同源策略与跨域

一、同源

1、同源

所谓"同源"指的是"三个相同"：协议相同 域名相同 端口相同
我们举个例子来说：
这个网址http://www.a.com:8080/test/index.html的协议：http:// 域名：www.a.com端口号：8080（默认端口可以省略）则下面的同源检测为：

http://www.a.com/dir/page.html ----同源
http://www.child.a.com/test/index.html ----不同源，域名不同
https://www.a.com/test/index.html ----不同源，协议不同
http://www.a.com:8089/test/index.html ----不同源，端口号不同

2、同源策略

1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政策。同源策略：最初，它的含义是指，A网页设置的 Cookie，B网页不能打开，除非这两个网页"同源"。所以同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。

3、同源策略的目的

同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

4、同源策略的限制范围

随着互联网的发展，“同源策略”越来越严格，目前，如果非同源，以下三种行为都将收到限制。

1. Cookie、LocalStorage 和 IndexDB 无法读取。
2. DOM 无法获得。
3. AJAX 请求在浏览器端有跨域限制

当你想请求个某个页面，缺因为同源问题被限制，内心会很难受吧。但是基于安全考虑，没有它，你可能会遇到：

1. Cookie劫持，被恶意网站窃取数据
2. 更容易受到 XSS，CSRF 攻击
3. 无法隔离潜在恶意文件
4. … …

所以，同源策略是必须得有。正是因为浏览器同源策略的存在，你的 Ajax 请求有可能在发出去后就被拦截了，它还会给你报个错：

那下面我们就来看看该怎么解决这个问题，这就要继续看一个模块了–跨域

二、跨域

1、跨域

专业名为非同源策略请求，当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域，但出于浏览器的同源策略限制。跨域的问题又该怎么解决那？下面介绍两种主要的办法。

2、CORS跨域资源共享

1）什么是cors

cors(Cross-Origin Resource Sharing),跨域资源共享，由一系列 HTTP 响应头组成，这些HTTP 响应头决定浏览器是否组织前端JS代码跨域获取资源。
浏览器的同源安全策略默认会组织网页“跨域”获取资源，但如果接口服务器配置了CORS相关的HTTP响应头，就可以解除浏览器端的跨域访问限制。

2）CORS的注意事项

1. cors主要在服务器端进行配置，客户端浏览器无需做任何额外的配置，即可请求开启CORS的接口。
2. cors在浏览器中有兼容性, (IE10+,Chorme4+,FireFox3.5+）

3）CORS 响应头部 - Access-Control-Allow-Origin

响应头部中可以携带一个Access-Control-Allow-Origin字段，语法如下：

Access-Control-Allow-Origin:<origin>|*

origin 参数的值指定了允许访问该资源的外域URL

res.setHeader('Access-Control-Allow-Origin ',' http://itcast.cn ')   //这个字段值只允许来自 http://itcast.cn 的请求
res.setHeader('Access-Control-Allow-Origin ','*')   //表示允许任何域的请求

4）CORS 响应头部 - Access-Control-Allow-Headers

默认情况下，CORS仅支持客户端向服务器发送如下的9个请求头：
Accept, Accept-Language, content-Language, DPR,Downlink, Save-Data, Viewport-Width, Width, Content - Type,(仅限于text/plain,multipart/form-data,application/x-www-form-urlencoded三者之一)
如果客户端向服务器发送了额外的请求头信息，则需要在服务器端，通过Access-Control-Allow-Headers 对额外的请求头进行声明，否则这次请求会失败。

//允许客户端额外向服务器发送Content - Type,请求头和x-custom-header请求头
//注意：多个请求头之间使用英文的逗号进行分割
res.setHeader('Access-Control-Allow-Headers','Content - Type','X-Custom-Header')

5）CORS 响应头部 - Access-Control-Allow-Methods

默认情况下，CORS仅支持客户端发送GET、POST、HEAD请求。如果客户端希望通过PUT.DELETE等方法请求服务器的资源，则需要在服务器端，通过 Access-Control-Allow-Methods来指明实际请求所允许使用的HTTP方法。

//只允许GET、POST、HEAD请求方法
res.setHeader（' Access-Control-Allow-Methods','POST,GET,DELETE,HEAD'）
//允许所有HTTP请求方法
res.setHeader（' Access-Control-Allow-Methods','*')

6）请求的分类

1）简单请求
同时满足以下两大条件的请求，就需要简单请求：

• 请求方式：GET、POST、HEAD三者之一。
• HTTP头部信息不超过以下几种字段：无定义头部字段，Accept, Accept-Language, content-Language,
  DPR,Downlink, Save-Data, Viewport-Width, Width, Content -
  Type(只有三个值text/plain,multipart/form-data,application/x-www-form-urlencoded

2）预检请求

• 请求方式：GET、POST、HEAD之外的请求类型。
• 请求头中只包含自定义头部字段
• 向服务器发送了 application/json 格式的数据
  在浏览器与服务器通信之前，浏览器会发送OPTION 请求进行预检，以获知服务器是否允许该实际操作，那么这一次的OPTION请求称为“预检请求”。服务器成功响应预检请求之后，才会发送真正的请求，并且携带真实数据。

3）简单请求与预检请求之间的区别
简单请求的特点：客户端与服务器之间只会发生一次请求。
预检请求的特点：客户端与服务器之间会发生两次请求，OPTION遇检请求成功之后，才会发生真正的请求。

