一、什么是跨域
當(dāng)一個請求url的 協(xié)議吃既、域名、端口三者之間任意一個與當(dāng)前頁面url不同即為跨域
http://www.baidu.com:80
| 命名 | 示例 |
|---|---|
| 協(xié)議 | http |
| 域名 | www.baidu.com |
| 端口 | 80 |
二、為什么瀏覽器不能跨域
? ? 出于瀏覽器的同源策略限制。同源策略是一個重要的安全策略蒲牧,它用于限制一個origin的文檔或者它加載的腳本如何能與另一個源的資源進(jìn)行交互。它能幫助阻隔惡意文檔赌莺,減少可能被攻擊的媒介冰抢。
三、跨域造成的限制
- 無法讀取非同源網(wǎng)頁的 Cookie艘狭、LocalStorage 和 IndexedDB
- 無法接觸非同源網(wǎng)頁的 DOM
- 無法向非同源地址發(fā)送 AJAX 請求
四挎扰、跨域的解決方法
-
設(shè)置document.domain解決無法讀取非同源網(wǎng)頁的 Cookie問題
因為瀏覽器是通過document.domain屬性來檢查兩個頁面是否同源,因此只要通過設(shè)置相同的document.domain缓升,兩個頁面就可以共享Cookie(此方案僅限主域相同鼓鲁,子域不同的跨域應(yīng)用場景蕴轨。)
// 兩個頁面都設(shè)置
document.domain = 'test.com';
-
跨文檔通信 API:window.postMessage()
調(diào)用postMessage方法實(shí)現(xiàn)父窗口http://test1.com向子窗口http://test2.com發(fā)消息(子窗口同樣可以通過該方法發(fā)送消息給父窗口)
它可用于解決以下方面的問題:
1.頁面和其打開的新窗口的數(shù)據(jù)傳遞
2.多窗口之間消息傳遞
3.頁面與嵌套的iframe消息傳遞
4.上面三個場景的跨域數(shù)據(jù)傳遞
// 父窗口打開一個子窗口
var openWindow = window.open('http://test2.com', 'title');
// 父窗口向子窗口發(fā)消息(第一個參數(shù)代表發(fā)送的內(nèi)容港谊,第二個參數(shù)代表接收消息窗口的url)
openWindow.postMessage('Nice to meet you!', 'http://test2.com');
調(diào)用message事件,監(jiān)聽對方發(fā)送的消息
// 監(jiān)聽 message 消息
window.addEventListener('message', function (e) {
console.log(e.source); // e.source 發(fā)送消息的窗口
console.log(e.origin); // e.origin 消息發(fā)向的網(wǎng)址
console.log(e.data); // e.data 發(fā)送的消息
},false);
-
JSONP
JSONP 是服務(wù)器與客戶端跨源通信的常用方法橙弱。最大特點(diǎn)就是簡單適用歧寺,兼容性好(兼容低版本IE),缺點(diǎn)是只支持get請求棘脐,不支持post請求斜筐。
核心思想:網(wǎng)頁通過添加一個<script>元素,向服務(wù)器請求 JSON 數(shù)據(jù)蛀缝,服務(wù)器收到請求后顷链,將數(shù)據(jù)放在一個指定名字的回調(diào)函數(shù)的參數(shù)位置傳回來。
1.原生實(shí)現(xiàn)
<script src="http://test.com/data.php?callback=dosomething"></script>
// 向服務(wù)器test.com發(fā)出請求屈梁,該請求的查詢字符串有一個callback參數(shù),用來指定回調(diào)函數(shù)的名字
// 處理服務(wù)器返回回調(diào)函數(shù)的數(shù)據(jù)
<script type="text/javascript">
function dosomething(res){
// 處理獲得的數(shù)據(jù)
console.log(res.data)
}
</script>
2.Vue.js
this.$http.jsonp('http://www.domain2.com:8080/login', {
params: {},
jsonp: 'handleCallback'
}).then((res) => {
console.log(res);
})
-
CORS
CORS 是跨域資源分享(Cross-Origin Resource Sharing)的縮寫。它是 W3C 標(biāo)準(zhǔn)沪伙,屬于跨源 AJAX 請求的根本解決方法狼钮。
1、普通跨域請求:只需服務(wù)器端設(shè)置Access-Control-Allow-Origin
2构哺、帶cookie跨域請求:前后端都需要進(jìn)行設(shè)置
【前端設(shè)置】根據(jù)xhr.withCredentials字段判斷是否帶有cookie
1.原生ajax
var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容
// 前端設(shè)置是否帶cookie
xhr.withCredentials = true;
xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText);
}
};
2.axios
axios.defaults.withCredentials = true
【服務(wù)端設(shè)置】
服務(wù)器端對于CORS的支持革答,主要是通過設(shè)置Access-Control-Allow-Origin來進(jìn)行的。如果瀏覽器檢測到相應(yīng)的設(shè)置,就可以允許Ajax進(jìn)行跨域的訪問残拐。
1.Java后臺
/*
* 導(dǎo)入包:import javax.servlet.http.HttpServletResponse;
* 接口參數(shù)中定義:HttpServletResponse response
*/
// 允許跨域訪問的域名:若有端口需寫全(協(xié)議+域名+端口)途茫,若沒有端口末尾不用加'/'
response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com");
// 允許前端帶認(rèn)證cookie:啟用此項后,上面的域名不能為'*'蹦骑,必須指定具體的域名慈省,否則瀏覽器會提示
response.setHeader("Access-Control-Allow-Credentials", "true");
// 提示OPTIONS預(yù)檢時,后端需要設(shè)置的兩個常用自定義頭
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
