在进行AJAX的时候会经常产生这样一个报错:
看红字,这是浏览器的同源策略,使跨域进行的AJAX无效。注意,不是不发送AJAX请求(其实就是HTTP请求),而是请求了,也返回了,但浏览器‘咔擦’一声,下面没有了。对比下fiddler和浏览器抓的包的异同:
fiddler:
chrome:
简而言之,浏览器这边就是头(response header)给看,身体(response body)不给看。
什么是同源策略?为什么会有同源策略?这一点在吴翰清老师著的《白帽子讲Web安全》一书中由阐述,这里就不赘述了。下面要做的,就是使用JSONP让上面的报错消失,按正确的流程进行下去。
首先介绍下我这里的环境,两个Web服务器,Tomcat监听8081,Node监听3000,Tomcat这边实现一个处理AJAX的JSP文件,很简单,返回一个JSON
<%@ page contentType="application/json; charset=utf-8" %>
{"status": true}
Tomcat的页面对这个URL发出AJAX请求,并打印出了返回值
但Node的页面发出AJAX请求,则像上面那样报错了,因为AJAX有同源策略保护。怎么绕过这个保护呢?平时我们页面引入的CSS、JS可能是从其他的服务器比如静态服务器、CDN获取内容,都在不同的域,可知页面内的标签引入JS是没有同源策略一说的,而且也是进行request和处理response,于是我们把这个AJAX请求改为如下代码:
var script = document.createElement('script');
script.src = 'http://localhost:8081/test/true.jsp';
document.body.insertBefore(script, document.body.lastChild);
但还是残忍的报错了
因为返回的JSON({"status": true})成为了一个独立的js片段,而这个片段明显是不符合语法的,如果返回的是符合语法规范的处理JSON的js片段而不仅仅是JSON就好了。比如我们将服务器端的代码改成这样:
<%@ page contentType="application/javascript; charset=utf-8" %>
console.log({"status": true});
再在Node的页面进行AJAX
目的是达到了,但问题是,这个AJAX的servlet不仅返回了数据,还返回了行为,难道我要把处理DOM的js写在这里面吗?页面重构了又跑到这里来修改?问题太美不敢想,所以请求成功的方法必须写在页面的js里面,比如这样
function callback(data) {
console.log(data);
}
var script = document.createElement('script');
script.src = 'http://localhost:8081/test/true.jsp';
document.body.insertBefore(script, document.body.lastChild);
而服务器返回的js片段直接调用这个function就行了,这个就叫回调函数了
<%@ page contentType="application/javascript; charset=utf-8" %>
callback({"status": true});
可以看到,这个方案比之前好多了,servlet和请求页面的耦合度低了很多,但没完全解决,比如callback这个回调函数的名字,如果把这个名字放在请求的parameter中,比如这样
function callback(data) {
console.log(data);
}
var script = document.createElement('script');
script.src = 'http://localhost:8081/test/true.jsp?cb=callback';
document.body.insertBefore(script, document.body.lastChild);
服务器对这个parameter进行处理
<%@ page contentType="application/javascript; charset=utf-8" %>
<%= request.getParameter("cb") %>({"status": true});
优化一下,对没有cb参数的请求仅返回JSON
<%
String callback = request.getParameter("cb");
if(null == callback) {
response.setContentType("application/json; charset=utf-8");
%>
{"status": true}
<%
}else {
response.setContentType("application/javascript; charset=utf-8");
%>
<%= callback %>({"status": true})
<%
}
%>
那么整个JSONP的功能就实现了。但还有一点瑕疵,代码执行完html中留下了一个script标签,强迫症能忍?处女座能忍?
解决方法:可以使用jQuery的方法,jQuery会清除掉留下的script标签。
$.ajax({
url: 'http://localhost:8081/test/true.jsp',
dataType: "jsonp",
jsonp: "cb",
success: function (data) {
console.log(data)
}
});
也可以自己实现一个,我抛个砖,在js加载完成后删除节点。
function callback(data) {
console.log(data);
}
var script = document.createElement('script');
script.src = 'http://localhost:8081/test/true.jsp?cb=callback';
document.body.insertBefore(script, document.body.lastChild);
script.onload = function(){
this.parentNode.removeChild(this);
};
至此,不知道有人发现没有,JSONP这种方式有一个致命的缺陷:就是由于它是通过引入script节点实现的,所以只支持GET方法。如果你任性,你无理取闹,你一定要用post跨域,那么只能考虑使用CORS了。
JSONP的东西就到此结束了,其实做完才发现,实际上这是个很简单的概念,取了个比较唬人的名字而已。