写在前面
作为一名前端开发工程师,如果你不懂跨域的话,那实在说不过去啦。几乎所有的前端面试都会问到跨域相关的问题,所以跨域还是十分重要的,同时他也是比较基础的东西,话不多说,今天就来谈一谈跨域。
1.什么是跨域?
说到跨域,必须得提一提浏览器的“同源策略”,同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指”协议+域名+端口”三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
同源策略限制以下几种行为:
- Cookie、LocalStorage 和 IndexDB 无法读取
- DOM 和 Js对象无法获得
- AJAX 请求不能发送
2.跨越问题产生的三大必备条件
说到前端的跨域问题,不得不说产生前端跨域问题的必备条件:
- 浏览器的限制,即请求从前端浏览器发出
- 发出的请求是XMLHttpRequest请求
- 请求的资源来自其它域,即域名不同
浏览器发出的请求类型有很多(如下图)
很明显能看到有个选项是XHR,这就是前端的XMLHttpRequest请求了。
至于其它的请求类型,比如JS,CSS,Img等都不存在跨域限制访问的问题。
3.跨域问题的解决思路
由产生跨域问题的三大必备条件可知,我们解决跨域问题只需要破坏三大条件中的至少一个就可以了解决跨域限制访问的问题了。
1.首先,针对浏览器层面,解除浏览器对于跨域的检查,关于如何做,请大家自行百度:”浏览器跨域设置”即可,这里不再赘述了。
2.正对第二个条件,如果发出的请求不是XMLHttpRequest请求,根本不存在跨域限制访问的问题,也不是我们研究的主题,这里也不再赘述了。
3. 下面开始介绍由第三个条件派生出的几种常见的跨域解决方式:
a. 跨域资源共享(CORS)
CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)跨域资源共享 CORS 详解。看名字就知道这是处理跨域问题的标准做法。CORS有两种请求,简单请求和非简单请求。
上面引用阮一峰老师的日志,关于CORS的讲解,阮一峰老师讲的够细致了,这里我就不再赘述了。
b. 代理服务器实现跨域
node中间件实现跨域代理,原理大致与nginx相同,都是通过启一个代理服务器,实现数据的转发,也可以通过设置cookieDomainRewrite参数修改响应头中cookie中域名,实现当前域的cookie写入,方便接口登录认证。
(1) 非vue框架的跨域
利用node + express + http-proxy-middleware搭建一个proxy服务器。
<1>前端代码示例:
1
2
3
4
5
6
7
8
| var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);
xhr.send();
|
<2>中间件服务器:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();
app.use('/', proxy({
target: 'http://www.domain2.com:8080',
changeOrigin: true,
onProxyRes: function(proxyRes, req, res) {
res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
res.header('Access-Control-Allow-Credentials', 'true');
},
cookieDomainRewrite: 'www.domain1.com'
}));
app.listen(3000);
console.log('Proxy server is listen at port 3000...');
|
<3>Nodejs后台:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var postData = '';
req.addListener('data', function(chunk) {
postData += chunk;
});
req.addListener('end', function() {
postData = qs.parse(postData);
res.writeHead(200, {
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'http://www.domain1.com',
'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'
});
res.write(JSON.stringify(postData));
res.end();
});
});
server.listen('8080');
console.log('Server is running at port 8080...');
|
(2) vue框架的跨域
利用node + webpack + webpack-dev-server代理接口跨域。在开发环境下,由于vue渲染服务和接口代理服务都是webpack-dev-server同一个,所以页面与代理接口之间不再跨域,无须设置headers跨域信息了。
webpack.config.js部分配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| module.exports = {
entry: {},
module: {},
...
