动态创建script标签实现跨域资源访问的方法介绍

动态创建`<script>`标签是一种常见的跨域资源共享（CORS）方法，特别是在JavaScript中进行异步数据请求时。由于浏览器的同源策略限制，JavaScript通常只能访问与当前页面同源的资源，但通过动态创建`<script>`标签，我们可以绕过这一限制，向不同源的服务器请求数据。 在给定的示例中，`login.html`文件中的JavaScript代码展示了如何利用`<script>`标签来实现跨域登录功能。主要涉及以下知识点： 1. **动态创建`<script>`标签**：当需要异步加载JavaScript资源或执行跨域请求时，可以动态创建`<script>`元素并将其插入到文档的`<head>`或`<body>`中。在示例中，`request`函数用于创建和插入`<script>`标签，其`src`属性设置为要请求的URL。 ```javascript function request(id, url) { // ... oScript.setAttribute("src", url); oScript.setAttribute("id", id); oScript.setAttribute("type", "text/javascript"); oScript.setAttribute("language", "javascript"); head.appendChild(oScript); // ... } ``` 2. **跨域请求**：在`userLogin`函数中，获取用户输入的用户名和密码，然后编码并拼接到URL中，形成一个带有查询参数的登录请求URL。这个URL指向的是不同源的`login.jsp`。 ```javascript var url = 'http://127.0.0.1:8080/EasyCMS/login.jsp?name=' + encodeURI(username) + '&password=' + encodeURI(password) + '&s=' + (new Date()).getTime(); ``` 3. **事件监听**：虽然`<script>`标签本身不支持`onload`或`onerror`事件，但可以通过给父元素添加事件监听器来检测脚本是否已加载完成。在本例中，`login.jsp`会返回一段包含`myloginState`函数调用的JavaScript，从而在加载完成后立即执行。这实际上是一种简单的回调机制。 4. **服务器端处理**：`login.jsp`接收请求的参数，验证用户名和密码。如果验证成功，它将返回`myloginState("0")`，表示登录成功；反之，返回`myloginState("1")`，表示登录失败。这是因为`login.jsp`的输出直接作为JavaScript执行，所以可以直接调用客户端的函数。 5. **安全考虑**：尽管这种方法可以实现跨域请求，但应注意安全问题。例如，将用户名和密码直接暴露在URL中可能会导致中间人攻击，敏感信息应使用POST请求或加密传输。此外，`login.jsp`应当正确处理错误情况，并防止恶意注入。 动态创建`<script>`标签是实现跨域请求的一种简便方法，尤其适用于获取JSONP（JSON with Padding）格式的数据。然而，这种方法有其局限性，例如不支持POST请求，且安全性相对较低。在实际开发中，更推荐使用XMLHttpRequest或Fetch API结合CORS头进行跨域请求，因为它们提供了更多的控制和更好的安全性。