 的新特性之一是能够使 HTML 事件触发浏览器中的行为,比如当用户点击某个 HTML 元素时启动一段 JavaScript.下面是一个属性列表,可将之插入 HTML 标签以定义事件的 ...
- react中input自动聚焦问题
input自动聚焦问题 在react中可以使用refs解决这个问题,首先看一下refs的使用场景: (1)处理焦点.文本选择或媒体控制. (2)触发强制动画. (3)集成第三方 DOM 库. 使用re ...
- jdk1.8新特性 lambda表达式和Stream
一.Lambda 1.lambda : 匿名函数 2.好处:减少打码的冗余,增强匿名函数的可读性 3.语法格式 语法格式一 : 无参数,无返回值 () -> System.out.println ...
- k64 datasheet学习笔记25--Multipurpose Clock Generator (MCG)
0.前言 MCG模块为MCU提供了几种可选时钟源.模块包含一个FLL和一个PLL.FLL使用内部或外部参考时钟是可控的,PLL受外部参考时钟控制 模块可以选择FLL或PLL输出时钟,或内/外部参考时钟 ...
- 使用Elasticsearch-dump迁移ES数据
1. Elasticsearch-dump 安装 1) yum install epel-release 2) yum install nodejs 3) yum install nodejs npm ...
- Django—模型
索引 1.定义模型类 2.模型类 3.字段查询 4.查询集 5.模型类关系 6.模型类扩展 ORM简介 ORM,全拼Object-Relation Mapping,中文意为对象-关系映射,是随着面向对 ...
- eclise开发设置
eclipse在debug模式下鼠标移动到变量上不显示值的问题 在eclipse中调试时,鼠标移动到变量上不显示值,使用ctrl+shift+i,或者通过配置达到目的: Window->Pre ...
- django 第二天
进行了前后端简单的链接 view 视图代码如下 from django.shortcuts import render from django.http import HttpResponse fro ...
- Autofac 依赖注入框架 使用
简介 Autofac是一款IOC框架,比较于其他的IOC框架,如Spring.NET,Unity,Castle等等所包含的,它很轻量级性能上非常高. 官方网站http://autofac.org/ 源 ...