使用JavaScript实现跨域通信：详解CORS和JSONP的使用方法

前端老赵前端开发培训 695 0

在 Web 开发中，由于浏览器同源策略的限制，跨域通信一直是一个比较麻烦的问题。在这篇文章中，我们将详细介绍使用 JavaScript 实现跨域通信的两种常用方式：CORS 和 JSONP。希望通过本文的讲解，能够帮助读者更好地理解跨域通信的原理和实现方法，提高前端开发的技能水平。

一、什么是跨域通信？

在 Web 开发中，我们经常会遇到从一个网站向另一个网站请求数据的情况，例如从 A 网站向 B 网站请求数据。由于浏览器的同源策略限制，这种跨域请求是不被允许的。同源策略是指，浏览器只允许向同一域名下的资源发起请求，例如，如果 A 网站的域名为 a.com，那么浏览器只允许向 a.com 域名下的资源发起请求，而不允许向 b.com 域名下的资源发起请求。

跨域通信是指在浏览器的同源策略限制下，实现不同域名之间的数据通信的一种技术。

二、CORS 的使用方法

CORS（Cross-Origin Resource Sharing）是一种基于 HTTP 头部的跨域技术。它通过在 HTTP 头部中添加特定的字段，告诉浏览器可以跨域访问该资源，从而实现跨域通信。

后端配置

在后端代码中，需要添加如下的响应头：

Access-Control-Allow-Origin: *

这个响应头表示允许所有域名的请求访问该资源，如果只允许特定的域名访问，可以将 * 替换成相应的域名。

前端请求

在前端代码中，需要使用 XMLHttpRequest 对象发起跨域请求，同时设置 withCredentials 属性为 true，表示发送跨域凭证。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('GET', 'http://example.com/data');
xhr.onload = function() {
  console.log(xhr.responseText);
};
xhr.send();

需要注意的是，在使用 CORS 技术时，浏览器会在发送真正的请求之前，发送一个预检请求，即 OPTIONS 请求，来确定服务器是否支持跨域请求。因此，后端代码也需要支持处理 OPTIONS 请求，并返回正确的响应头。

三、JSONP 的使用方法

JSONP（JSON with Padding）是一种使用 script 标签进行跨域通信的技术。它通过在页面上添加一个 script 标签，向跨域服务器请求数据，并将数据以 JavaScript 函数的形式返回给页面。

后端配置

在后端代码中，需要编写一个返回 JSON 数据的接口，同时接口的返回值应该是一个函数调用，函数名由前端传递过来。例如：

function getData(callback) {
  var data = {name: 'Tom', age: 20};
  callback(JSON.stringify(data));
}
// 接收前端传递过来的回调函数名
var callbackName = req.query.callback;
// 调用接口返回数据
res.send(callbackName + '(' + data + ')');

前端请求

在前端代码中，需要创建一个 script 标签，设置其 src 属性为跨域服务器的接口地址，并在地址后面添加一个查询参数 callback，值为前端定义的回调函数名。

function handleData(data) {
  console.log(data);
}
var script = document.createElement('script');
script.src = 'http://example.com/data?callback=handleData';
document.body.appendChild(script);

需要注意的是，使用 JSONP 技术时，后端接口返回的数据应该是 JSONP 格式，即一个函数调用，函数名由前端传递过来。因此，前端定义的回调函数名也需要与后端约定好，以便后端返回正确的数据格式。

四、CORS 和 JSONP 的比较

安全性

CORS 技术相对于 JSONP 技术更加安全，因为它使用了标准的 HTTP 头部来实现跨域，从而减少了 XSS 攻击的风险。

数据格式

CORS 技术支持多种数据格式，包括 JSON、XML 等，而 JSONP 技术只支持 JSON 数据格式。

浏览器兼容性

CORS 技术要求浏览器支持 XMLHttpRequest 对象的 withCredentials 属性，因此在一些旧版本的浏览器中可能会出现兼容性问题。而 JSONP 技术是一种兼容性比较好的跨域技术。

总结：

本文介绍了使用 JavaScript 实现跨域通信的两种常用方式：CORS 和 JSONP。CORS 技术通过在 HTTP 头部中添加特定的字段来实现跨域通信，安全性更高，支持多种数据格式，但在一些旧版本的浏览器中可能会出现兼容性问题；JSONP 技术则是一种兼容性比较好的跨域技术，通过在页面上添加一个 script 标签来实现跨域通信，但安全性较低，只支持 JSON 数据格式。在实际开发中，可以根据具体的需求选择适合的跨域技术。