Python入门自学进阶-Web框架——8认识Ajax,与Django交互,基于jQuery

Posted kaoa000

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Python入门自学进阶-Web框架——8认识Ajax,与Django交互,基于jQuery相关的知识,希望对你有一定的参考价值。

基于jQuery的Ajax实现:

jQquery中创建XMLHttpRequest对象就没有兼容性问题了,而且不需要前面的四个步骤,直接使用$.ajax(),通过设置相关的参数,如提交的方法,url,数据等,一次性完成所有步骤及功能。$.ajax()是jQuery实现ajax的最底层方法。

$.ajax(
url:
type:"POST"  or “GET”
......
)

高级一些的封装:

$.get()    :直接就体现了GET提交
$.post()   :直接接体现了POST提交

上面是在$.ajax()基础上的更高级封装,上述的方法至少不需要设置提交方法参数了。
<1>$.get(url, [data], [callback], [datatype])
<2>$.post(url, [data], [callback], [datatype])         //datatype: text|html|json|script,数据的类型,要求后台返回的数据的类型。

不提交数据时两种方法的请求头:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<button name="btn1" onclick="func1();">ajax提交</button>
<script src="/static/js/jquery-3.6.0.js"></script>
<script>
    function func1() 
        test()
    
    function test() 
        $.get("/app01/jqajaxtest/")
        // $.post("/app01/jqajaxtest/")
    
</script>
</body>
</html>
def jqueryajax(req):
    return render(req,"jqueryajax.html")

def jqajaxtest(req):
    print("req.GET:",req.GET)
    return HttpResponse("ok111")

 

由上面两个结果,只是请求方法不同。

 传递数据:

get修改参数:
1) $.get("/app01/jqajaxtest/?a=bbq&b=10")  $.get()的第一种传递数据方式,直接拼接网址后

后台打印:

2)  $.get("/app01/jqajaxtest/",name:'bbq',a:100)   $.get()的第二种传递数据方式,参数第二个位置。

结果与第一种相同,ajax将参数的字典键值对给拼接到了请求网址的后面。

post修改参数:

1) $.post("/app01/jqajaxtest/",aa:'小老虎',bb:23)     POST方法传递数据,数据在第二个参数位置

 2) $.post("/app01/jqajaxtest/",aa:'小花猫',bb:44,function (data)
                            alert(data); ),增加第三个参数,回调函数

 回调函数就是POST方法执行完毕后,再调用执行这个函数,函数的参数data接收POST方法返回的数据,就是后台jqajaxtest(req)返回的数据,即ok111。

还有第四个参数,是数据类型,是告诉后台返回给前端的数据类型,如果不匹配,则回调函数不执行。

关于回调函数,其参数都有哪些呢?可以使用arguments参数来查看:
$.post("/app01/jqajaxtest/",aa:'小花猫',bb:44,function (data) console.log(arguments); )

显示参数公有3个,分别是ok111,success和...,其中上面写的data对应第一个参数 ,第二个参数是状态信息,两个值‘success’和‘error’,第三个参数是一个对象,这个对象就是XMLHttpRequest对象。

 

 $.getJson()  相当于$.get(   ,datatype=Json)
$.getscript()  用于即时加载文件,作用类似<script src="" />,区别是<script src="" />是在网页加载时就加载完成了,而$.getscript() 是在需要的时候执行这一句再加载。

在static目录下建立一个test.js文件:

 点击按钮后,执行fun1——>test时,才加载test.js文件,加载了test.js,才能使用其中的add函数。

$.ajax()的使用:

$.ajax(
"name":"abc,
)          ——一个花括号,里面写键值对

$.ajax("url",
"name":"abc,
)    ——先写一个url,然后在加上花括号

$.ajax(
url:"",
type:"POST",
data:      //此时data是一个json形式的对象
    a:1,
    b:2
    ,
processData:false,   //声明当前的data数据是否进行转码或预处理,默认true,即预处理。如果为false,对data:a:1,b:2会调用json对象的toString方法,即a:1,b:2.toString()最后得到一个[object,Object]形式的结果。当data是一个dom结构或xml数据时,数据不要进行处理
contentType:      //浏览器告诉服务端数据类型格式,默认是x-www-form-urlencoded
traditional:true   //对于a:1,b:[3,4],如果不设traditional,后台拿到的是<QueryDict: 'a': ['1'], 'b[]': ['3', '4']>,
dataType:json|xml|。。。,//服务器需要给浏览器的数据类型
success:function(),//请求成功后的回调函数
beforeSend:function(),//在发送请求的数据之前执行的操作
complete:function(),    //不管请求成功还是失败,最后都执行这个过程
error:function() ,      // 请求失败时执行
statusCode:
        ‘403’:function(jqXHR,textStatus,err),
        ‘400’:function()
,   //根据反馈的状态码执行不同的处理          在后台视图文件中,可以使用HttpResponse.status_code = '400'来模拟返回相应状态码

