【附录一】跨域解决方案及其原理

已于 2025-08-28 01:04:24 修改
阅读量1.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端基础知识 文章标签: 跨域
于 2019-08-14 18:12:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Dora_5537/article/details/99586546
本文深入解析了跨域问题产生的原因及九种常见的跨域解决方案,包括jsonp、document.domain+iframe、location.hash+iframe、window.name+iframe、postMessage、CORS、nginx代理、node.js中间件代理和WebSocket协议,每种方案均附有具体实现步骤。

一、为什么要跨域

同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个IP地址,也非同源。

二、常见的跨域场景(不允许通信)

1. 不同协议,同一域名:http://www.domain.com/a.js 和 https://www.domain.com/b.js

2. 同一域名,不同端口:http://www.domain.com:8000/a.js 和 http://www.domain.com/b.js

3. 不同域名:http://www.domain1.com/a.js 和 http://www.domain2.com/b.js

4. 主域相同,子域不同:http://www.domain.com/a.js 和 http://x.domain.com/b.js 和 http://domain.com/c.js

5. 域名和域名对应相同IP:http://www.domain.com/a.js 和 http://192.168.4.12/b.js

三、跨域解决方案

1. 通过 jsonp 跨域

2. document.domain + iframe 跨域:仅限主域相同,子域不同的跨域场景。

3. location.hash + iframe 跨域:a欲与b跨域相互通信,通过中间页c来实现。

4. window.name + iframe 跨域

5. postMessage 跨域

6. 跨域资源共享(CORS):只需要服务端设置Access-Control-Allow-Origin即可。

7. nginx 代理跨域

8. nodejs 中间件代理跨域

9. WebSocket 协议跨域

四、跨域解决方案的原理

1. JSONP跨域

此方法需要后台支持,和后台交互一般用 JSONP。

实现原理:

通常为了减轻 web 服务器的负载,我们把 JS、CSS、img 等静态资源分离到另一台独立域名的服务器上,在 html 页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许。

基于此原理,我们可以通过动态创建 <script> 标签,再请求一个带参网址实现跨域通信。

JSONP是通过动态<script>元素来使用的,使用时可以为 src 属性指定一个跨域 URL。这里的 <script> 元素与 <img> 元素类似,都有能力不受限制地从其他域加载资源。因为 JSONP 是有效的 JS 代码,所以在请求完成后,即在 JSONP 响应加载到页面中以后,就会立即执行。

具体实现:

1) 原生实现

服务端返回如下(返回时即执行全局函数):

