前端跨域的几种解决方案

什么是跨域

跨域,是指浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,防止恶意攻击,是浏览器对javascript实施的安全限制.

什么是同源策略

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互,它能帮助阻隔恶意文档,减少可能被攻击的媒体.

同源策略限制的行为

1.Cookie、LocalStorage和IndexDB无法读取
2.DOM和JS对象无法获取
3.Ajax请求不能发送

什么是同源

同源就是指域名、协议、端口均为相同.

地址

http(协议)://store.company.com(域名):81(端口)

URL 结果 原因
http://store.company.com/dir2/other.html 同源 只有路径不同
http://store.company.com/dir/inner/another.html 同源 只有路径不同
https://store.company.com/secure.html 失败 协议不同
http://store.company.com:81/dir/etc.html 失败 端口不同(http://默认端口80)
http://news.company.com/dir/other.html 失败 域名不同

实现跨域的几种方式

1.jsonp(只能发送get请求)

jsonp是JSON with padding简写,实现原理,动态创建script标签,然后利用script里的src不受同源策略约束通过get请求获取数据.利用callback回调函数接收服务器响应数据.

  • 代码示例
var script=document.createElement('script');
script.src="https://api.test.com/v2/list/search?q=javascript&count=1&callback=handleResponse";
document.body.insertBefore(script,document.body.firstChild);
//接收回调
function handleResponse(response){
    console.log(response)
}

2.跨域资源共享(CORS)

CORS是W3C的标准,全称是"跨域资源共享".它允许浏览器向跨域的服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源的使用限制.

cors请求分成两类

1.简单请求
2.非简单请求

简单请求(http方法与请求头信息的结合)

1.请求方法是以下三种方法之一.

  • HEAD
  • GET
  • POST

2.HTTP请求头必须是下面几种字段

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求就是浏览器直接发出CORS,具体来说就是请求头添加Origin字段

GET /cors HTTP/1.1
Origin: http://api.bob.com //本次请求来自于哪个域(协议 + 域名 + 端口)服务器根据这个值,决定是否同意这次请求.
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息响应字段

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

CORS设置响应头字段

1.Access-Control-Allow-Origin:必选

该字段得值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求.

2.Access-Control-Allow-Credentials:可选

该字段的值是一个布尔值,表示是否允许发送cookie,默认情况下,Cookie不包括在CORS请求中,设置为true表示服务器明确许可,浏览器可以把Cookie包含在请求中,一起发送给服务器,这个值也只能设置为true,如果服务器不要浏览器发送Cookie,不发送该字段即可.

3.Access-Control-Expose-Headers

该字段可选.CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个服务器返回的基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值

  • 代码示例
//前端代码
var xhr=new XMLHttpRequest();
xhr.withCredentials=true; //前端设置是否带cookie
xhr.open('post', 'http://www.bai.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');

xhr.onreadystatechange = function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        alert(xhr.responseText);
    }
};

//服务器端代码node
var http = require('http');
var server = http.createServer();
var qs = require('querystring');

server.on('request', function(req, res) {
    var postData = '';

    // 数据块接收中
    req.addListener('data', function(chunk) {
        postData += chunk;
    });

    // 数据接收完毕
    req.addListener('end', function() {
        postData = qs.parse(postData);

        // 跨域后台设置
        res.writeHead(200, {
            'Access-Control-Allow-Credentials': 'true',     // 后端允许发送Cookie
            'Access-Control-Allow-Origin': 'http://www.bai.com',    // 允许访问的域(协议+域名+端口)
            /* 
             * 此处设置的cookie还是domain2的而非domain1,因为后端也不能跨域写cookie(nginx反向代理可以实现),
             * 但只要domain2中写入一次cookie认证,后面的跨域接口都能从domain2中获取cookie,从而实现所有的接口都能跨域访问
             */
            'Set-Cookie': 'l=a123456;Path=/;Domain=http://www.bai.com;HttpOnly'  // HttpOnly的作用是让js无法读取cookie
        });

        res.write(JSON.stringify(postData));
        res.end();
    });
});

server.listen('8080');
非简单请求

凡是不同时满足上面两个条件,就属于非简单请求,非简单请求是对服务器提出特殊的要求,比如请求方法是PUT或DELETE,或者Content-Type字段是application/json.非简单请求的CORS请求,会在正式通信之前增加一次http查询请求,称为"预检"请求,浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 HTTP 动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。这是为了防止这些新增的请求,对传统的没有 CORS 支持的服务器形成压力,给服务器一个提前拒绝的机会,这样可以防止服务器大量收到DELETE和PUT请求,这些传统的表单不可能跨域发出的请求。

//前端代码
var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

//预测http请求头
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

除了Origin字段,“预检”请求的头信息包括两个特殊字段。

1.Access-Control-Request-Method

该字段是必须的,用来列出浏览器的 CORS 请求会用到哪些 HTTP 方法,上例是PUT。

2.Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器 CORS 请求会额外发送的头信息字段,上例是X-Custom-Header

服务器收到“预检”请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

3.document.domain+iframe跨域

此方案仅限主域相同,子域不同的跨域应用场景.实现原理两个页面都通过js强制设置document.domain为基础主域,就实现了同域.

  • 代码示例
//父窗口



//子窗口

4.vue-cli+nginx代理跨域

利用webpack的webpack-dev-server,实现开发环境下,vue渲染服务和接口代理都是webpack-dev-server同一个,所以页面与代理之间不需要跨域.

//vue.config.js
devServer:{
        open:true,
        compress:true,//对所有服务器启用gzip压缩
        port:5200,
        hot:true,
        host:'0.0.0.0',
        overlay:{ //错误遮罩
            warnings: true,
            errors: true   
        },
        proxy:{
            '/api':{
                target: 'www.domain2.com:8080',
                changeOrigin: true,  //是否跨域
                pathRewrite:{
                    '^/api':'/api'
                }
            }
     }
//nginx
server {
    listen  81;
    server_name  www.domain1.com;

    location / {
        proxy_pass   http://www.domain2.com:8080;  #反向代理
        proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
        index  index.html index.htm;

        # 当用webpack-dev-server等中间件代理接口访问nignx时,此时无浏览器参与,故没有同源限制,下面的跨域配置可不启用
        add_header Access-Control-Allow-Origin http://www.domain1.com;  #当前端只跨域不带cookie时,可为*
        add_header Access-Control-Allow-Credentials true;
    }
}

你可能感兴趣的:(前端跨域的几种解决方案)