)

测试traditional:false:

对于data:a:1,b:[3,4],在浏览器端看到的提价数据:

后台打印的req.POST是 <QueryDict: 'a': ['1'], 'b[]': ['3', '4']>

改为traditional:true,浏览器端提交的是:

后台打印的req.POST是 <QueryDict: 'a': ['1'], 'b': ['3', '4']> 

关于processData:

如果设为true,且traditional设置为true,data在后台打印:<QueryDict: 'a': ['1'], 'b': ['3', '4']>

如果设置为false,打印成<QueryDict: '[object Object]': ['']>

 关于JSON

JSON(javascript Object Notation) 是一种轻量级的数据交换格式。JSON是用字符串来表示Javascript对象;—— json字符串就是js对象的一种表现形式(字符串的形式)

python中学过json模块,通过测试,来看看json字符串和json对象到底是什么

首先,json对象是JavaScript中的概念,python中没有json对象的概念

JavaScript中JSON对象的对象语法:

实例

var obj = "name":"runoob", "alexa":10000, "site":null

  • JSON 对象使用在大括号()中书写。
  • 对象可以包含多个 key/value(键/值)对。
  • key 必须是字符串,value 可以是合法的 JSON 数据类型(字符串, 数字, 对象, 数组, 布尔值或 null)。
  • key 和 value 中使用冒号(:)分割。
  • 每个 key/value 对使用逗号(,)分割。

访问对象值可以使用点号(.)来访问对象的值,如obj.name;可以使用中括号([])来访问对象的值,如obj["name"]。

这是json对象的写法,花括号里面跟键值对,并且key必须是字符串,即必须使用双引号引起来,其值value则必须是以下类型:

  • 数字    (整数或浮点数)
  • 字符串 (在双引号中)
  • 逻辑值 (true 或 false)
  • 数组    (在方括号中)
  • 对象    (在花括号中,引号用双引)
  • null     

在前端,即JavaScript中,可以通过 JSON.parse() 方法将数据转换为 JavaScript 对象注意是转为JavaScript对象,而不是JSON对象。而方法的参数是一个字符串,也可以是上面的JavaScript的数据类型的值。

        var json1 = "pp":0; //JSON对象
        var json1str = '"aa":10';//JSON对象字符串
        var json2 = 10;
        var json2str = '10';
        var json3 = true;
        var json3str = 'false';
        var json4 = ["aa","bb"];
        var json4str = '["aa","bb"]';
        var json5 = "aa":"bb":true;
        var json5str = '"aa":"bb":true';
        var json6 = new Array();
        json6[0] = 20;
        json6[1] = "hello";
        console.log("1:",typeof json1)
        console.log("2:",typeof json1str)
        // console.log(typeof JSON.parse(json1)) //json1本身已经是JSON对象,不能在进行parse
        console.log(JSON.stringify(json1))  //stringify方法将JSON对象转变为JSON字符串
        console.log(typeof JSON.stringify(json1)) //string类型
        console.log(typeof JSON.parse(JSON.stringify(json1)))  //object类型
        console.log("3:",typeof JSON.parse(json1str))
        console.log("4:",typeof json2)
        console.log("5:",typeof json2str)
        console.log("6:",typeof JSON.parse(json2))
        console.log("7:",typeof JSON.parse(json2str))
        console.log("8:",typeof json3)
        console.log("9:",typeof json3str)
        console.log("10:",typeof JSON.parse(json3))
        console.log("11:",typeof JSON.parse(json3str))
        console.log("12:",typeof json4)
        console.log("13:",typeof json4str)
        //console.log(typeof JSON.parse(json4)) //  类型为object的json4,不能再被parse
        console.log("14:",typeof JSON.parse(json4str))
        console.log("15:",typeof json5)
        console.log("16:",typeof json5str)
        console.log("17:",typeof json5.aa)  //也是object类型
        console.log("18:",typeof JSON.parse(json5str))
        console.log("19:",typeof json6)

上述程序的运行结果:

 由此可以得出的结论是:当类型是object时,不能使用parse再进行转换,如数组、JSON对象,而其他如数字,布尔型,会被解析成数字,布尔型对象,而符合数字,布尔型,数组,JSON对象的语法的字符串,会被解析成数字,布尔型,数组,JSON对象,普通的字符串无法再解析,会报错。

