·

现在 jsonp 很少用了,简单说就是 script 标签没有跨域限制,get 方法被浏览器认为是安全的,可以利用这两点将前端需要调用的函数名称传递到后端,后端返回一个可执行的 js 函数,带上数据等,现在都不用这种方法了,cors 就行

Replies
4

cors是啥,还有我直接在servlet里设置请求头或者使用代理机制可不可以,安不安全

不久前测试成功了,学会了已经,谢谢大佬

cors 才是安全的做法,现在 jsonp 都不用了,比如黑客说就是跨域访问,网站是 hackertalk.net,后台是 api.hackertalk.net,需要设置 api.hackertalk.net 允许 hackertalk.net 跨域访问,MDN 文档:CORS,设置几个 header:

  • Access-Control-Allow-Origin
  • Access-Control-Request-Method
  • Access-Control-Request-Headers

我学的只有一条设置Access-Control-Allow-Origin,另外两条设置了有什么区别嘛