2) jquery ajax

3) vue.js

后端node.js代码示例

<

最低0.47元/天 解锁文章

新学期VIP享超值加赠
系统架构的数据致性问题与解决方案
AI天才研究院
07-08 977
系统架构的数据致性问题与解决方案 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:数据致性, 数据库并发控制, 分布式系统, 并发编程, CAP定理 1. 背景介绍
Druid原理与代码实例讲解
AI天才研究院
07-08 1069
Druid原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:实时数据存储与检索,Apache Druid,时序数据处理,高性能查询引擎,数据聚合与可视化 1.背景介绍
前端 问题 原理 + 解决方案
高精尖发展
08-31 1492
起源: 错误是由于CORS验证机制设置不正确导致的,但是上面的这个错误我得解决呀,不好办吗,本文结合各大……(广告时间)能说明白当然是不可能了,还需要点开文中链接看看、瞧瞧,当然偶尽量在本文中写滴清楚   这个前言让他有点特别吧,先写下出现的几种问题: No 'Access-Control-Allow-Origin' header is present on the req...
Nginx高级(八):nginx、nginx正向代理、nginx反向代理
大胡子哥哥
11-29 4123
、nginx 1 . 什么是源资源共享(CORS)是种机制,它使用额外的HTTP标头让用户代理获得访问来自不同来的服务器上选定资源的权限,而不是使用当前正在使用的站点。用户代理在请求来自与当前文档不同的,协议或端口的资源时,会发出源HTTP请求。 2 . 产生的原因? 1、出于安全原因,浏览器限制从脚本内发起的HTTP请求。例如,XMLHttpRequest与提取API遵循同策略。这意味着使用这些API的Web应用程序只能从加载应用程序的同请求HTTP资源,除非使用
前端如何解决
最新发布
qq_30292853的博客
07-21 605
前端解决的常见方法主要有以下几种,每种方法适用场景和实现方式不同,可根据项目需求选择:1、
前端解决方案总结
丑小鸭变黑天鹅的博客
02-20 5055
前端解决方案总结、什么是?二、为什么会产生三、常见的场景四、9种解决方案1、JSONP1、概述2、实现流程3、jsonp简单实现1)、原生JS实现2)jquery Ajax实现:3)Vue axios实现:4)、后端node.js代码:2、资源共享(CORS) 、什么是? 在前端中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。 二、为什么会产生 因为浏览器内部有种约定叫做同源策略它是浏览器最核心也最基本的安全功能,如果缺少了同源
前端请求原理及实践
wu_Duo的博客
09-15 891
最新在浏览博客的时候看到了这篇关于前端请求原理的博文,感觉不错,推荐给大家。 原文链接:tingandpeng.com/2016/09/05/前端请求原理及实践/请求的含义浏览器的同源策略,出于防范站脚本的攻击,禁止客户端脚本(如 JavaScript)对不同的服务进行站调用。般的,只要网站的 协议名protocol、 主机host、 端口号port 这三个中的任意个不
前端及其原理
Brilliant Me 的博客
12-21 2048
前端汇总 什么是 要搞懂什么是要明白同源策略,同源策略满足条件有三个: 1.协议相同 2.端口相同 3.名相同 同源策略有什么限制? 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 url中任意个部分不相同都会造成问题,但是也有例外,script标签的src和link标签的hre...
PPO算法基本原理与工作流程
AI天才研究院
06-29 1642
PPO算法基本原理与工作流程 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:PPO算法,PPO流程图,强化学习,策略梯度方法,自然优势估计 1. 背景介绍 1.
前端问题如何解决?七大原理详解
厦门在乎科技
11-29 2206
咱们做前端的,平时跟后端对接接口那是必须的事情,但是可能很多同学忽略了个对接过程中可能会发生的问题——,那到底是啥呢?为什么会呢?又怎么才能解决呢? 为什么? 为什么会出现问题呢?那就不得不讲浏览器的同源策略了,它规定了协议号-名-端口号这三者必须都相同才符合同源策略 如有有个不相同,就会出现问题,不符合同源策略导致的后果有 1、LocalStorge、SessionStorge、Cookie等浏览器内存无法访问 2、DOM节点无法操作 3、Ajax请求无法
java面试经常问到的问题
IT宅
03-10 286
深入理解前端方法和原理 前言 受浏览器同源策略的限制,本的js不能操作其他的页面对象(比如DOM)。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。所以我们要通过些方法使本的js能够操作其他的页面对象或者使其他的js能操作本的页面对象(iframe之间)。 这里需要明确的点是:所谓的跟js的存放服务器没有关系,比如baidu.com的页面加载了google.com的js,那么此js的所在是baidu.com而不是google.com。也就是说,此时该js能
前端解决原理
weixin_39141802的博客
03-08 240
1,我们先来说下什么是a.浏览器有同源策略,不允许ajax访问其他接口b.条件:协议、名、端口有个不同就算例如:我的网站:http://www.my.com/page.html你的网站:http://www.your.com/page.html当我想要在我的网站下通过ajax访问你的网站的接口是不可以的,因为名不样,这就是越;但是呢有三个标签是允许加载资源的:a.&l...
解决方案】你必须要知道的~前端九种方式实现原理(完整版)
一起寻找DX3906-探索未知
06-27 1704
前后端数据交互经常会碰到请求,什么是,以及有哪几种方式,这些问题通常出现在Web开发中
使用代理解决问题的原理
lie_sun
11-27 6633
为了安全着想浏览器会设置同源安全策略 即不在同名下的资源就不能够互相访问 要解决这个问题方法有很多 ,但大致分为两类: 1 是服务端进行设置默认允许某些访问 2 从客户端入手想办法绕开同源安全策略 主要介绍从客户端入手,用代理的方式实现访问的原理 举个栗子: 用node起了个localhost:8080的服务器 那么在这个服务器下访问的网页也就是默认在8080这个...
聊聊原理解决方法
顺仔的小窝
06-20 1515
背景 在最近的项目中,遇到这样个场景:合作方开发H5页面并部署在合作方的服务器上,但页面中嵌入了我方的SDK,SDK会直接调用我方的接口,如下图: 但是控制台中却会收到如下报错: Access to XMLHttpRequest at 'http://example1.com/test' from origin 'http://example2.com' has been blocked by CORS policy: Response to preflight request doesn't pass
前端多种方式实现原理详解
qq_40588413的博客
04-08 1358
是我们在项目中经常遇到的,前后端数据交互经常碰到请求,首先我们来想下为什么会有这个词的出现?本文带你来探讨下以下几个问题: 是什么? 为什么要的几种方式? … 什么是? 是指的浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成,是浏览器对JavaScript实施的安全限制。 实际上指从的网页去请求另的资源,比如:从 http://...
原理解决
github_39274378的博客
08-14 768
解决原理: 首先我们需要理解几点 1jsonp发送的并不是个ajax请求,是个script标签   2script标签没有同源策略限制,支持请求   3此时我们将这个script的src指向真实的服务器地址并且携带个callback=a这样个参数,后台解析并且返回a这个方法里面包裹着我们需要的数据   4在发送请求前,前台windows中注册a这个方法,之后在a这个...
原理解决办法
weixin_43800477的博客
11-17 1695
就是使用ajax获取数据的时候,如果当前界面的地址和所需要请求的服务器的地址的协议,名,端口不同,就会产生的表现就是获取不到数据,并且报错,报错信息会显示在控制台上。 出现的原因是因为浏览器的同源策略限制。同源的意思就是就是两个页面具有相同的协议,名和端口号,同源策略是种约定,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略会阻止的javascript脚本和另外的内容进行交互。 浏览器发起的请求,服务器端的代码正常执行,并且会正常返回数
前端原理和常见解决方式
qq_35414305的博客
10-28 826
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值