以上是在前端,即在JavaScript中的解析过程:parse将json字符串解析成对象,stringify是将对象解析成json字符串。

在后台,即Python中对JSON的处理,使用json模块,有dumps()和loads()方法,dumps方法是将python对象输出为符合JSON对象规则的字符串,loads方法是将符合JSON对象规则的字符串解析成python对象。在后台,即在python中,没有JSON对象的概念,只是JSON对象字符串。

 import json

    print("req.GET:",req.GET)
    print('req.POST:',req.POST)
    json1 = "pp": 0
    json1str = '"aa":10'
    json2 = 10
    json2str = '10'
    json3 = True
    json3str = "True"
    json4 = ["aa", "bb"]
    json4str = '["aa","bb"]'
    json5 = 'aa': 'bb': True
    json5str = '"aa":"bb":true'

    print("1:type:",type(json1))
    print("2:type:",type(json.dumps(json1)),json.dumps(json1))
    print("3:type:",type(json.loads(json1str)),json.loads(json1str))
    print("4:type:",type(json2),json.dumps(json2))
    # print("5: type:",json.loads(json2))  #int型不能再loads
    print("6: type:",type(json.loads(json2str)),json.loads(json2str))
    print("7:type:",type(json3))
    # print("8:type:",json.loads(json3)) #the JSON object must be str, bytes or bytearray
    print("9:type:",type(json.dumps(json3)),json.dumps(json3))
    # print("10:type:",type(json.loads(json3str)),json.loads(json3str)) #符合布尔型的字符串不能被loads成布尔型对象
    print("11:type:",type(json4))
    # print("12:type:",type(json.loads(json4)))  #list不能再loads
    print("13:type:", type(json.dumps(json4)),json.dumps(json4))
    print("14:type:", type(json.loads(json4str)),json.loads(json4str))
    # print("15:type",type(json.loads(json5))) #dict不能再loads
    print("15:type", type(json.dumps(json5)),json.dumps(json5))
    print("16:type:",type(json.loads(json5str)),json.loads(json5str))

运行的结果:

 结论是:python的json模块,其loads方法只能是对字符串进行解析,最终解析成python相对应的对象,dumps方法是将python的对象解析成符合JSON对象规则的字符串

要符合JSON规则的字符串,特别要注意,JSON中的布尔型要用true,而python中的对象是True,JSON中的字符串一定要用双引号。

因为python中json的dumps只是输出JSON的字符串,是字符串,而视图函数最后不管是通过render()函数还是直接通过HttpResponse()函数,返回给前端的都是字符串,所以,后台的python中render()函数、HttpResponse()函数中的参数不能是直接的如字典、列表等对象,必须经过json.dumps()解析成字符串传递给前端。

同样,前端接收的都是字符串,要进行操作,先要进行JSON.parse(),将字符串解析成JSON对象或JavaScript对象,在进行操作。JSON字符串是一个中间状态,在JavaScript对象和python对象间过渡。

 python与json对象的对应:中间的"-->"就是JSON字符串

 python         -->        json
 dict                      object
 list,tuple                array
 str,unicode               string
 int,long,float            number
 True                      true
 False                     false
 None                      null

现在再看$ajax()方法中data:项传递的数据,其不是JSON对象,只是花括号包起来的键值对,且其key没有引号,最后传递到后台的数据,其值都是字符串,所以如果是数字的话,需要进行转换。

dataType是指明后台的传递给前端的数据是什么类型,如dataType:"json"指定后台传递的数据为json格式,这句话的意思是要求后台传递的数据是符合json字符串规格的字符串。

$.ajax(
            url:"/app01/jqajaxtest/",
            type:"POST",
            data:a:1,b:[3,4],c:"hello",
            traditional:true,
            processData:true,
            dataType:"json",
            success:function (data) 
                console.log(data);
            
         )

后台反馈:

dic = 'key1':12345
return HttpResponse(json.dumps(dic))

在前端的结果显示是一个json对象。

如果反馈是:return HttpResponse('hello')   注意是单引号

前端增加一个alert:

success:function (data) 
    alert('执行');
    console.log(data);
    console.log(typeof data)

上面的反馈在前端没有执行,即success的回调函数没有执行,说明请求没有成功。

修改反馈为:return HttpResponse(“hello”)   注意是双引号

依然没有成功,success函数没有执行。

修改反馈为:return HttpResponse('“hello”')   注意是单引号中加双引号

此时alert被执行,log结果 ,是一个字符串了。 

对于数字来说,后台反馈:

return HttpResponse(12345)
return HttpResponse(‘12345’)
return HttpResponse(“12345”)
结果都为

 return HttpResponse('“12345”'),则返回的是12345和string,这时作为字符串

 return HttpResponse(“'12345'”),则success不执行,因为反馈的是'12345',不符合json字符串规则。

其他各类型可以自行测试。

说明后台反馈前端必须是符合json规范的字符串。前端的逻辑是接收后台的数据,使用JSON.parse()进行解析,解析成功,就调用success中的回调函数,否则就不执行success这个选项了。

