跨域是指從一個(gè)域名的網(wǎng)頁(yè)去請(qǐng)求另一個(gè)域名的資源�。比如,從www.a.com域名的網(wǎng)頁(yè)去請(qǐng)求www.b.com域名的資源��,只要協(xié)議�����、域名�、端口有任何一個(gè)不同,都被當(dāng)作是不同的域����,跨域問題通常由瀏覽器的同源策略引起的。
同源策略就是瀏覽器出于安全考慮而制定的�,例如數(shù)據(jù)安全,服務(wù)器安全,減少 xss(跨站腳本攻擊)���,CSRF(跨站請(qǐng)求偽造) 等攻擊�。所謂同源����,就是協(xié)議,域名����,端口號(hào)都相同才能請(qǐng)求數(shù)據(jù)。如果是非同源請(qǐng)求發(fā)送后����,瀏覽器會(huì)攔截響應(yīng)。
1. 瀏覽器出于安全考慮(數(shù)據(jù)安全����,服務(wù)器安全,減少 xss���,CSRF 攻擊) 2. https: 協(xié)議 子域名 主域名 端口號(hào) 路徑 3. 非同源����,請(qǐng)求發(fā)送后,瀏覽器會(huì)攔截響應(yīng)
跨域解決方案
1.jsonp
- 借助 script 標(biāo)簽 src 屬性不受同源策略的限制(經(jīng)常要加載第三方庫(kù)等)�,來(lái)發(fā)送請(qǐng)求
- 攜帶一個(gè)參數(shù) callback 給后端
- 后端將數(shù)據(jù)作為 callback 函數(shù)的實(shí)參����,返回給前端一個(gè) callback 的調(diào)用形式
- 瀏覽器接收到 callback 的調(diào)用會(huì)自動(dòng)執(zhí)行全局的callback函數(shù)
// 前端<button onclick="handle()">請(qǐng)求</button>
<script> function jsonp(url, cb) { return new Promise((resolve, reject) => {
const script = document.createElement('script')
window[cb] = function (data) { // console.log(data) // 后端返回的數(shù)據(jù) resolve(data) }
script.src = `${url}?cb=${cb}`
// 將標(biāo)簽加到document.body時(shí)����,瀏覽器就會(huì)發(fā)url請(qǐng)求 document.body.appendChild(script) // callback('hello world') }) }
function handle() { jsonp('http://localhost:3000', 'callback').then(res => { console.log(res) }) } </script>
前端通過一個(gè)jsonp函數(shù),傳入請(qǐng)求的url和回調(diào)函數(shù)的名稱cb�,然后在jsonp函數(shù)里面創(chuàng)建一個(gè)script標(biāo)簽,將該標(biāo)簽的src屬性變?yōu)閡rl后面用�?拼接傳入的字符串。// 后端const http = require('http');
http.createServer((req, res) => { // 獲取前端傳過來(lái)參數(shù) const query = new URL(req.url, `http://${req.headers.host}`).searchParams
if (query.get('cb')) { const cb = query.get('cb') // 'callback' const data = 'hello world' const result = `${cb}("${data}")` // "callback('hello world')" res.end(result) }
}).listen(3000);
后端創(chuàng)建一個(gè)http服務(wù)器�,解析前端傳過來(lái)的callback字符串參數(shù),將數(shù)據(jù)作為參數(shù)返回"callback('hello world')"格式的一個(gè)函數(shù)�����。
缺點(diǎn):
2. CORS(跨資源共享)
服務(wù)器在響應(yīng)頭中后端設(shè)置 Access-Control-Allow-Origin: '域名白名單'���,告訴瀏覽器允許哪個(gè)源進(jìn)行跨域訪問。可以是具體的域名��,也可以是*表示允許所有源�。如下
const http = require('http')
const server = http.createServer((req, res) => { res.writeHead(200, { 'Access-Control-Allow-Origin': '*', // 也可自行設(shè)置指定的域名可以訪問 // 例如: 'Access-Control-Allow-Origin': 'http://192.168.2.1:5500' }) res.end('hello world');})
server.listen(3000)
還可設(shè)置允許的請(qǐng)求方式和請(qǐng)求頭等。
3.nginx反向代理
前端服務(wù)器和后端服務(wù)器不在同一個(gè)域名下�, 前端服務(wù)器通過nginx 反向代理來(lái)訪問后端服務(wù)器。
服務(wù)器和服務(wù)器之間的通信不存在跨域����,可以開一臺(tái)中間服務(wù)器(nginx),后端無(wú)需改變����。前端把請(qǐng)求發(fā)給nginx , nginx 服務(wù)器把請(qǐng)求轉(zhuǎn)發(fā)給后端的服務(wù)器,后端的服務(wù)器響應(yīng)給 nginx 服務(wù)器�,nginx 服務(wù)器加上響應(yīng)頭以后,再返回給前端��,如下����;
4. node 中間件代理
原理同nginx 反向代理,只不過多寫一個(gè)node后端�����,前端服務(wù)器和后端服務(wù)器不在同一個(gè)域名下,前端服務(wù)器通過 node 中間件來(lái)訪問后端服務(wù)器�。
