本文详细介绍了JavaScript跨域问题的由来,即同源策略,以及针对这一问题的常见解决方案。包括通过设置响应头启用CORS,使用JSONP进行GET请求的跨域,以及利用HttpClient内部转发来规避跨域限制。同时,提到了在大型互联网公司中,通常会使用接口网关如Nginx或Spring Cloud Zuul来统一处理跨域问题。
跨域问题来源于 JavaScript 的"同源策略",即只有 协议+主机名+端口号
(如存在)相同,则允许相互访问。也就是说 JavaScript 只能访问和操作自己域下的资源,不能访问和操作其他域下的资源。跨域问题是针对 JS 和 ajax 的, html 本身没有跨域问题。
跨域问题解决方案
1.响应头添加 Header 允许访问
跨域资源共享(CORS)Cross-Origin Resource Sharing
这个跨域访问的解决方案的安全基础是基于"JavaScript 无法控制该 HTTP 头"它需要通过目标域返回的 HTTP 头来授权是否允许跨域访问具体如下:
response.addHeader(‘Access-Control-Allow-Origin:*’);//允许所有来源访问
response.addHeader‘( Access-Control-Allow-Method:POST,GET’);//允许访问的方式
2、jsonp (只支持 get 请求不支持 post 请求)用法:
①dataType 改为 jsonp
②jsonp : “jsonpCallback”(发送到后端实际例子: http://a.a.com/a/FromServlet?userName=644064&jsonpCallback=jQueryxxx)
③后端获取 get 请求中的 jsonpCallback
④构造回调结构
3、httpClient 内部转发
实现原理例子:若想在 B 站点中通过 Ajax 访问 A 站点获取结果,固然有 ajax 跨域问题,但在 B 站点中访问 B 站点获取结果,不存在跨域问题,
这种方式实际上是在 B 站点中 ajax 请求访问 B 站点的 HttpClient,再通过 HttpClient 转发请求获取 A 站点的数据结果。但这种方式产生了两次请求,效率低,但内部请求,抓包工具无法分析,安全
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