 关于跨域请求

同源策略机制
      浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指:域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。

简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。

如果Web世界没有同源策略,当你登录淘宝账号并打开另一个站点时,这个站点上的JavaScript可以跨域读取你的淘宝账号数据,这样整个Web世界就无隐私可言了。

同源策略是浏览器的策略。

有src属性的标签,可以跨域请求:

<script src=""></script>,这里的src中的地址可以是跨域的

 jsonp的js实现

         JSONP是JSON with Padding的略称。可以让网页从别的域名(网站)那获取资料,即跨域读取数据。

它是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。

JSONP就像是JSON+Padding一样(Padding这里理解为填充)

测试跨域访问:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<button name="btn1" onclick="func1();">ajax提交</button>
<script src="/static/js/jquery-3.6.0.js"></script>
<script src="http://127.0.0.1:8001/app01/jqueryajax/"></script>
# 上面的语句src使用了完整的路径名,并且不同源,即协议+IP+端口与请求不同 #
<script>
    function func1() 
        test()
    
    function test() 
        $.ajax(
            url:"/app01/jqajaxtest/",
            type:"POST",
            data:a:1,b:[3,4],c:"hello",
            traditional:true,
            processData:true,
            dataType:"json",
            success:function (data) 
                alert('success执行');
                console.log(data);
                console.log(typeof data);
            ,
            beforeSend:function () 
                alert('before');
            ,
            error:function () 
                alert('error');
                console.log(arguments);
            
         )
    
</script>
</body>
</html>
def jqajaxtest(req):
    import json

    print("req.GET:",req.GET)
    print('req.POST:',req.POST)
   
    return HttpResponse("hello")

关键就是<script src="http://127.0.0.1:8001/app01/jqueryajax/"></script>这一句。

我们同样的项目在不同的端口上启动,一个在8000,一个在8001。

然后访问http://127.0.0.1:8000/app01/jqueryajax/,此时在执行到<script src="http://127.0.0.1:8001/app01/jqueryajax/"></script>时,就进行了跨域的访问了。

在浏览器中访问结果如下:

 出现了错误信息,CORB屏蔽MIME类型为text/html的响应。

修改一下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<button name="btn1" onclick="func1();">ajax提交</button>
<script src="/static/js/jquery-3.6.0.js"></script>
<script>
    function ff1(w) 
        alert(w);
         //定义一个函数
</script>
<script src="http://127.0.0.1:8001/app01/jqajaxtest/"></script>
# 上面的语句src使用了完整的路径名,并且不同源,即协议+IP+端口与请求不同 #
<script>
    function func1() 
        test()
    
    function test() 
       $.ajax(
            url:"/app01/jqajaxtest/",
            type:"POST",
            data:a:1,b:[3,4],c:"hello",
            traditional:true,
            processData:true,
            dataType:"json",
            success:function (data) 
                alert('success执行');
                console.log(data);
                console.log(typeof data);
            ,
            beforeSend:function () 
                alert('before');
            ,
            error:function () 
                alert('error');
                console.log(arguments);
            
         )
    
</script>
</body>
</html>
def jqajaxtest(req):
    import json
    print("11111111111111")
    print("req.GET:",req.GET)
    print('req.POST:',req.POST)
    dic = 'key1':12345
    # HttpResponse.status_code = '400'
    print(HttpResponse().get(header="X-Content-Type-Options"))
    # print("===:",HttpResponse.has_header("X-Content-Type-Options"))
    # return HttpResponse("hello")
    return HttpResponse("ff1('kkk');",headers="Content-Type":"text/javascript",)

运行结果:

 对于语句:<script src="http://127.0.0.1:8001/app01/jqajaxtest/"></script>

跨域请求成功,返回了   ff1('kkk');,并作为JavaScript语句执行,因为网页中定义了ff1(w)函数,就把跨域的数据"kkk"打印出来了。

关键是设置HTML头:headers="Content-Type":"text/javascript",,否则会被CORB阻塞。

以上就是JSONP的简单实现模式,或者说是JSONP的原型:创建一个回调函数,然后在远程服务上调用这个函数并且将JSON 数据形式作为参数传递,完成回调

将JSON数据填充进回调函数,这应该就是JSONP的JSON+Padding的含义吧。

      一般情况下,我们希望这个script标签能够动态的调用,而不是像上面因为固定在html里面所以没等页面显示就执行了,很不灵活。我们可以通过javascript动态的创建script标签,这样我们就可以灵活调用远程服务了。

