2019最新 前端跨域与解决方法详解(4种)

最新推荐文章于 2025-03-13 01:17:27 发布
最新推荐文章于 2025-03-13 01:17:27 发布
阅读量763 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端 java python ui 互联网 it 程序员
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tangjing556/article/details/91984494

(有其他资源需求可以加我微信csheima7或者qq2832281573)

 

## 什么是跨域?

 

在介绍跨域之前,我们先来了解下一个域名地址的组成:

![在这里插入图片描述](https://img-blog.csdnimg.cn/20190601131136500.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21hb2R1bl8yMDEz,size_16,color_FFFFFF,t_70)

 

JS 出于安全方面的考虑,不允许跨域调用其他页面的对象,那什么是跨域呢,简单地理解就是因为浏览器同源策略的限制,a.com 域名下无法操作 b.com 或是 c.a.com 域名下的对象。

 

当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。例如:http://www.itcast.cn/index.html 请求 http://www.itheima.com/path/to/api。

 

> 注意:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。

 

大家可以参照如下表格来理解跨域:

 

| #    | URL                                                         | 说明                   | 是否允许通信 |

| :--- | :---------------------------------------------------------- | :--------------------- | :----------- |

| 1    | http://www.a.com/a.js<br />http://www.a.com/b.js            | 同一域名下             | 允许         |

| 2    | http://www.a.com/lab/a.js<br />http://www.a.com/script/b.js | 同一域名下不同资源地址 | 允许         |

| 3    | http://www.a.com:8080/a.js<br />http://www.a.com/b.js       | 同一域名,不同端口     | 不允许       |

| 4    | http://www.a.com/a.js<br />https://www.a.com/b.js           | 同一域名,不同协议     | 不允许       |

| 5    | http://www.a.com/a.js<br />http://20.33.23.61/b.js          | 域名与域名对应的IP     | 不允许       |

| 6    | http://www.a.com/a.js<br />http://script.a.com/b.js         | 主域名相同,子域名不同 | 不允许       |

| 7    | http://www.a.com/a.js<br />http://a.com/b.js                | 主域名相同,子域名不同 | 不允许       |

| 8    | http://www.itcast.cn/a.js<br />http://www.a.com/b.js        | 不同域名               | 不允许       |

 

补充说明:

 

- 如果是协议和端口造成的跨域问题“前台”是无能为力的。

- 在跨域问题上,域仅仅是通过”URL 的首部”来识别,而不会根据域名对应的IP地址是否相同来判断。如上表中的范例5,“URL的首部”可以理解为“协议,、域名、端口”。

 

 

 

## 什么是同源策略及其限制?

 

同源策略限制一个源的资源(文档或脚本)如何与另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。它的存在可以保护用户隐私信息、防止身份伪造等。

 

同源策略限制内容有:

 

- Cookie、LocalStorage、IndexedDB 等存储性内容

- DOM 节点

- AJAX 请求不能发送

 

但是有三个标签是允许跨域加载资源的:

 

1. `<img src="path/to/xxx">`

2. `<link href="path/to/xxx">`

3. `<script src="path/to/xxx"></script>`

 

 

 

## 处理跨域的方法

 

所有的跨域都必须经过对方的允许。如果未经允许即可获取,那是浏览器同源策略出现漏洞。

 

 

 

### 方法1:JSONP

 

#### 原理

 

利用 `<script>` 标签的这个开放策略,网页可以得到从其他来源动态产生的 JSON 数据。JSONP 请求一定需要对方的服务器做支持才可以。

 

 

 

#### 与 AJAX 对比

 

JSONP 和 AJAX 相同,都是客户端向服务器端发送请求,从服务器端获取数据的方式。但 AJAX 属于同源策略,JSONP 属于非同源策略(跨域请求)。

 

 

 

#### 优缺点

 

优点:兼容性好,可用于解决主流浏览器的跨域数据访问的问题。

 

缺点:仅支持 GET 方法,具有局限性。

 

 

 

#### 流程

 

1. 

