js跨域请求

最新推荐文章于 2022-08-02 18:06:23 发布

其林01

最新推荐文章于 2022-08-02 18:06:23 发布

阅读量2.8k

点赞数

分类专栏：前端文章标签： javascript 前端

本文链接：https://blog.youkuaiyun.com/qq_36738861/article/details/120931947

版权

前端专栏收录该内容

1 篇文章

订阅专栏

什么是跨域？

定义：
跨域是指从一个域名的网页去请求另一个域名的网页的资源，比如从www.baidu.com去请求www.google.com的资源,但是一般情况下不能这样做，这是由浏览器同源策略造成的，是浏览器对js施加的安全限制，跨域的严格定义一点是，只要协议、域名、端口有任何一个的不同，就被当成是跨域

所谓同源是指域名、协议、端口均相同，这里说的JS跨域是指JS在不同的域之间进行数据传输或者通信，比如用ajax向一个不同的域请求数据、或者通过js获取页面中不同域的框架中(iframe)的数据

概念：只要协议、域名、端口有任何一个不同，都被当作是不同的域。

http://www.123.com/index.html 调用 http://www.123.com/server.PHP （非跨域）

http://www.123.com/index.html 调用 http://www.456.com/server.php （主域名不同:123/456，跨域）

http://abc.123.com/index.html 调用 http://def.123.com/server.php （子域名不同:abc/def，跨域）

http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php （端口不同:8080/8081，跨域）

http://www.123.com/index.html 调用 https://www.123.com/server.php （协议不同:http/https，跨域）

请注意：localhost和127.0.0.1虽然都指向本机，但也属于跨域。

浏览器执行JavaScript脚本时，会检查脚本属于哪个页面，如果不是同源页面就不会执行

对于端口和协议不同，只能通过后台来解决

浏览器为什么要限制跨域访问呢？

原因就是安全问题：如果一个网页可以随意的访问另一个网站的资源，那么就有可能在客户完全不知情的情况下出现安全问题，比如下面的操作就有安全问题：

1.用户访问www.mybank.com登录并进行网银操作，这是cookie啥都生成并存放在浏览
2.用户突然想起一件事，迷迷糊糊的访问了一个 邪恶网站，www.xiee.com  
3. 这是该网站就可以在它的页面中，拿到银行的cookie，比如用户名、密码、登录token等，然后发起对www.bank.com的操作  
4. 如果浏览器不给予限制，并且银行也没有做 响应的安全处理的话，那么用户信息就很肯能泄露了。

为什么要跨域

既然存在安全问题，那么为什么还要跨域呢？有时候公司内部有多个不同的子域，比如一个是 location.company.com，而应用放在app.company.com，这时想要从app.company.com去访location.company.com的资源就属于跨域

结局跨域问题的方法

跨域资源共享（CORS）
CORS（ cross-Origin- resource-sharing），跨域资源共享，定义了必须在访问跨域资源时，浏览器与服务器应该如何沟通，CORS背后的基本思想就是使用自定义的http头部让浏览器与服务器进行沟通，从而决定请求响应是应该成功还是失败
服务端对于CORS的支持，主要是通过设置Access- control-Allow-origin来进行的，如果浏览器检测到相应的设置，就可以允许ajax进行跨域访问

只需要在后台中加上响应头来允许域请求！在被请求的response header中加入一下设置，就可以实现跨域访问！

//指定允许其他域访问
'Access-Control-Allow-Origin:*'//*代表所有域，或者可以指定域
//响应类型
'Access-Control-All-Methods:GET,POST'
//响应头设置
'Access-Control-Allow-Headers:x-requested-with,content-type'

通过jsonp跨域
JSONP是JSON with Padding（填充式json）的简写，是应用JSON的一种新方法，只不过是被包含在函数调用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由两部分组成：回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数，而数据就是传入回调函数中的JSON数据。

JSONP的原理：通过script标签引入一个js文件，这个js文件载入成功后会执行我们在url参数中指定的函数，并且会把我们需要的json数据作为参数传入。所以jsonp是需要服务器端的页面进行相应的配合的。（即用javascript动态加载一个script文件，同时定义一个callback函数给script执行而已。）