<button onclick="f()">submit</button>

<script>
    function addScriptTag(src)
     var script = document.createElement('script');
         script.setAttribute("type","text/javascript");
         script.src = src;
         document.body.appendChild(script);
         document.body.removeChild(script);
    
    function fun1(arg)
        alert("hello"+arg)
    
    
    function f()
         addScriptTag("http://127.0.0.1:8002/get_byjsonp/")
    
</script>

上面的代码实际上就是在点击按钮时生成<script>标签:

<script src="http://127.0.0.1:8002/get_byjsonp/" type="text/javascript"></script>

以上的代码默认后台知道前端的函数,如果后台不知道呢?这就需要前端将函数名传给后台:

<button onclick="f()">submit</button>

<script>
    function addScriptTag(src)
     var script = document.createElement('script');
         script.setAttribute("type","text/javascript");
         script.src = src;
         document.body.appendChild(script);
         document.body.removeChild(script);
    
    function SayHi(arg)
        alert("Hello "+arg)
    

    function f()
         addScriptTag("http://127.0.0.1:8002/get_byjsonp/?callbacks=SayHi")
         //注意这里的callbacks=SayHi,就是传递前端的函数名给后台
    
</script>


----------------------views.py
def get_byjsonp(req):

    func=req.GET.get("callbacks")

    return HttpResponse("%s('yuan')"%func)  #后台动态的调用前端的函数,根据前端传来的函数名调用。

 jQuery对JSONP的实现

jQuery框架也当然支持JSONP,可以使用$.getJSON(url,[data],[callback])方法:

<script type="text/javascript">
    $.getJSON("http://127.0.0.1:8002/get_byjsonp?callback=?",function(arg)
        alert("hello"+arg)
    );
</script>

这里的callback=?,在后台,会收到键值对callback=“dfsafds'”,是一个随机的字符串,作为函数名,前端知道其与后边的function(arg)是关联的,相当于一个匿名函数的名。

要注意的是在url的后面必须添加一个callback参数,这样getJSON方法才会知道是用JSONP方式去访问服务,callback后面的那个问号是内部自动生成的一个回调函数名。

      此外,如果说我们想指定自己的回调函数名,或者说服务上规定了固定回调函数名该怎么办呢?我们可以使用$.ajax方法来实现:

<script type="text/javascript" src="/static/jquery-2.2.3.js"></script>

<script type="text/javascript">
   $.ajax(
        url:"http://127.0.0.1:8002/get_byjsonp",
        dataType:"jsonp",
        jsonp: 'callbacks',
        jsonpCallback:"SayHi"
   );
    function SayHi(arg)
        alert(arg);
    
</script>
 
#--------------------------------- http://127.0.0.1:8002/get_byjsonp
 def get_byjsonp(req):

    callback=req.GET.get('callbacks')
    print(callback)
    return HttpResponse('%s("yuan")'%callback)

上面的jsonp: 'callbacks',和jsonpCallback:"SayHi",最终会拼接成:callbacks=“SayHi”,即指明函数名。

最简单的形式还是通过回调函数来处理:

<script type="text/javascript" src="/static/jquery-2.2.3.js"></script>

<script type="text/javascript">
   $.ajax(
        url:"http://127.0.0.1:8002/get_byjsonp",
        dataType:"jsonp",            //必须有,告诉server,这次访问要的是一个jsonp的结果。
        jsonp: 'callbacks',          //jQuery帮助随机生成的:callbacks="wner"
        success:function(data)
            alert(data)
        
   );

</script>
 #-------------------------------------http://127.0.0.1:8002/get_byjsonp
def get_byjsonp(req):

    callbacks=req.GET.get('callbacks')
    print(callbacks)                 #wner  

return HttpResponse("%s('yuan')"%callbacks)

 jsonp: 'callbacks'就是定义一个存放回调函数的键,jsonpCallback是前端定义好的回调函数方法名'SayHi',server端接受callback键对应值后就可以在其中填充数据打包返回了; 

       jsonpCallback参数可以不定义,jquery会自动定义一个随机名发过去,那前端就得用回调函数来处理对应数据了。

     利用jQuery可以很方便的实现JSONP来进行跨域访问。  

==================================================

关于CORB——Cross-Origin Read Blocking,跨域读阻塞,是一个新的 web 平台安全功能, 它能够帮助减少线程之间的旁路攻击(side-channel attacks);