   声明一个回调函数,其函数名 (如 fn) 当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据 (服务器返回的 data)。

2. 创建一个 `<script>`标签,把那个跨域的 API 数据接口地址,赋值给 script 的 src,还要在这个地址中向服务器传递该函数名(可以通过问号传参 `?cb=fn`)。

3. 服务器接收到请求后,需要进行特殊的处理,把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如:传递进去的函数名是 fn,它准备好的数据就是 `fn([{"name":"heima"}, ...])`。

4. 最后服务器把准备的数据通过 HTTP 协议返回给客户端,客户端执行其响应数据,调用之前已经声明好的函数(fn),对返回的数据进行操作。

 

```html

<script>

  function fn(data) {

    console.log(data);

  }

</script>

 

<script src="http://crossdomain.com/path/to/api?cb=fn"></script>

```

 

其中 fn 是客户端注册的回调的函数,目的获取跨域服务器上的 JSON 数据后,对数据进行在处理。

 

最后服务器返回给客户端数据的格式为:

 

```html

fn([{"name":"heima"}, ...])

```

 

由于是 `script` 标签请求的,所以这里会当做 JS 来执行,就会调用到之前已经声明好的 fn 函数了。

 

 

 

#### jQuery 的 JSONP 形式

 

```javascript

$.ajax({

  url: "http://crossdomain.com/jsonServerResponse",

  dataType: "jsonp",

  type: "GET", // 可以省略

  jsonp: "cb", // 函数名形参,默认为 callback

  jsonpCallback: "fn", // 函数名,默认 jQuery 自动生成

  success: function (data) {

    console.log(data);

  }

});

```

 

 

 

### 方法2:CORS (跨站资源共享)

 

#### 原理

 

整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。

 

对于开发者来说,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。

 

浏览器一旦发现 AJAX 请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

 

因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信。

 

 

 

#### 优缺点

 

优点:功能更加强大支持各种 HTTP Method

 

缺点:兼容性不如 JSONP

 

CORS 要求浏览器 (> IE10) 和服务器的同时支持,是跨域的根本解决方法,由浏览器自动完成。

 

范例:网站 `http://localhost:6000/` 要请求 `http://localhost:3000/user/list`,list 页面返回 JSON 字符串格式:`{ name:'heima', gender:'male', age:18 }`:

 

```javascript

router.get("/user/list", function (req, res, next) {

  var user = { name: 'heima', gender: 'male', age: 18 };

  

  // 这一句

  res.writeHeader(200, { "Access-Control-Allow-Origin": "http://localhost:6000" });

  

  res.write(JSON.stringify(user));

  res.end();

});

```

 

在响应头上添加 `Access-Control-Allow-Origin` 属性,指定同源策略的地址。同源策略默认地址是网页的本身。只要浏览器检测到响应头带上了 CORS,并且允许的源包括了本网站,那么就不会拦截请求响应。

 

 

 

### 方法3:WebSocket

 

Websocket 是 HTML5 的一个持久化的协议,它实现了浏览器与服务器的全双工通信,同时也是跨域的一种解决方案。

 

WebSocket 和 HTTP 都是应用层协议,都基于 TCP 协议。但是 WebSocket 是一种双向通信协议,在建立连接之后,WebSocket 的 server 与 client 都能主动向对方发送或接收数据。同时,WebSocket 在建立连接时需要借助 HTTP 协议,连接建立好了之后 client 与 server 之间的双向通信就与 HTTP 无关了。

 

原生 WebSocket API 使用起来不太方便,我们使用 Socket.io,它很好地封装了 webSocket 接口,提供了更简单、灵活的接口,也对不支持 webSocket 的浏览器提供了向下兼容。

 

前端代码:

 

```html

<div>user input:<input type="text"></div>

<script src="path/to/socket.io.js"></script>

<script>

  var socket = io('http://www.domain2.com:8080');

  

  // 连接成功处理

  socket.on('connect', function () {

    

    // 监听服务端消息

    socket.on('message', function(msg) {

      console.log('data from server: ---> ' + msg); 

    });

 

    // 监听服务端关闭

    socket.on('disconnect', function () { 

      console.log('Server socket has closed.'); 

    });

    

  });

  

  document.getElementsByTagName('input')[0].onblur = function() {

    socket.send(this.value);

  };

</script>

```

 

Node.js 后台代码:

