浏览器同源策略
当我们在前端项目通过网络从后端项目中获取数据时,在后端显示访问正常,没有任何错误,而在前端却收不到数据,还会出现报错,遇见这种情况,很大可能是出现了跨域问题。
前后端分离项目号出现了报错,问题既不是出在后端上,也不是出现在前端,那么就只剩下一种可能:浏览器。
浏览器同源策略,是浏览器最核心,也是最基本的安全功能,指域名、协议和端口相同。没有浏览器同源策略,也就不会有跨域问题。
image.png
为什么要有同源策略
如果没有同源策略,会存在安全问题。假如用户的电脑遭遇病毒攻击,病毒的功能是用户只要通过浏览器访问网站A,就会在浏览器解析从网站A返回数据之前,将让浏览器访问其他的非法网站B的命令塞进这些数据里,这样非法网站B就会获取用户在网站A的Cookie。
跨域问题几种解决思路
jsonp 跨域
原理:<srcipt>标签不受浏览器同源策略限制。比如在线引用jQuery,其实也是一种跨域的实现:
image.png
将src对应的网址替换为后端项目的网址,即可实现前后端分离项目开发者想要达到的效果。
- 注意:jsonp有很大一个局限性,就是只能实现get请求
document.domain+iframe跨域
原理:不同域指向的两个爷们,都通过JS强制设置document.domain为基础主域,就可以实现同域
- 注意:仅限主域相同,子域不同的跨域应用场景
CORS(跨域资源共享)
通过在服务端设置Access-Control-Origin即可解决跨域问题,前端无需设置。此方案目前是主流的跨域问题解决方案。
CORS(Cross-origin resource sharing跨域资源共享)是一个W3C标准。
CORS的原理是只需要向相应header中注入Access-Control-Allow-Origin,浏览器检测到header中的Access-Control-Origin,就可以跨域了。
CORS允许浏览器向开源服务器发出XMLHttpRequest请求,从而克服AJAX只能同源使用的限制。
Nginx代理跨域
- Nginx配置解决iconfont跨域。浏览器跨域访问JS、CSS和Img等常规静态资源被同源策略许可,单iconfont字体文件例外,此时可在Nginx的静态资源服务器中加入以下配置:
- Nginx反向代理
原理:通过Nginx配置一个代理服务器(域名与domain1相同)做跳板机,反向代理访问domain2接口。服务器端调用HTTP接口只是使用HTTP协议,不会执行JS脚本,因为不需要同源策略,也就不存在跨域问题
