什么是跨域
跨域,是指浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,防止恶意攻击,是浏览器对javascript实施的安全限制.
什么是同源策略
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互,它能帮助阻隔恶意文档,减少可能被攻击的媒体.
同源策略限制的行为
1.Cookie、LocalStorage和IndexDB无法读取
2.DOM和JS对象无法获取
3.Ajax请求不能发送
什么是同源
同源就是指域名、协议、端口均为相同.
地址
http(协议)://store.company.com(域名):81(端口)
| URL | 结果 | 原因 |
|---|---|---|
| http://store.company.com/dir2/other.html | 同源 | 只有路径不同 |
| http://store.company.com/dir/inner/another.html | 同源 | 只有路径不同 |
| https://store.company.com/secure.html | 失败 | 协议不同 |
| http://store.company.com:81/dir/etc.html | 失败 | 端口不同(http://默认端口80) |
| http://news.company.com/dir/other.html | 失败 | 域名不同 |
实现跨域的几种方式
1.jsonp(只能发送get请求)
jsonp是JSON with padding简写,实现原理,动态创建script标签,然后利用script里的src不受同源策略约束通过get请求获取数据.利用callback回调函数接收服务器响应数据.
- 代码示例
var script=document.createElement('script');
script.src="https://api.test.com/v2/list/search?q=javascript&count=1&callback=handleResponse";
document.body.insertBefore(script,document.body.firstChild);
//接收回调
function handleResponse(response){
console.log(response)
}
2.跨域资源共享(CORS)
CORS是W3C的标准,全称是"跨域资源共享".它允许浏览器向跨域的服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源的使用限制.
cors请求分成两类
1.简单请求
2.非简单请求
简单请求(http方法与请求头信息的结合)
1.请求方法是以下三种方法之一.
- HEAD
- GET
- POST
2.HTTP请求头必须是下面几种字段
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
对于简单请求就是浏览器直接发出CORS,具体来说就是请求头添加Origin字段
GET /cors HTTP/1.1
Origin: http://api.bob.com //本次请求来自于哪个域(协议 + 域名 + 端口)服务器根据这个值,决定是否同意这次请求.
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息响应字段
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
CORS设置响应头字段
1.Access-Control-Allow-Origin:必选
该字段得值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求.
2.Access-Control-Allow-Credentials:可选
该字段的值是一个布尔值,表示是否允许发送cookie,默认情况下,Cookie不包括在CORS请求中,设置为true表示服务器明确许可,浏览器可以把Cookie包含在请求中,一起发送给服务器,这个值也只能设置为true,如果服务器不要浏览器发送Cookie,不发送该字段即可.
3.Access-Control-Expose-Headers
该字段可选.CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个服务器返回的基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值
- 代码示例
//前端代码
var xhr=new XMLHttpRequest();
xhr.withCredentials=true; //前端设置是否带cookie
xhr.open('post', 'http://www.bai.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText);
}
};
//服务器端代码node
var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var postData = '';
// 数据块接收中
req.addListener('data', function(chunk) {
postData += chunk;
});
// 数据接收完毕
req.addListener('end', function() {
postData = qs.parse(postData);
// 跨域后台设置
res.writeHead(200, {
'Access-Control-Allow-Credentials': 'true', // 后端允许发送Cookie
'Access-Control-Allow-Origin': 'http://www.bai.com', // 允许访问的域(协议+域名+端口)
/*
* 此处设置的cookie还是domain2的而非domain1,因为后端也不能跨域写cookie(nginx反向代理可以实现),
* 但只要domain2中写入一次cookie认证,后面的跨域接口都能从domain2中获取cookie,从而实现所有的接口都能跨域访问
*/
'Set-Cookie': 'l=a123456;Path=/;Domain=http://www.bai.com;HttpOnly' // HttpOnly的作用是让js无法读取cookie
});
res.write(JSON.stringify(postData));
res.end();
});
});
server.listen('8080');
非简单请求
凡是不同时满足上面两个条件,就属于非简单请求,非简单请求是对服务器提出特殊的要求,比如请求方法是PUT或DELETE,或者Content-Type字段是application/json.非简单请求的CORS请求,会在正式通信之前增加一次http查询请求,称为"预检"请求,浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 HTTP 动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。这是为了防止这些新增的请求,对传统的没有 CORS 支持的服务器形成压力,给服务器一个提前拒绝的机会,这样可以防止服务器大量收到DELETE和PUT请求,这些传统的表单不可能跨域发出的请求。
//前端代码
var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
//预测http请求头
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,“预检”请求的头信息包括两个特殊字段。
1.Access-Control-Request-Method
该字段是必须的,用来列出浏览器的 CORS 请求会用到哪些 HTTP 方法,上例是PUT。
2.Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器 CORS 请求会额外发送的头信息字段,上例是X-Custom-Header
服务器收到“预检”请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
3.document.domain+iframe跨域
此方案仅限主域相同,子域不同的跨域应用场景.实现原理两个页面都通过js强制设置document.domain为基础主域,就实现了同域.
- 代码示例
//父窗口
//子窗口
4.vue-cli+nginx代理跨域
利用webpack的webpack-dev-server,实现开发环境下,vue渲染服务和接口代理都是webpack-dev-server同一个,所以页面与代理之间不需要跨域.
//vue.config.js
devServer:{
open:true,
compress:true,//对所有服务器启用gzip压缩
port:5200,
hot:true,
host:'0.0.0.0',
overlay:{ //错误遮罩
warnings: true,
errors: true
},
proxy:{
'/api':{
target: 'www.domain2.com:8080',
changeOrigin: true, //是否跨域
pathRewrite:{
'^/api':'/api'
}
}
}
//nginx
server {
listen 81;
server_name www.domain1.com;
location / {
proxy_pass http://www.domain2.com:8080; #反向代理
proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
index index.html index.htm;
# 当用webpack-dev-server等中间件代理接口访问nignx时,此时无浏览器参与,故没有同源限制,下面的跨域配置可不启用
add_header Access-Control-Allow-Origin http://www.domain1.com; #当前端只跨域不带cookie时,可为*
add_header Access-Control-Allow-Credentials true;
}
}