devServer: {
historyApiFallback: true,
proxy: [{
context: '/login',
target: 'http://www.domain2.com:8080',
changeOrigin: true,
secure: false,
cookieDomainRewrite: 'www.domain1.com'
}],
noInfo: true
}
}
|
c. WebSocket协议跨域
WebSocket protocol是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很好的实现。
原生WebSocket API使用起来不太方便,我们使用Socket.io,它很好地封装了webSocket接口,提供了更简单、灵活的接口,也对不支持webSocket的浏览器提供了向下兼容。
<1>前端代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| <div>user input:<input type="text"></div>
<script src="./socket.io.js"></script>
<script>
var socket = io('http://www.domain2.com:8080');
socket.on('connect', function() {
socket.on('message', function(msg) {
console.log('data from server: ---> ' + msg);
});
socket.on('disconnect', function() {
console.log('Server socket has closed.');
});
});
document.getElementsByTagName('input')[0].onblur = function() {
socket.send(this.value);
};
</script>
|
<2>Nodejs socket后台:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| var http = require('http');
var socket = require('socket.io');
var server = http.createServer(function(req, res) {
res.writeHead(200, {
'Content-type': 'text/html'
});
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
socket.listen(server).on('connection', function(client) {
client.on('message', function(msg) {
client.send('hello:' + msg);
console.log('data from client: ---> ' + msg);
});
client.on('disconnect', function() {
console.log('Client socket has closed.');
});
});
|
d. nginx代理跨域
(1). nginx配置解决iconfont跨域
浏览器跨域访问js、css、img等常规静态资源被同源策略许可,但iconfont字体文件(eot|otf|ttf|woff|svg)例外,此时可在nginx的静态资源服务器中加入以下配置。
1
2
3
| location / {
add_header Access-Control-Allow-Origin *;
}
|
(2). nginx反向代理接口跨域
跨域原理: 同源策略是浏览器的安全策略,不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议,不会执行JS脚本,不需要同源策略,也就不存在跨越问题。
实现思路:通过nginx配置一个代理服务器(域名与domain1相同,端口不同)做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录。
nginx具体配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| # proxy服务器
server {
listen 81;
server_name www.domain1.com;
location / {
proxy_pass http://www.domain2.com:8080; #反向代理
proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
index index.html index.htm;
# 当用webpack-dev-server等中间件代理接口访问nignx时,此时无浏览器参与,故没有同源限制,下面的跨域配置可不启用
add_header Access-Control-Allow-Origin http://www.domain1.com; #当前端只跨域不带cookie时,可为*
add_header Access-Control-Allow-Credentials true;
}
}
|
<1> 前端代码示例:
1
2
3
4
5
6
7
8
| var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);
xhr.send();
|
<2> Nodejs后台示例:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var params = qs.parse(req.url.substring(2));
res.writeHead(200, {
'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'
});
res.write(JSON.stringify(params));
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
|
e. 通过jsonp跨域
通常为了减轻web服务器的负载,我们把js、css,img等静态资源分离到另一台独立域名的服务器上,在html页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许,基于此原理,我们可以通过动态创建script,再请求一个带参网址实现跨域通信,但是jsonp有个弊端,只支持get请求。
(1). 原生实现
1
2
3
4
5
6
7
8
9
10
11
12
13
| <script>
var script = document.createElement('script');
script.type = 'text/javascript';
script.src = 'http://www.domain2.com:8080/login?user=admin&callback=onBack';
document.head.appendChild(script);
function onBack(res) {
alert(JSON.stringify(res));
}
</script>
|
服务端返回如下(返回时即执行全局函数):
1
| onBack({"status": true, "user": "admin"})
|
(2). jquery ajax:
1
2
3
4
5
6
7
| $.ajax({
url: 'http://www.domain2.com:8080/login',
type: 'get',
dataType: 'jsonp',
jsonpCallback: "onBack",
data: {}
});
|
(3). vue.js:
1
2
3
4
5
6
| this.$http.jsonp('http://www.domain2.com:8080/login', {
params: {},
jsonp: 'onBack'
}).then((res) => {
console.log(res);
})
|
后端node.js代码示例:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| var querystring = require('querystring');
var http = require('http');
var server = http.createServer();
server.on('request', function(req, res) {
var params = qs.parse(req.url.split('?')[1]);
var fn = params.callback;
res.writeHead(200, { 'Content-Type': 'text/javascript' });
res.write(fn + '(' + JSON.stringify(params) + ')');
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
|
除了以上几种常用的,还有其他的解决方式,在此就不再赘述了。
微信
支付宝
