image.png

1. 什么是跨域

跨域肢娘，是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本。它是由瀏覽器的同源策略造成的舆驶，是瀏覽器對JavaScript實施的安全限制橱健。

同源策略限制了一下行為：

• Cookie、LocalStorage 和 IndexDB 無法讀取
• DOM 和 JS 對象無法獲取
• Ajax請求發(fā)送不出去

2. 常見的跨域場景

所謂的同源是指沙廉，域名拘荡、協(xié)議、端口均為相同撬陵。

http://www.nealyang.cn/index.html 調(diào)用   http://www.nealyang.cn/server.php  非跨域

http://www.nealyang.cn/index.html 調(diào)用   http://www.neal.cn/server.php  跨域,主域不同

http://abc.nealyang.cn/index.html 調(diào)用   http://def.neal.cn/server.php  跨域,子域名不同

http://www.nealyang.cn:8080/index.html 調(diào)用   http://www.nealyang.cn/server.php  跨域,端口不同

https://www.nealyang.cn/index.html 調(diào)用   http://www.nealyang.cn/server.php  跨域,協(xié)議不同

localhost   調(diào)用 127.0.0.1 跨域

3. 跨域的解決辦法

3.1 jsonp跨域

jsonp跨域其實也是JavaScript設(shè)計模式中的一種代理模式珊皿。在html頁面中通過相應(yīng)的標(biāo)簽從不同域名下加載靜態(tài)資源文件是被瀏覽器允許的，所以我們可以通過這個“犯罪漏洞”來進行跨域巨税。一般蟋定，我們可以動態(tài)的創(chuàng)建script標(biāo)簽，再去請求一個帶參網(wǎng)址來實現(xiàn)跨域通信

//原生的實現(xiàn)方式
let script = document.createElement('script');

script.src = 'http://www.nealyang.cn/login?username=Nealyang&callback=callback';

document.body.appendChild(script);

function callback(res) {
  console.log(res);
}

當(dāng)然草添，jquery也支持jsonp的實現(xiàn)方式

$.ajax({
    url:'http://www.nealyang.cn/login',
    type:'GET',
    dataType:'jsonp',//請求方式為jsonp
    jsonpCallback:'callback',
    data:{
        "username":"Nealyang"
    }
})

雖然這種方式非常好用驶兜，但是一個最大的缺陷是，只能夠?qū)崿F(xiàn)get請求

3.2 document.domain + iframe 跨域

這種跨域的方式最主要的是要求主域名相同。什么是主域名相同呢抄淑？
www.geekjc.com aaa.geekjc.com ba.ad.geekjc.com 這三個主域名都是geekjc.com,而主域名不同的就不能用此方法屠凶。

假設(shè)目前a.geekjc.com 和 b.geekjc.com 分別對應(yīng)指向不同ip的服務(wù)器。

a.geekjc.com 下有一個test.html文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>html</title>
    <script type="text/javascript" src = "jquery-1.12.1.js"></script>
</head>
<body>
    <div>A頁面</div>
    <iframe 
    style = "display : none" 
    name = "iframe1" 
    id = "iframe" 
    src="http://b.geekjc.com/1.html" frameborder="0"></iframe>
    <script type="text/javascript">
        $(function(){
            try{
                document.domain = "geekjc.com"
            }catch(e){}
            $("#iframe").load(function(){
                var jq = document.getElementById('iframe').contentWindow.$
                jq.get("http://geekjc.com/test.json",function(data){
                    console.log(data);
                });
            })
        })
    </script>
</body>
</html>

利用 iframe 加載 其他域下的文件（geekjc.com/1.html）, 同時 document.domain 設(shè)置成 geekjc.com 肆资，當(dāng) iframe 加載完畢后就可以獲取 geekjc.com 域下的全局對象矗愧， 此時嘗試著去請求 geekjc.com 域名下的 test.json （此時可以請求接口），就會發(fā)現(xiàn)數(shù)據(jù)請求失敗了~~ 驚不驚喜迅耘，意不意外＜妗！２āＥΩ纭！Ｆ茱酢春塌！

數(shù)據(jù)請求失敗，目的沒有達到簇捍，自然是還少一步：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>html</title>
    <script type="text/javascript" src = "jquery-1.12.1.js"></script>
    <script type="text/javascript">
        $(function(){
            try{
                document.domain = "geekjc.com"
            }catch(e){}
        })
    </script>
</head>
<body>
    <div id = "div1">B頁面</div>
</body>
</html>

此時在進行刷新瀏覽器只壳，就會發(fā)現(xiàn)數(shù)據(jù)這次真的是成功了~~~~~

3.3 window.name + iframe 跨域

window.name屬性可設(shè)置或者返回存放窗口名稱的一個字符串。他的神器之處在于name值在不同頁面或者不同域下加載后依舊存在暑塑，沒有修改就不會發(fā)生變化吼句，并且可以存儲非常長的name(2MB)