CORB 的目的是防止浏览器向网页接收某些跨源网络响应,因为这些响应可能包含敏感信息,而且现有的网页功能不需要这些响应。

例如: 它将清除一个从<script> 或者 <img> 标签发起的跨源text/html响应. 将响应的内容,用空值代替。这是网站隔离(Site Isolation)非常重要的一部分.<script> 或者 <img>标签主要通过src=“”属性可以访问不同源的网站信息。

允许加载跨域资源, 意味着存在着安全隐患:
场景: 用户登录了 victim.com 之后, 又去访问了 evil.com 的恶意站点.
在 evil.com 中有 <script src="victim.com/login">的元素, 则浏览器会向 victim.com 发起请求, 且会把敏感信息返回给浏览器. 此时, 用户在 evil.com 页面所在的内存中就留有的 victim.com 的敏感数据;

CORB 会在敏感信息加载到页面内存之前,将其拦截掉,如此,敏感信息既不会暴露于浏览器,也不会进驻内存空间,得到了很好的保护。

CORB 可以减少下面的攻击
Cross-Site Script Inclusion (XSSI)
XSSI 是一种攻击方式. 它通过<script>指向一个不是 JavaScript 代码文件的目标资源, 并且让浏览器执行.具体的情况, 可以看看 JSON_Hijacking_Gareth_Heyes

<script charset="ISO-8859-1" src="polyglot/uploads/xss.jpg"></script>
CORB 阻止了这一类攻击, 因为 CORB 将阻止<script> 标签发起的这种请求;

通过 CPU 预测执行,而引起的旁路攻击 (例如 Spectre).
例如: 攻击者会使用 img标签来加载跨域的文件, 让 JavaScript 在执行过程中, 将进程中的信息暴露给攻击者

<img src="https://example.com/secret.json" />
CORB 通过阻止 JSON 的资源加载到进程的内存中, 可以阻止这一类攻击.

CORB 是如何阻止响应的呢?
当 CORB 判断出需要对响应做出 CORB-protected, 响应则会

响应体被替换为空值
响应头被移除
为了有效地对抗预测执行的旁路攻击,CORB 阻塞必须在响应到达承载跨源请求发起者的进程之前发生。

CORB 不会影响的内容
CORB 并不会影响下面的情况

  • navigation requests或者请求的request destination 是"document", “embed”, “frame”, “iframe”, 或者 “object”.
  • Download requests   :<a href="/images/myw3schoolsimage.jpg" download></a>
  • XHR and fetch()
  • ping, navigator.sendBeacon()
  • <link rel="prefetch" ...>
  • Requests with the following request destination
    • “image” requests like <img> tag, /favicon.ico, SVG‘s <image>, CSS’ background-image, etc.
    • “audio”, “video” or “track”
    • “font”
    • “style”

什么样的内容会被 CORB-protected
当跨域请求回来的数据 MIME type 同跨域标签应有的 MIME 类型不匹配时,浏览器会启动 CORB 保护数据不被泄漏.
例如: script 标签请求的响应是 json. img 标签请求回来的是 json.

目前, 针对下面的响应类型会触发 CORB

  • JSON
  • HTML
  • XML
  • pdf 以及More CORB-protected MIME types - adding protected types one-by-one

浏览器判断响应类型: 浏览器拥有Content_sniffing的功能, 会尝试判断响应类型, 并不依赖Content-Type;除非响应头指定 “X-Content-Type-Options: nosniff”, 此时浏览器会直接根据Content-Type的格式进行处理;

例如:

一个 img 标签, 请求一个 html 的数据

  • 响应体 Body: 是一个 HTML document
  • Content-Type: text/html
  • No X-Content-Type-Options header

此时, 浏览器尝试判断响应内容, 如果发现是 html 标签. 则触发 CORB-protected

JSONP 与 CORB
JSONP 算是一种讨巧的跨域请求方式。JSONP 和 CORB 有什么关系呢?

在某些情况下, JSONP 会触发 CORB

例如:

响应体 Body: 是 js 代码
Content-Type: text/html
X-Content-Type-Options: ‘nosniff’
通过 script 标签, 获取到 html 的内容(因为指定了 nosniff, 浏览器会直接认为响应内容是 text/html). 从而会触发 CORB, 响应会被清空;

如果服务器发送响应头 "X-Content-Type-Options: nosniff",则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的***。

简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件

服务器发送含有 "X-Content-Type-Options: nosniff" 标头的响应时,此更改会影响浏览器的行为。

如果通过 styleSheet 参考检索到的响应中接收到 "nosniff" 指令,则 Windows Internet Explorer 不会加载“stylesheet”文件,除非 MIME 类型匹配 "text/css"。