5. websocket
- 傳統(tǒng)的前后端通信是基于http協(xié)議的,是單向的���,只能從一端發(fā)到另一端�����,無(wú)法雙向通信
- websocket 是基于tcp協(xié)議的�����,是雙向的�,可以從一端發(fā)送到另一端�,也可以從另一端發(fā)送到一端
- socket協(xié)議一旦建立連接,就可以一直保持通信狀態(tài)���,不需要每次都建立連接���,但是會(huì)更開銷性能
// 前端<script> function WebSocketTest(url, params = {}) { return new Promise((resolve, reject) => {
const socket = new WebSocket(url)
// 當(dāng)連接打開時(shí)發(fā)送數(shù)據(jù) socket.onopen = () => { socket.send(JSON.stringify(params)) }
// 接收到后端的消息時(shí)打印數(shù)據(jù)并解決Promise socket.onmessage = (event) => { console.log(event.data) resolve(event.data) } }) }
WebSocketTest('ws://localhost:3000', { age: 18 }).then(res => { console.log(res) }) </script>
// 后端
const WebSocket = require('ws');
// 在 3000 端口上建立 WebSocket 伺服器 (隨時(shí)都在線的服務(wù))const ws = new WebSocket.Server({ port: 3000 });
let count = 0
// 監(jiān)聽連接ws.on('connection', (obj) => { // console.log(obj); obj.on('message', (msg) => { // 收到客戶端發(fā)來(lái)的消息 // console.log(msg.toString()); // 客戶端傳過來(lái)的數(shù)據(jù) obj.send('收到了')
setInterval(() => { count++ obj.send(count) }, 2000)
})})
6. postMessage
當(dāng)父級(jí)頁(yè)面和iframe頁(yè)面不在同一個(gè)域名下,他們之間的數(shù)據(jù)傳輸也存在跨域問題���,父級(jí)頁(yè)面和iframe頁(yè)面之間可以通過posMessage來(lái)通信���。
<h2>首頁(yè)</h2><iframe id="frame" src="http://127.0.0.1:5500/%E8%B7%A8%E5%9F%9F/postMessage/detail.html"frameborder="0" width="800" height="500"></iframe>
<script> let obj = { name: '阿杰', age: 18 }
document.getElementById('frame').onload = function () { this.contentWindow.postMessage(obj, 'http://127.0.0.1:5500')
window.onmessage = function (e) { // 接收iframe發(fā)送的消息 console.log(e.data); }
} </script>
<h3>詳情頁(yè) --- <span id="title"></span></h3>
<script> const title = document.getElementById("title"); window.onmessage = function (e) { // console.log(e.data); title.innerText = e.data.age; e.source.postMessage("阿杰 20了", e.origin) // 向父級(jí)頁(yè)面發(fā)送消息 } </script>
7.document.domain
通過設(shè)置document.domain來(lái)允許同一主域名下的跨域通信����,原理同postMessage��,但是谷歌禁止了這種方法
總結(jié)
跨域:是指從一個(gè)域名的網(wǎng)頁(yè)去請(qǐng)求另一個(gè)域名的資源����。只要協(xié)議、域名����、端口有任何一個(gè)不同,都被當(dāng)作是不同的域��?����?缬騿栴}通常由瀏覽器的同源策略引起��,同源策略是為了保證用戶信息的安全��,防止惡意網(wǎng)站竊取數(shù)據(jù)
同源策略:瀏覽器出于安全考慮(數(shù)據(jù)安全�,服務(wù)器安全�,減少 xss��,CSRF 攻擊)而制定的一種只有協(xié)議�、域名、端口號(hào)都相同才能請(qǐng)求數(shù)據(jù)的規(guī)定�����,非同源請(qǐng)求發(fā)送后���,瀏覽器會(huì)攔截響應(yīng)。
跨域方案:
- jsonp(script標(biāo)簽的src屬性不受同源策略的限制)
- CORS(跨資源共享�,通知瀏覽器哪些域名可以訪問)
- websocket(socket協(xié)議可以保持長(zhǎng)時(shí)間的連接,不受同源的限制���,天生可以跨域)
- postMessage(父級(jí)頁(yè)面和iframe頁(yè)面之間可以通過posMessage來(lái)通信)
- document.domain(通過設(shè)置來(lái)允許同一主域名下的跨域通信��,谷歌禁止了)
常見的解決方案有:CORS適用于需要支持多種HTTP方法(如GET�、POST�、PUT等)的現(xiàn)代Web應(yīng)用,nginx 反向代理適用于前后端分離的項(xiàng)目���,可以在服務(wù)器層面統(tǒng)一處理跨域問題�����。
該文章在 2025/2/21 16:01:37 編輯過
400 186 1886
