ajax跨域完全讲解

产生跨域原因

• 浏览器限制
• 跨域（协议、主机名、端口号等不同就属于跨域）

• XHR（XMLHttpRequest）请求（如果是json请求就不会）

  
  
  

  产生跨域原因

解决思路

• 针对浏览器，修改浏览器安全配置，不过这需要修改每个浏览器，不实际
• 把XHR 请求转为jsonp请求，不过jsonp请求已经越来越不满足当前需求了

• 跨域代理

  
  
  

  解决思路

解决方法

jsonp解决

jsonp 不是标准，只是一种约定的协议，使用需要前后端协商一致。
jsonp通过动态创建script,然后发送出去（然后自动销毁，如果需要查看创建的script,需要打断点）。

创建的script如下图:

创建的script.PNG

普通请求和jsonp请求区别:

捕获.PNG

解释：

• 普通的ajax请求，请求格式是Type=xhr,返回的格式是json
• 用jsonp请求，请求格式是Type=script ,返回的格式是javascript,返回的值作为javascript函数的参数返回。

jsonp弊端

• 服务器需要改动代码支持
• 只支持get请求
• 发送的不是XHR请求（XHR支持异步等）

被调用方解决-支持跨域

在相应头增加字段：可以在
1.服务器
2.nginx
3.apache
这三者之一增加

Filter解决方法

• 浏览器是先执行再判断
• 跨域请求返回值多了origin字段

解决方法：
在服务端：

其中8081端口是client端口

简单请求和非简单请求

简单请求：先执行再判断；
非简单请求：先判断在执行；

简单请求定义(满足以下几点即为简单请求）：

• 方法：
  • GET
  • HEAD
  • POST
• 请求header里面：
  • 无自定义头
  • Content-type为一下几种：
    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded

非简单请求：

• put
• delete
• 发送json格式的ajax请求
• 带自定义头的ajax请求

非简单请求.PNG

非简单请求会先发一个预检命令到服务端（OPTIONS）,服务端允许了才发送POST请求，所以是先判断再执行。

缓存预检命令：
在服务端设置缓存预检命令后
：

缓存.PNG

浏览器缓存后，浏览器不需要再次发送预检命令。

带cookie的跨域

• Access-Control-Allow-Origin字段不能为*
• 增加Access-Control-Allow-Credentials值为true的字段

多站点带cookie跨域解决方法：

在服务端通过origin字段得到请求端域名，然后增加到 Access-Control-Allow-Origin字段中

带自定义头跨域

自定义头跨域.PNG

然后在服务端增加自定义头（写死）：

服务端自定义头.PNG

或者在服务端获取请求头，然后加入进去（推荐）

被调用方解决跨域：nginx

被调用方解决跨域：apache

调用方解决跨域（隐藏跨域）

反向代理

在nginx中：
把所有请求转发到8080端口。
把要调用的服务器地址用8081端口代理。