如果通过 script 参考检索到的响应中接收到 "nosniff" 指令,则 Internet Explorer 不会加载“script”文件,除非 MIME 类型匹配以下值之一:

  • "application/ecmascript"

  • "application/javascript"

  • "application/x-javascript"

  • "text/ecmascript"

  • "text/javascript"

  • "text/jscript"

  • "text/x-javascript"

  • "text/vbs"

  • "text/vbscript"

JSON、JSONP与CORB

JSON是一种数据交换格式,而JSONP是一种非官方跨域数据交互协议。

JSON是一种基于文本的数据交换方式,或者叫做数据描述格式。

JSON的格式或者叫规则:

JSON能够以非常简单的方式来描述数据结构。

1、JSON只有两种数据类型描述符,大括号和方括号[],其余英文冒号:是映射符,英文逗号,是分隔符,英文双引号""是定义符。

2、大括号用来描述一组“不同类型的无序键值对集合”(每个键值对可以理解为OOP的属性描述),方括号[]用来描述一组“相同类型的有序数据集合”(可对应OOP的数组)。

3、上述两种集合中若有多个子项,则通过英文逗号,进行分隔。

4、键值对以英文冒号:进行分隔,并且建议键名都加上英文双引号"",以便于不同语言的解析。

5、JSON内部常用数据类型无非就是字符串、数字、布尔、日期、null 这么几个,字符串必须用双引号引起来,其余的都不用,日期类型比较特殊,这里就不展开讲述了,只是建议如果客户端没有按日期排序功能需求的话,那么把日期时间直接作为字符串传递就好,可以省去很多麻烦。

什么是JSONP?

JSONP的产生:

1、Ajax直接请求普通文件存在跨域无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是跨域请求,一律不准;

2、不过,Web页面上调用js文件时则不受是否跨域的影响(不仅如此,凡是拥有"src"这个属性的标签都拥有跨域的能力,比如<script>、<img>、<iframe>);

3、于是可以判断,当前阶段如果想通过纯web端(ActiveX控件、服务端代理、属于未来的HTML5之Websocket等方式不算)跨域访问数据就只有一种可能,那就是在远程服务器上设法把数据装进js格式的文件里,供客户端调用和进一步处理;

4、恰巧JSON的纯字符数据格式可以简洁的描述复杂数据,更妙的是JSON还被js原生支持,所以在客户端几乎可以随心所欲的处理这种格式的数据;

5、这样子解决方案就呼之欲出了,web客户端通过与调用脚本一模一样的方式,来调用跨域服务器上动态生成的js格式文件(一般以JSON为后缀),显而易见,服务器之所以要动态生成JSON文件,目的就在于把客户端需要的数据装入进去。

6、客户端在对JSON文件调用成功之后,也就获得了自己所需的数据,剩下的就是按照自己需求进行处理和展现了,这种获取远程数据的方式看起来非常像AJAX,但其实并不一样。

7、为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。

JSONP的客户端具体实现:

1、我们知道,哪怕跨域js文件中的代码(当然指符合web脚本安全策略的),web页面也是可以无条件执行的。

远程服务器remoteserver.com根目录下有个remote.js文件代码如下:

alert('我是远程文件');

本地服务器localserver.com下有个jsonp.html页面代码如下:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script type="text/javascript" src="http://remoteserver.com/remote.js"></script>
</head>
<body>

</body>
</html>

运行结果,页面将会弹出一个提示窗体,显示跨域调用成功。

2、现在我们在jsonp.html页面定义一个函数,然后在远程remote.js中传入数据进行调用。

jsonp.html页面代码如下:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script type="text/javascript">
    var localHandler = function(data)
        alert('我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:' + data.result);
    ;
    </script>
    <script type="text/javascript" src="http://remoteserver.com/remote.js"></script>
</head>
<body>

</body>
</html>

remote.js文件代码如下:

localHandler("result":"我是远程js带来的数据");

运行之后查看结果,页面成功弹出提示窗口,显示本地函数被跨域的远程js调用成功,并且还接收到了远程js带来的数据,即"result":"我是远程js带来的数据",这里显示的是“我是远程js带来的数据”,因为是data.result。

跨域远程获取数据的目的基本实现了,但是又一个问题出现了,怎么让远程js知道它应该调用的本地函数叫什么名字呢?毕竟是jsonp的服务者都要面对很多服务对象,而这些服务对象各自的本地函数都不相同啊?