 

```javascript

var http = require('http');

var socket = require('socket.io');

 

// 启动HTTP服务

var server = http.createServer(function (req, res) {

  res.writeHead(200, {

    'Content-type': 'text/html'

  });

  res.end();

});

 

server.listen('8080');

 

console.log('Server is running at port 8080...');

 

// 监听socket连接

socket.listen(server).on('connection', function (client) {

  

  // 接收信息

  client.on('message', function (msg) {

    client.send('hello:' + msg);

    console.log('data from client: ---> ' + msg);

  });

 

  // 断开处理

  client.on('disconnect', function () {

    console.log('Client socket has closed.'); 

  });

  

});

```

 

 

 

### 方法4:postMessage

 

如果两个网页不同源,就无法拿到对方的 DOM。典型的例子是 iframe 窗口和 `window.open` 方法打开的窗口,它们与父窗口无法通信。HTML5 为了解决这个问题,引入了一个全新的 API:跨文档通信 API(Cross-document messaging)。这个 API 为 window 对象新增了一个 `window.postMessage` 方法,允许跨窗口通信,不论这两个窗口是否同源。

 

`postMessage` 方法参数列表:

 

- 第一个参数是具体的信息内容

- 第二个参数是接收该消息的窗口的源(origin),即:"协议 + 域名 + 端口",也可以设为 `*`,表示不限制域名,向所有窗口发送。

 

范例: `http://localhost:6000/index.html`页面向 `http://localhost:3000/index.html`传递“跨域请求信息”

 

发送信息页面 `http://localhost:6000/index.html` 代码:

 

```html

<html lang="en">  

  <head>

    <meta charset="UTF-8">  

    <title>跨域请求</title>   

  </head>

  <body>

    <iframe src="http://localhost:3000/user/reg" id="frm"></iframe>  

    <input type="button" value="OK" onclick="run()">  

  </body>

</html>

<script>

  function run() {

    var frm = document.getElementById("frm");  

    frm.contentWindow.postMessage("跨域请求信息", "http://localhost:3000");  

  }

</script>

```

 

接收信息页面 `http://localhost:3000/index.html` 代码:

 

```javascript

window.addEventListener("message", function (e) {

  // 通过监听message事件,可以监听对方发送的消息。

  console.log(e.data); // 跨域请求信息

}, false);

```

 

