一、为何会产生跨域
出于安全考虑;
一个域名下网页的操作就可以直接拿到另一个非同域名下网页的所有信息;
一个网页可以随意请求到不同域名服务器下的接口数据;
二、同源策略
同源策略是一种约定,这是浏览器核心的安全功能。
所谓的同源策略指的是协议 + 域名 + 端口三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
同源策略有那些限制?
DOM节点
对于DOM节点只能操作当前域名下网页打开的DOM节点内容;
存储信息
对于Cookie,SessionStorage,LocalStorage,IndexDB储存信息也不能非同源获取;
ajax请求
对于ajax网络请求时,请求处于非同域请求也会拦截报错;
url | 说明 | 是否跨域 |
---|---|---|
http://www.tangkthh.com/a.js http://www.tangkthh.com/b.js |
同一域名端口下的js文件 | 不跨域 |
http://www.tangkthh.com/first/a.js http://www.tangkthh.com/second/a.js |
不同文件夹 | 不跨域 |
http://www.tangkthh.com:8080/a.js http://www.tangkthh.com/b.js |
不同端口 | 跨域 |
http://www.tangkthh.com/a.js https://www.tangkthh.com/b.js |
不同协议 | 跨域 |
http://www.tangkthh.com/a.js http://127.1.1.182/b.js |
域名和域名对应的ip | 跨域 |
http://www.tangkthh.com/a.js http://script.tangkthh.com/b.js |
主域名相同,子域名不同 | 跨域 |
http://www.tangkthh.com/a.js http://tangkthh.com/b.js |
同一域名,不同二级域名 | 跨域 |
http://www.tangkthh.com/a.js http://www.hc.com/b.js |
不同域名 | 不允许 |
三、解决跨域方法
1、JSONP
JSONP的原理
利用<script>标签没有跨域限制,网页可以得到从其他来源动态产生的 JSON 数据。JSONP请求一定需要对方的服务器做支持才可以;
JSONP和AJAX对比
相同点:JSONP与AJAX两者都是客户端向服务端发起请求;
不同点:JSONP属于利用script标签进行了非同源策略请求,而AJAX是同源策略请求;
JSONP优缺点
优点:JSONP的优点是兼容性很好,可用于解决主流浏览器的跨域数据访问的问题;
缺点:仅支持get方法具有局限性,不安全可能会遭受XSS攻击;
JSONP的实现流程
声明一个回调函数,其函数名 (如show) 当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)。
创建一个 <script> 标签,把那个跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递该函数名(可以通过问号传参:?callback=show)。
服务器接收到请求后,需要进行特殊的处理:把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如:传递进去的函数名是show,它准备好的数据是show("I Love")。
最后服务器把准备的数据通过 HTTP 协议返回给客户端,客户端再调用执行之前声明的回调函数(show),对返回的数据进行操作。
在开发中可能会遇到多个 JSONP 请求的回调函数名是相同的,这时候就需要自己封装一个 JSONP函数。
// index.html
function jsonp({ url, params, callback }) {
return new Promise((resolve, reject) => {
let script = document.createElement('script')
window[callback] = function(data) {
resolve(data);
document.body.removeChild(script);
}
params = { ...params, callback } // wd=b&callback=show
let arrs = [];
for (let key in params) {
arrs.push(`${key}=${params[key]}`)
}
script.src = `${url}?${arrs.join('&')}`
document.body.appendChild(script);
});
}
jsonp({
url: 'http://localhost:9090/say',
params: { wd: 'Iloveyou' },
callback: 'show' // 这个是方法名
}).then(data => {
console.log(data)
});
上面这段代码相当于向http://localhost:9090/say?wd=Iloveyou&callback=show
这个地址请求数据,然后后台返回show("Iloveyouto")
,最后会运行 show() 这个函数,打印出'Iloveyouto'
// server.js
let express = require('express')
let app = express()
app.get('/say', function(req, res) {
let { wd, callback } = req.query
console.log(wd) // Iloveyou
console.log(callback) // show
res.end(`${callback}('Iloveyouto')`)
})
app.listen(3000)
jQuery的JSONP形式
JSONP都是GET和异步请求的,不存在其他的请求方式和同步请求,且jQuery默认就会给JSONP的请求清除缓存。
$.ajax({
url: "http://crossdomain.com/jsonServerResponse",
dataType: "jsonp",
type: "get", // 可以省略
jsonpCallback: "show", // 自定义传递给服务器的函数名,而不是使用jQuery自动生成的,可省略
jsonp: "callback", // 把传递函数名的那个形参callback,可省略
success: function(data) {
console.log(data);
}
});
2、CORS
可以通过CORS网络通信技术。(全称Cross-Orgin Resource Sharing),对于CORS同样也需要前后端进行一个配合。
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现;
浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域;
服务端设置 Access-Control-Allow-Origin 就可以开启 CORS;该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源;
①、简单跨域请求,满足两个条件就是简单请求
条件1:使用下列方法之一:
GET
HEAD
POST
条件2:Content-Type 的值仅限于下列三者之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器; XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问;
②、复杂请求
报错提示:
Access to XMLHttpRequest at 'http://localhost:3000/getUser' from origin 'http://127.0.0.1:4000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
不符合简单请求的就是复杂请求了。 复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许跨域请求。
