跨域产生的原因和解决方案

浏览器的同源策略

协议、域名、端口号相同为同源,否则不允许跨域,最初是指cookie不能共享,由于浏览器的表单提交时不受同源策略限制的,所以为了安全性,同源策略是必要的。
现在的同源策略限制的内容包括
1.cookie、localStorage、indexDB无法读取
2.DOM无法获取
3.AJAX不能发送
解决思路有比如:jsonp绕过浏览器的同源策略,通过websocket/cors,正反代理来告诉服务端发起请求的源,由服务端来判断是否同意该请求。

解决方案:

1.一级域名相同,二级域名不同的情况下,可以设置document.domain相同,就可以共享cookie
2.以iframe和window.open方法打开的窗口为例,有三种方法可以跨域
(1.url后#片段识别符携带传递参数 通过hashchange方法进行通知
(2.window.name 不论同源只要在同一个窗口设置了这个属性就可以传参,容量大,但是需要额外监听
(3.window.postMessage 是H5引入的新的API,window.postMessage(data,target地址)
(4.通过上面的方法也可以读写其他窗口的localStorage
3.AJAX跨域
(1.JSONP通过script(该标签无同源限制)向服务器发起请求,需要指定一个回调函数,服务端会将该数据放在回调函数里。只能发送get请求,优点是简单适用、支持所有的浏览器,对服务端改动非常小
而必须设置回调函数是因为作为一个scripts标签获取的js脚本是需要被执行的,如果是纯数据的话无法执行会报错
(2.webSocket 是一种通信协议,不实行同源策略,在请求头中有origin属性标记了请求源,缺点是需要支持webscoket的服务器才支持。
(3.CORS 整个通信过程 都是浏览器自动完成的,不需要用户进行参与,当浏览器发现XMLHTTPRequest或原生fetch请求,会自动附加一些头信息,有时会进行一次附件的预检请求。(简单请求和非简单请求)
(//www.greatytc.com/p/c68d404a3ab9)

什么是简单请求?将会带有origin字段(协议 域名 端口号)

请求方法为head get post
请求头信息在这五个之内
accept, accept-language,content-language,last-event-id, content-type(为浏览器默认提交application/ x-www-form-urlencoded,表单数据multipart/form-data, 纯文本text/plain)
非简单请求如发出的方法是put delete 或者content-type是application/json,则需要预检options请求,返回正常通过将带有access-control-allow-origin,之后将和简单请求一致
4.搭建中间层转发,通过java或者node,转化成同源请求
例如现在我们要发送一个到2019端口号的请求,现在是80端口,那这肯定产生了跨域,需要在vue项目中进行webpack.config.js配置代理,当我们发出请求的时候是发出了80/api/student请求,是同源的,而发出真正的请求的时候正向代理会给我们发送真实的2019/student。
浏览器是禁止跨域的,但是服务端不禁止,在本地运行npm run dev等命令时实际上是用node运行了一个服务器,因此proxyTable实际上是将请求发给自己的服务器,再由服务器转发给后台服务器,做了正向代理,所以不会出现跨域问题。

proxyTable: {
    '/api': {
        target: 'http://192.168.20.1:8080/', // 接口的域名
        secure: false,      // 如果是 https 接口,需要配置这个参数
        changeOrigin: true, // 如果接口跨域,需要进行这个参数配置
        pathRewrite: {
            '^/api': ''  // 真正的请求中将api替换为target
        }
    },
},

5.Nginx反向代理,通过Nginx解析URL地址的时候进行判断,将请求转发到具体的服务器上,这里发出的请求和真正的请求有映射关系。由于服务器之间是没有跨域的,所以我们先向Nginx发起同源请求,再由Nginx转发给真正的服务器。
更多:http://www.sohu.com/a/302468181_505803

// Nginx配置文件config
server {
# 监听80端口号
listen 80;
# 监听访问的域名
server_name a.com;
# 根据访问路径配置
location /{
# 把请求转发到 http://127.0.0.1:9999
proxy_pass http://127.0.0.1:9999;
# 兼容websocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
# 监听根目录下的 /api 路径
location /api/{
# 把请求转发到 http://127.0.0.1:8888
proxy_pass http://localhost:8888;
}
}