在js中，我们直接用XMLHttpRequest请求不同域上的数据时，是不可以的。但是，在页面上引入不同域上的js脚本文件却是可以的，jsonp正是利用这个特性来实现的。例如：

有个a.html页面，它里面的代码需要利用ajax获取一个不同域上的json数据，假设这个json数据地址是http://example.com/data.php,那么a.html中的代码就可以这样：

<script type="text/javascript">
    function dosomething(jsondata){
        //处理获得的json数据
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

js文件载入成功后会执行我们在url参数中指定的函数，并且会把我们需要的json数据作为参数传入。所以jsonp是需要服务器端的页面进行相应的配合的。

<?php
$callback = $_GET['callback'];//得到回调函数名
$data = array('a','b','c');//要返回的数据
echo $callback.'('.json_encode($data).')';//输出
?>

如果你的页面使用jquery，那么通过它封装的方法就能很方便的来进行jsonp操作了。

<script type="text/javascript">
  $.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
      //处理获得的json数据
  });
</script>

jquery会自动生成一个全局函数来替换callback=?中的问号，之后获取到数据后又会自动销毁，实际上就是起一个临时代理函数的作用。$.getJSON方法会自动判断是否跨域，不跨域的话，就调用普通的ajax方法；跨域的话，则会以异步加载js文件的形式来调用jsonp的回调函数。

JSONP的优缺点

JSONP的优点是：它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制；它的兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持；并且在请求完毕后可以通过调用callback的方式回传结果。

JSONP的缺点则是：它只支持GET请求而不支持POST等其它类型的HTTP请求；它只支持跨域HTTP请求这种情况，不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

CORS和JSONP对比

CORS与JSONP相比，无疑更为先进、方便和可靠。

1、 JSONP只能实现GET请求，而CORS支持所有类型的HTTP请求。

2、 使用CORS，开发者可以使用普通的XMLHttpRequest发起请求和获得数据，比起JSONP有更好的错误处理。

3、 JSONP主要被老的浏览器支持，它们往往不支持CORS，而绝大多数现代浏览器都已经支持了CORS）。

3.通过修改document.domain来跨子域
浏览器都有一个同源策略，其限制之一就是第一种方法中我们说的不能通过ajax的方法去请求不同源中的文档。它的第二个限制是浏览器中不同域的框架之间是不能进行js的交互操作的。

不同的框架之间是可以获取window对象的，但却无法获取相应的属性和方法。比如，有一个页面，它的地址是http://www.example.com/a.html ，在这个页面里面有一个iframe，它的src是http://example.com/b.html, 很显然，这个页面与它里面的iframe框架是不同域的，所以我们是无法通过在页面中书写js代码来获取iframe中的东西的：

<script type="text/javascript">
  function test(){
      var iframe = document.getElementById('ifame');
      var win = document.contentWindow;//可以获取到iframe里的window对象，但该window对象的属性和方法几乎是不可用的
      var doc = win.document;//这里获取不到iframe里的document对象
      var name = win.name;//这里同样获取不到window对象的name属性
  }
</script>
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>

这个时候，document.domain就可以派上用场了，我们只要把http://www.example.com/a.html 和 http://example.com/b.html这两个页面的document.domain都设成相同的域名就可以了。但要注意的是，document.domain的设置是有限制的，我们只能把document.domain设置成自身或更高一级的父域，且主域必须相同。例如：a.b.example.com 中某个文档的document.domain 可以设成a.b.example.com、b.example.com 、example.com中的任意一个，但是不可以设成 c.a.b.example.com,因为这是当前域的子域，也不可以设成baidu.com,因为主域已经不相同了。

在页面 http://www.example.com/a.html 中设置document.domain:

<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
    document.domain = 'example.com';//设置成主域
    function test(){
        alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 对象
    }
</script>

在页面 http://example.com/b.html 中也设置document.domain:

<script type="text/javascript">
    document.domain = 'example.com';//在iframe载入这个页面也设置document.domain，使之与主页面的document.domain相同
</script>

修改document.domain的方法只适用于不同子域的框架间的交互。

目前借鉴这几种方法完整网址(共7种还有更深入的，待了解)：https://www.cnblogs.com/yongshaoye/p/7423881.html