我们用PUT向后台请求时,属于复杂请求,后台需做如下配置:
// 允许哪个方法访问我
res.setHeader('Access-Control-Allow-Methods', 'PUT')
// 预检的存活时间
res.setHeader('Access-Control-Max-Age', 6)
// OPTIONS请求不做任何处理
if(req.method === 'OPTIONS') {
res.end()
}
// 定义后台返回的内容
app.put('/getData', function(req, res) {
console.log(req.headers)
res.end('Iloveyouto')
});
CORS请求相关的字段解释
// index.html
let xhr = new XMLHttpRequest()
document.cookie = 'name=xiamen' // cookie不能跨域
xhr.withCredentials = true // 前端设置是否带cookie
xhr.open('PUT', 'http://localhost:4000/getData', true)
xhr.setRequestHeader('name', 'xiamen')
xhr.onreadystatechange = function() {
if (xhr.readyState === 4) {
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status === 304) {
console.log(xhr.response)
//得到响应头,后台需设置Access-Control-Expose-Headers
console.log(xhr.getResponseHeader('name'))
}
}
}
xhr.send()
// server1.js
let express = require('express');
let app = express();
app.use(express.static(__dirname));
app.listen(3000);
//server2.js
let express = require('express')
let app = express()
let whitList = ['http://localhost:3000'] //设置白名单
app.use(function(req, res, next) {
let origin = req.headers.origin
if (whitList.includes(origin)) {
// 设置哪个源可以访问我
res.setHeader('Access-Control-Allow-Origin', origin)
// 允许携带哪个头访问我
res.setHeader('Access-Control-Allow-Headers', 'name')
// 允许哪个方法访问我
res.setHeader('Access-Control-Allow-Methods', 'PUT')
// 允许携带cookie
res.setHeader('Access-Control-Allow-Credentials', true)
// 预检的存活时间
res.setHeader('Access-Control-Max-Age', 6)
// 允许返回的头
res.setHeader('Access-Control-Expose-Headers', 'name')
if (req.method === 'OPTIONS') {
res.end() // OPTIONS请求不做任何处理
}
}
next()
})
app.put('/getData', function(req, res) {
console.log(req.headers)
res.setHeader('name', 'jw') //返回一个响应头,后台需设置
res.end('Iloveyouto')
})
app.get('/getData', function(req, res) {
console.log(req.headers)
res.end('Iloveyouto')
})
app.use(express.static(__dirname))
app.listen(4000)
上述代码由http://localhost:3000/index.html向http://localhost:4000跨域请求
3、postMessage
postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一,它可用于解决以下方面的问题:
页面和其打开的新窗口的数据传递
多窗口之间消息传递
页面与嵌套的iframe消息传递
上面三个场景的跨域数据传递
4、websocket
Websocket是HTML5的一个持久化的协议,它实现了浏览器与服务器的全双工通信,同时也是跨域的一种解决方案。
5、Node中间件代理(两次跨域)
实现原理:同源策略是浏览器需要遵循的标准,而如果是服务器向服务器请求就无需遵循同源策略。 代理服务器,需要做以下几个步骤:
1)接受客户端请求 ;
2)将请求 转发给服务器;
3)拿到服务器 响应 数据;
4)将 响应 转发给客户端;
6、nginx反向代理
实现原理类似于Node中间件代理,需要你搭建一个中转nginx服务器,用于转发请求。
使用nginx反向代理实现跨域,是最简单的跨域方式。只需要修改nginx的配置即可解决跨域问题,支持所有浏览器,支持session,不需要修改任何代码,并且不会影响服务器性能。
7、window.name + iframe
window.name属性的独特之处:name值在不同的页面(甚至不同域名)加载后依旧存在,并且可以支持非常长的 name 值(2MB)。
8、location.hash + iframe
实现原理: a.html想要与c.html跨域相互通信,通过中间页b.html来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。
9、document.domain + iframe
该方式只能用于二级域名相同的情况下,比如 a.html和b.html 适用于该方式。 只需要给页面添加 document.domain ='test.com'
表示二级域名都相同就可以实现跨域。
归纳点:
①、CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案;
②、JSONP只支持GET请求,JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据;
③、不管是Node中间件代理还是nginx反向代理,主要是通过同源策略对服务器不加限制;
④、日常工作中,用得比较多的跨域方案是cors和nginx反向代理;
10、谷歌浏览器:关闭浏览器跨域策略
跨域的问题主要来自浏览器的安全策略,在请求跨域请求的时候,浏览器会做验证,那么通过手动关闭浏览器的验证预检,解决跨域的问题。
如果 Chrome 版本在49之前,设置方法如下:
1、在Chrome的快捷图标上点击鼠标右键,选择属性,选择快捷方式标签,在目标里面,在原chrome路径的基础上加上
--disable-web-security
注意: --前面有个空格
2、点击应用,再点击确认;
3、重新启动Chrome;
4、打开Chrome后,看到地址栏下面的警告提示 --disable-web-security,就可以了
如果是49以上的版本:
步骤和上面一样,将第4步的参数改成如下:
--disable-web-security --uesr-data-dir=C:\MyChromeDevUserData
注意: --前面有个空格
C:\MyChromeDevUserData 是你本地硬盘的一个目录,可以自己新建一个,路径换成你新建的目录就可以了;
这样解决跨域问题,就是使浏览器对复杂跨域请求关闭验证预检,当然这个不是根本方法,也存在安全问题。
转自:
感谢作者:https://juejin.im/post/5c23993de51d457b8c1f4ee1#heading-13
感谢作者:https://juejin.im/post/5ca4ba9ff265da30a40d5283#heading-19