3、只要服务端提供的js脚本是动态生成的就行了呗,这样调用者可以传一个参数过去告诉服务端“我想要一段调用XXX函数的js代码,请你返回给我”,于是服务器就可以按照客户端的需求来生成js脚本并响应了。

看jsonp.html页面的代码:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script type="text/javascript">
    // 得到航班信息查询结果后的回调函数
    var flightHandler = function(data)
        alert('你查询的航班结果是:票价 ' + data.price + ' 元,' + '余票 ' + data.tickets + ' 张。');
    ;
    // 提供jsonp服务的url地址(不管是什么类型的地址,最终生成的返回值都是一段javascript代码)
    var url = "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998&callback=flightHandler";
    // 创建script标签,设置其属性
    var script = document.createElement('script');
    script.setAttribute('src', url);
    // 把script标签加入head,此时调用开始
    document.getElementsByTagName('head')[0].appendChild(script); 
    </script>
</head>
<body>

</body>
</html>

这次的代码变化比较大,不再直接把远程js文件写死,而是编码实现动态查询,而这也正是jsonp客户端实现的核心部分。调用的url中传递了一个code参数,告诉服务器我要查的是CA1998次航班的信息,而callback参数则告诉服务器,我的本地回调函数叫做flightHandler,所以请把查询结果传入这个函数中进行调用。服务器很聪明,这个叫做flightResult.aspx的页面生成了一段这样的代码提供给jsonp.html(服务端的实现这里就不演示了,与你选用的语言无关,说到底就是拼接字符串):

flightHandler(           //flightHandler是callback传递的值
    "code": "CA1998",     //这是code传递的值
    "price": 1780,        //这是跨域服务器查询的结果
    "tickets": 5          //这也是跨域服务器查询的结果
);

传递给flightHandler函数的是一个json,它描述了航班的基本信息。运行一下页面,成功弹出提示窗口,jsonp的执行全过程顺利完成!

4、到这里为止,jsonp的客户端实现原理就完成了,剩下的就是如何把代码封装一下,以便于与用户界面交互,从而实现多次和重复调用。

我们这里学习的是jQuery,那么jQuery如何实现jsonp调用?

jQuery使用jsonp的代码

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 <html xmlns="http://www.w3.org/1999/xhtml" >
 <head>
     <title>Untitled Page</title>
      <script type="text/javascript" src=jquery.min.js"></script>
      <script type="text/javascript">
     jQuery(document).ready(function() 
        $.ajax(
             type: "get",
             async: false,
             url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998",
             dataType: "jsonp",
             jsonp: "callback",//传递给请求处理程序或页面的,用以获得jsonp回调函数名的参数名(一般默认为:callback)
             jsonpCallback:"flightHandler",//自定义的jsonp回调函数名称,默认为jQuery自动生成的随机函数名,也可以写"?",jQuery会自动为你处理数据
             success: function(json)
                 alert('您查询到航班信息:票价: ' + json.price + ' 元,余票: ' + json.tickets + ' 张。');
             ,
             error: function()
                 alert('fail');
             
         );
     );
     </script>
     </head>
  <body>
  </body>
 </html>

这次没有写flightHandler这个函数也能成功,这就是jQuery的功劳了,jquery在处理jsonp类型的ajax时自动帮你生成回调函数并把数据取出来供success属性方法来调用。

1、ajax和jsonp这两种技术在调用方式上“看起来”很像,目的也一样,都是请求一个url,然后把服务器返回的数据进行处理,因此jquery和ext等框架都把jsonp作为ajax的一种形式进行了封装;

2、但ajax和jsonp其实本质上是不同的东西。ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加<script>标签来调用服务器提供的js脚本。

3、所以说,其实ajax与jsonp的区别不在于是否跨域,ajax通过服务端代理一样可以实现跨域,jsonp本身也不排斥同域的数据的获取。

4、还有就是,jsonp是一种方式或者说非强制性协议,如同ajax一样,它也不一定非要用json格式来传递数据,如果你愿意,字符串都行,只不过这样不利于用jsonp提供公开服务。

总而言之,jsonp不是ajax的一个特例,哪怕jquery等巨头把jsonp封装进了ajax,也不能改变着一点!

以上来源随它去吧——【原创】说说JSON和JSONP,也许你会豁然开朗,含jQuery用例 - 随它去吧 - 博客园

=======================================

以上是关于Python入门自学进阶-Web框架——8认识Ajax,与Django交互,基于jQuery的主要内容,如果未能解决你的问题,请参考以下文章

Python入门自学进阶-Web框架——7认识Ajax,与Django交互,基于JS

Python入门自学进阶-Web框架——7认识Ajax,与Django交互,基于JS

Python入门自学进阶-Web框架——14Django的Form验证

Python入门自学进阶-Web框架——18FormModelForm

Python入门自学进阶-Web框架——18FormModelForm

Python入门自学进阶-Web框架——20Django其他相关知识2