Ajax请求解决方案详解实践指南
07-03
405:请求方法被禁用 200但缺失Access-Control-Allow-Origin:响应头缺少标识 JSONP 利用标签无限制,通过回调函数包裹JSON数据 仅支持GET请求,需后端配合返回callback(data)格式 CORS 服务器设置响应头...
解决前端开发过程中遇到的 问题。
06-18
解压文件 之后 wendows可以直接运行,linux文件需要手动添加可执行权限 程序支持 2个参数 1. p 指定程序运行的端口 2. h 指定具体需要调用的后端服务 sample: linux: -linux -p 8888 -h url windows: .exe -p 8888 -h url 具体使用时: 比如说 你需要调用的接口是 POST http://88.88.88.88:653/auth/info 现在你需要调用的接口地址换成 POST http://127.0.0.1:8888/auth/info 您只需要在发送的数据 的header 加上一个 "url":"http://88.88.88.88:653" 即可
前端解决方法
niuge8905的博客
09-21 136
1、vue前端解决办法 Web前端使用Vue框架解决问题 - 知乎 2、spring boot请求办法 链接:http://note.youdao.com/noteshare?id=641b4dfb3085360c92f43e057e29d545&sub=BDADEDD7147B4608A12BC6A11ACD885D 3、常见解决办法 9种常见的前端解决方案(详解)_慕课手记 ...
前端问题解决方案
lbking666666的专栏
07-08 3330
产生的原因是由于浏览器的同源策略,即当页面的源和页面运行过程中加载的源不一致时,浏览器会出于安全考虑对的资源访问进行限制。这种限制特别是对​ajax的影响最为明显,默认情况下,它不允许ajax访问资源。
前端怎么解决问题
最新发布
太阳与星辰的博客
03-13 1973
前端怎么解决问题
前端常见解决方案(全)
weixin_34281537的博客
09-13 2330
什么是是指一个下的文档或脚本试图去请求另一个下的资源,这里是广义的。 广义的: 1.) 资源跳转: A链接、重定向、表单提交 2.) 资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@f...
前端解决问题( 6种方法
大剑师兰特的GIS世界
03-10 4428
问题是指当一个网页试图访问来自不同源(名、协议、端口)的资源时,浏览器会出于安全考虑而限制这种访问`**。这是因为浏览器的同源策略防止了恶意网站获取其他网站的敏感信息。
8种前端问题解决方案详解
本文将深入解析并总结8种常见的前端问题解决方案,以便开发者理解和应用。 1. 同源策略详解 - 同源策略基于三个元素:协议(protocol)、名(domain)和端口(port)。当这三个元素完全匹配时,浏览器认为...
js前端解决问题的8种方案(最新最全)
10-21
2. **前端解决问题的方法** - **文档(Domain) + Iframe**:如果主相同,但子不同,可以通过设置`document.domain`属性让子页面和父页面同源。在两个页面中都设置`document.domain`为顶级名,如`'a....
8种前端js问题解决方案详解
本文将深入探讨前端开发中常见的问题及其解决方案。由于浏览器的同源策略,JavaScript在非同源资源通信时会受到限制,这导致了前端开发者在处理涉及不同名、协议或端口的情况时遇到挑战。本文共提供了8种...
前端解决方案详解示例
前端问题源于浏览器的同源策略,这是一种安全机制,用于限制网页只能访问自身同源(协议、名、端口均相同)的资源。以下是一些常见的解决方案: 1. JSONP(JSON with Padding) JSONP是一种早期的...
前端解决问题(9个方法
weixin_62889848的博客
01-05 1万+
前端解决问题(9个方法
解决前端的八种方案
weixin_43902063的博客
04-25 1万+
解决的八种实现方案 由于同源策略的限制,满足同源的脚本才可以获取资源。虽然这样有助于保障网络安全,但另一方面也限制了资源的使用。 那么如何实现呢,以下是实现的一些方法。 一、jsonp 原理:script标签引入js文件不受影响。不仅如此,带src属性的标签都不受同源策略的影响。 正是基于这个特性,我们通过script标签的src属性加载资源,数据放在src属性指向的服务器上,使用json格式。 由于我们无法判断script的src的加载状态,并不知道数据有没有获取完成,所以事先会定义好
前端处理的九种方式(超级详细)
热门推荐
贫僧法号依平
05-08 2万+
指一个下文档或者脚本去请求另一个下的资源,这里的是广义的;同源策略(Same origin policy),简称SOP,是一种约定,它由Netscape公司1995年引入浏览器,它是浏览器核心也是最基本的安全功能,如果缺少同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指“协议+ 名+ 端口”三种相同;
前端 ——实践总结,亲测有效
技术分享
08-19 388
接口:http://t.weather.sojson.com/api/weather/city/101030100(这是一个天气预报的接口) 1.通过配置nginx配置 nginx配置文档:https://blog.youkuaiyun.com/weixin_41487694/article/details/103851689 2React,Vue 项目下 React 中的问题(使用的方法:...
前端问题三个解决思路
m0_38005587的博客
03-12 168
同源策略: 同一个端口,一个名,一个协议才能访问服务器; Part One : jsonp 原理: 通过script标签的src属性加载js不受同源策略控制: 首先定义一个处理数据的方法: const handleRequest = function (json) { console.log(json); } 注意此处的handleRequest...
webapi解决问题
漫漫编程路,上下求索
08-06 294
public static class WebApiConfig { public static void Register(HttpConfiguration config) { // 解决 //配置 config.EnableCors(new EnableCorsAttr...
web前端解决的几种方法
你如今的气质里,藏着你走过的路,经历过的事,读过的书,和爱过的人。
02-19 4036
一 什么是 当协议、子名、主名、端口号中任意一个不相同时,都算作不同。不同之间相互请求资源,就算作“”。 有一点必须要注意:并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 特别说明两点: 第一:如果是协议和端口...
前端数据访问
清箫的专栏
04-26 5171
术语同源请求URL拥有相同protocol、host、port。参考Table 1 同源举例。用户认证(User Credential)在CORS中,用户认证指cookies, HTTP基本认证,客户端SSL认证。不指代理端的认证或Origin头。缺乏用户认证是指响应中不包含cookie,而且请求中不包含HTTP认证和SSL证书。简单方法(Simple method)指的是GET, HEAD, P
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值