7）举个栗子

在file://D:/web/node/express/src/oo1.html下请求一个远程的js文件
编写 html 文件,提前导入jquery文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <script src="jquery.js"></script>
</head>
<body>
    <button id='btnGET'>GET</button>
    <button id='btnPOST'>POST</button>
    <script>
        $(function(){
            //1.测试get接口
            $(`#btnGET`).on('click',function(){
                $.ajax({
                    type:'GET',
                    url:'http://127.0.0.1/api/get',
                    data:{name:'吴磊',age:18},
                    success:function(res){
                        console.log(res);
                    }
                })
            })
            //2.测试post接口
            $(`#btnPOST`).on('click',function(){
                $.ajax({
                    type:'POST',
                    url:'http://127.0.0.1/api/post',
                    data:{name:'刘亦菲',age:18},
                    success:function(res){
                        console.log(res);
                    }
                })
            })
        })
    </script>
</body>
</html>

编写服务器端文件

//1.导入express 模块
const express = require('express')
//2.创建 express 的服务器实例
const app = express();
//导入路由模块
const router = require('./api')
//把路由模块，注册到app上
app.use('/api',router)
// 调用 app.listen方法，指定端口号并启动web服务器
app.listen(80,function(){
    console.log('http://127.0.0.1');
})

编写apiRouter.js 路由模块

//1.apiRouter.js 路由模块
const express = require('express')
const router = express.Router() ;
//在这里挂载路由
router.get('/get',(req,res)=>{
    //通过 req.query 获取客户端通过查询字符串，发送到服务器的数据
    const query = req.query
    //调用res.send()方法，向客户端响应处理的结果
    res.send({
        status:0,    //0表示处理成功，1表示处理失败
        msg:'GET请求成功！',  //状态的描述   
        data:query  //需要响应给客户端的数据
    })
})
router.post('/post',(req,res)=>{
    //调用req.body 获取请求体中包含的 url-encoded 格式的数据
    const body = req.body
    //调用res.send() 方法，向客户端响应结果
    res.send({
        status:0,
        msg:'POST请求成功',
        data:body
    })
})
module.exports = router;

通过浏览器打开之后会报出这样的错误，这是因为我们打开的是 files协议，而我们需要访问的是 http协议，协议不同这就是典型跨域的问题。下面实现第一种通过CORS 跨域资源共享来解决跨域问题。

cors是express 的一个第三方中间件。通过安装和配置 cors 中间件，可以很方便地解决跨域问题。cors使用步骤如下三步：

• 运行 npm install cors 安装中间件
• 使用const cors = require(‘cors’) 导入中间件
• 在路由之前调用 app.use(cors())配置中间件

const cors = require('cors')
app.use(cors())

然后再次打开html文件，点击get 和 post 按钮，会成功得到结果。

3、jsonp

1）概念：

全称是JSON with Padding,是为了解决跨域请求资源而产生的解决方案,是一种依靠开发人员创造出的一种非官方跨域数据交互协议论。JSONP 是服务器与客户端跨源通信的常用方法。

2）特点

简单适用，兼容性好（兼容低版本IE），缺点是只支持get请求，不支持post请求。
JSONP不属于真正的Ajax请求，因为他没有XMLHttpRequest 对象。

3）jsonp的产生:

1.AJAX直接请求普通文件存在跨域无权限访问的问题,不管是静态页面也好.

2.不过我们在调用js文件的时候又不受跨域影响,比如引入jquery框架的,或者是调用相片的时候

3.凡是拥有scr这个属性的标签都可以跨域例如

4.如果想通过纯web端跨域访问数据只有一种可能,那就是把远程服务器上的数据装进js格式的文件里.

5.而json又是一个轻量级的数据格式,还被js原生支持

6.为了便于客户端使用数据，逐渐形成了一种非正式传输协议，人们把它称作JSONP，该协议的一个要点就是允许用户传递一个callback 参数给服务端，

4）创建JSONP接口的注意事项

如果项目中已经配置了CORS跨域资源共享，为了防止冲突，必须在配置CORS中间件之前声明JSONP的接口。否则JSONP接口会被处理成开辟了CORS的接口。可以有以下代码这种写法

//优先创建JSONP接口(这个接口不会被处理成CORS接口)
app.get('/api/jsonp'.(req,res)=>{})
//再配置CORS中间件(后续的所有接口，都会被处理成CORS接口)
app.use(cors())

5）实现JSONP接口的步骤

• 获取客户端发送过来的回调函数的名字
• 得到要通过JSONP形式发送给客户端的数据
• 根据前两步得到的数据，拼接出一个函数调用的字符串
• 把上一步拼接得到的字符串，响应给客户端的<script>标签进行解析执行

6）实现JSONP接口的具体代码

下面实现第二种通过JSONP来解决跨域问题。
向服务器发送请求：

app.get('/api/jsonp',(req,res)=>{
    //1.得到回调函数的名字`
    const funcNname = req.query.callback
    //2.定义要发送给客户端的数据对象
    const data = {
        name:'刘亦菲',
        gender:'女'
    }
    //3.`拼接出一个函数调用的字符串
    const scriptStr = `${funcNname}(${JSON.stringify(data)})`
    //4.把上一步拼接得到的字符串，响应给客户端
    res.send(scriptStr);
})

在网页中使用jQuery 发起 JSONP 请求（注意：继续使用的是cors方法中的网页文件、服务器文件以及API文件）

 $(`#btnJSONP`).on('click',function(){
       $.ajax({
           type:'GET',
           url:'http://127.0.0.1/api/jsonp',
           dataType:'jsonp',
           success:function(res){
           console.log(res);
       }
     }) 
  })

打开浏览器点击JSONP可以将数据成功输出。