关于后端如何解决跨域的问题说明

目录

• 什么是跨域请求
• 什么是同源策略
• 同源策略限制内容有
• 那什么又是同源？
• 跨域解决方案
• 1.jsonp
• 2.cors
• 3.@CrossOrigin注解
• 4.使用SpringCloud网关
• 5.Node中间件代理(两次跨域)
• 6.nginx反向代理
• 总结

对于跨域，相信同学们都有所了解。前端的跨域的若干种方式，大家也都知道，什么 JSONP，iframe+domain 等等。但是我们今天的主题，不是前端跨域，而是后端跨域。

一旦提及到跨域，就会想到同源策略，那我们就先来回顾跨域和同源策略。

什么是跨域请求

首先，我们要了解什么是跨域请求。简单来说，当一台服务器资源从另一台服务器（不同 的域名或者端口）请求一个资源或者接口，就会发起一个跨域 HTTP 请求。

举个简单的例子：

从http://aaa.com/index.html,发送一个 Ajax 请求，请求地址是 http://bbb.com/下面的一个接口，这就是发起了一个跨域请求。在不做任何处理的情况下，这个跨域请求是无法被成功请求的，因为浏览器基于同源策略 会对跨域请求做一定的限制。那什么又是同源策略呢？

什么是同源策略

首先大家要知道同源策略发生的场景——浏览器中，什么意思呢？如果不是浏览器的话， 就不会受到同源策略的影响。也就是说，两个服务器直接进行跨域请求是可以进行数据请求的。这也就为我们接下来的后端跨域埋下一下小伏笔。 同源策略的目的是什么呢？同源策略限制了从同一个源加载的文档或者脚本如何与来自另 一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

同源策略限制内容有

• Cookie、LocalStorage、IndexedDB 等存储性内容
• DOM 节点
• AJAX 请求不能发送

那什么又是同源？

大家都知道,一个域名请求地址的组成是:协议+域名+端口号+请求资源地址 , 当协议、域名、端口号中任意一个不相同时 , 都算作不同源（必须是域名完全相同，比如说 a.example.com 和 b.example.com 这两个域名。

虽然它们的顶级域名和二级域名（均为 example.com）都相同，但是三级域名（a 和 b）不相同，所以也不能算作域名相同）。

如果不同时满足这上面三个条件，那就不符合浏览器的同源策略。 需要注意的是，不是所有的交互都会被同源策略拦截下来，下面两种交互就不会触发同源策略： 

跨域写操作（Cross-origin writes）

• 例如超链接、重定向以及表单的提交操 作，特定少数的 HTTP 请求需要添加预检请求（preflight）

跨域资源嵌入（Cross-origin embedding）