理解跨域

引言：

    前后端分离之前，不存在跨域限制，因为请求所出的页面和应用服务器所处在同一个域下。而随着前后端的分离，前后端独立开发，部署。就出现了跨域的情况。

    所谓跨域，其实可以从三个方面理解：

    1：浏览器自身限制

    2：只针对 XmlHttpRequest 请求

    3：跨域

原理分析：

    所谓浏览器自身限制，是因为浏览器对于不在同一个域（协议+域名+端口）下的请求做了安全限制

    只针对 XmlHttpRequest （xhr）请求，才会有跨域限制，其他请求如图片，静态资源文件请求等则不会存在跨域限制

解决方案：

    1：去除浏览器的限制，此方法针对浏览器客户端作增加去除跨域的限制（--disable-web-security），缺点是每一台浏览器客户端都需要作取消跨域的限制。此法基本上不采用

    2:针对 xhr 请求做处理，将xhr请求转为jsonp请求，此种方式需要前后端都作相应的调整

    前端：请求转为jsonp请求，后端需要针对jsonp请求将返回值转为js（原返回值格式为json）

    jquery的jsonp请求的本质实际上是将ajax请求动态生成一个script标签（访问结束后标签也会销毁掉），通过script标签的src属性去访问原来的ajax请求url，并增加了callback参数用于和服务器作jsonp请求协议（即服务器通过请求中携带的callback参数，知道该请求为jsonp请求，就会将返回值转为js代码）

    eg：

   

    jsonp的缺点：前后端都需要做修改，后端需要根据前端请求的jsonp请求转换返回值的格式。且jsonp只支持get请求。

    故不建议使用jsonp方式解决跨域问题。

    3：通过修改被调用方或者调用方的方式解决跨域限制，此种方式较为常用，建议大家采用此种方式。

    修改被调用方：修改被调用方，使得被调用方允许此次跨域请求即可。常用的方式有在被调用方的http服务器响应头中增加允许跨域的返回值如

     Access-Control-Allow-Methods *;// 允许所有请求方法跨域

    Access-Control-Allow-Origin $http_origin;//允许所有请求源

    Access-Control-Allow-Headers $http_access_control_request_headers;

    Access-Control-Allow-Credentials true;// 是否允许cookie方式

    Access-Control-Max-Age 3600;// 秒为单位，即控制options请求的缓存时间

    一般实现方式可以在web应用服务器的过滤器中增加，也可以在http服务器如nginx中增加。

   如果在被调用方不允许修改的情况下只能采用修改调用方的方式了

    修改调用方：

    修改调用方实质上就是隐藏跨域，让浏览器认为自己并没有进行跨域请求即可。通过反向代理的方式。

    我们可以采用在调用方处采用nginx服务器的方式作一层反向代理，将所有跨域请求都通过反响代理服务器去请求，而浏览器访问的是反向代理的服务器，这样浏览器就不会觉得自己是在进行跨域请求了。