CORS跨域的配置

客户端关键字Access-Control-Request-Method和 Access-Control-Access-Headers和 origin标识了请求的资源
origin只能设置*或者单一的来源,不支持正则过滤所以设置跨域的时候可以通过拦截白名单校验,通过后将origin设置成相应的来源即可
服务端关键字Access-Control-Allow-Methods和Access-Control-Allow-Headers和Access-Control-Allow-Origin标识了服务端对跨域请求的白名单校验。在响应options请求和响应真实请求时都是有作用的。还有一个关键字"Access-Control-Allow-Credentials"表明它允许cookies

服务器设置OPTIONS响应一般要同时满足这些条件,一是跨域,二是复杂请求,三是服务器对OPTIONS响应默认值不符合要求,如果是不存在跨域情况,就不需要在服务器手动设置OPTIONS响应。

//以node-koa框架为例
const Koa = require('koa');
const app = new Koa();
const _cors=(ctx,next)=>{
    //指定服务器端允许进行跨域资源访问的来源域。可以用通配符*表示允许任何域的JavaScript访问资源,但是在响应一个携带身份信息(Credential)的HTTP请求时,必需指定具体的域,不能用通配符
    ctx.set("Access-Control-Allow-Origin", "http://127.0.0.1:8080");
 
    //指定服务器允许进行跨域资源访问的请求方法列表,一般用在响应预检请求上
    ctx.set("Access-Control-Allow-Methods", "OPTIONS,POST,GET,HEAD,DELETE,PUT");
    
    //必需。指定服务器允许进行跨域资源访问的请求头列表,一般用在响应预检请求上
    ctx.set("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type");
    
    //告诉客户端返回数据的MIME的类型,这只是一个标识信息,并不是真正的数据文件的一部分
    ctx.set("Content-Type", "application/json;charset=utf-8");
    
    //可选,单位为秒,指定浏览器在本次预检请求的有效期内,无需再发送预检请求进行协商,直接用本次协商结果即可。当请求方法是PUT或DELETE等特殊方法或者Content-Type字段的类型是application/json时,服务器会提前发送一次请求进行验证
    ctx.set("Access-Control-Max-Age", 300);
 
    //可选。它的值是一个布尔值,表示是否允许客户端跨域请求时携带身份信息(Cookie或者HTTP认证信息)。默认情况下,Cookie不包括在CORS请求之中。当设置成允许请求携带cookie时,需要保证"Access-Control-Allow-Origin"是服务器有的域名,而不能是"*";如果没有设置这个值,浏览器会忽略此次响应。
    ctx.set("Access-Control-Allow-Credentials", true);
 
    //可选。跨域请求时,客户端xhr对象的getResponseHeader()方法只能拿到6个基本字段,Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。要获取其他字段时,使用Access-Control-Expose-Headers,xhr.getResponseHeader('myData')可以返回我们所需的值
    ctx.set("Access-Control-Expose-Headers", "myData");
 
    next()
}
const main = function (ctx) {
    const _method=ctx.request.method;
    ctx.response.body={"请求方式":_method};
};
 
app.use(_cors)
app.use(main)
 
app.listen(5000, function () {
    console.log('koa start at port 5000')
})
// 前端axios
 const axios_request=(method)=>{
    axios({
      method: method,
      url: url,
      headers: {
        'Content-Type':contentType,
      },
 
      responseType: 'json',
    }).then(res => {
      console.log(res.data)
    }).catch(error => {
      console.log(error);
    });
  }

参考:https://juejin.im/post/5816158e2e958a00549e80f6
http://www.ruanyifeng.com/blog/2016/04/cors.html

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 210,914评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,935评论 2 383
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,531评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,309评论 1 282
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,381评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,730评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,882评论 3 404
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,643评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,095评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,448评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,566评论 1 339
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,253评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,829评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,715评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,945评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,248评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,440评论 2 348

推荐阅读更多精彩内容

  • 1. 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScri...
    cbw100阅读 6,306评论 2 86
  • 何为跨域? 首先,我们得先理解一下何为跨域?所谓跨域,即网站的协议名 protocol(例如 http ://) ...
    Yanzery阅读 1,377评论 0 0
  • <转>详解跨域(最全的解决方案) 什么是跨域跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,...
    涅槃快乐是金阅读 4,713评论 0 3
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    Yaoxue9阅读 1,288评论 0 6
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    他方l阅读 1,061评论 0 2