假設(shè)index頁面請求遠端服務(wù)器上的數(shù)據(jù)，我們在該頁面下創(chuàng)建iframe標(biāo)簽事格，該iframe的src指向服務(wù)器文件的地址（iframe標(biāo)簽src可以跨域）惕艳，服務(wù)器文件里設(shè)置好window.name的值，然后再在index.html里面讀取改iframe中的window.name的值驹愚。完美~

<body>
  <script type="text/javascript"> 
    iframe = document.createElement('iframe'),
    iframe.src = 'http://localhost:8080/data.php';
    document.body.appendChild(iframe);
    iframe.onload = function() {
      console.log(iframe.contentWindow.name)
    };
  </script>
</body>

當(dāng)然远搪，這樣還是不夠的。

因為規(guī)定如果index.html頁面和和該頁面里的iframe框架的src如果不同源逢捺，則也無法操作框架里的任何東西谁鳍，所以就取不到iframe框架的name值了，告訴你我們不是一家的劫瞳，你也休想得到我這里的數(shù)據(jù)倘潜。 既然要同源，那就換個src去指志于，前面說了無論怎樣加載window.name值都不會變化涮因，于是我們在index.html相同目錄下，新建了個proxy.html的空頁面恨憎，修改代碼如下：

<body>
  <script type="text/javascript"> 
    iframe = document.createElement('iframe'),
    iframe.src = 'http://localhost:8080/data.php';
    document.body.appendChild(iframe);
    iframe.onload = function() {
      iframe.src = 'http://localhost:81/cross-domain/proxy.html';
      console.log(iframe.contentWindow.name)
    };
  </script>
</body>

理想似乎很美好蕊退，在iframe載入過程中，迅速重置iframe.src的指向憔恳，使之與index.html同源瓤荔，那么index頁面就能去獲取它的name值了！但是現(xiàn)實是殘酷的钥组，iframe在現(xiàn)實中的表現(xiàn)是一直不停地刷新输硝， 也很好理解，每次觸發(fā)onload時間后程梦，重置src点把，相當(dāng)于重新載入頁面，又觸發(fā)onload事件屿附，于是就不停地刷新了（但是需要的數(shù)據(jù)還是能輸出的）郎逃。修改后代碼如下：

<body>
  <script type="text/javascript"> 
    iframe = document.createElement('iframe');
    iframe.style.display = 'none';
    var state = 0;
    
    iframe.onload = function() {
      if(state === 1) {
          var data = JSON.parse(iframe.contentWindow.name);
          console.log(data);
          iframe.contentWindow.document.write('');
          iframe.contentWindow.close();
        document.body.removeChild(iframe);
      } else if(state === 0) {
          state = 1;
          iframe.contentWindow.location = 'http://localhost:81/cross-domain/proxy.html';
      }
    };

    iframe.src = 'http://localhost:8080/data.php';
    document.body.appendChild(iframe);
  </script>
</body>

所以如上，我們就拿到了服務(wù)器返回的數(shù)據(jù)挺份，但是有幾個條件是必不可少的：

• iframe標(biāo)簽的跨域能力
• window.names屬性值在文檔刷新后依然存在的能力

3.4 location.hash + iframe 跨域

此跨域方法和上面介紹的比較類似褒翰，一樣是動態(tài)插入一個iframe然后設(shè)置其src為服務(wù)端地址，而服務(wù)端同樣輸出一端js代碼匀泊，也同時通過與子窗口之間的通信來完成數(shù)據(jù)的傳輸优训。

關(guān)于錨點相信大家都已經(jīng)知道了，其實就是設(shè)置錨點各聘，讓文檔指定的相應(yīng)的位置揣非。錨點的設(shè)置用a標(biāo)簽，然后href指向要跳轉(zhuǎn)到的id躲因，當(dāng)然早敬，前提是你得有個滾動條，不然也不好滾動嘛是吧毛仪。

而location.hash其實就是url的錨點搁嗓。比如https://www.geekjc.com#geekjcg的網(wǎng)址打開后，在控制臺輸入location.hash就會返回#geekjc的字段箱靴。

基礎(chǔ)知識補充完畢腺逛，下面我們來說下如何實現(xiàn)跨域

如果index頁面要獲取遠端服務(wù)器的數(shù)據(jù)，動態(tài)的插入一個iframe衡怀，將iframe的src執(zhí)行服務(wù)器的地址棍矛，這時候的top window 和包裹這個iframe的子窗口是不能通信的，因為同源策略抛杨，所以改變子窗口的路徑就可以了够委，將數(shù)據(jù)當(dāng)做改變后的路徑的hash值加載路徑上，然后就可以通信了怖现。將數(shù)據(jù)加在index頁面地址的hash上茁帽， index頁面監(jiān)聽hash的變化玉罐，h5的hashchange方法

<body>
  <script type="text/javascript">
    function getData(url, fn) {
      var iframe = document.createElement('iframe');
      iframe.style.display = 'none';
      iframe.src = url;

      iframe.onload = function() {
        fn(iframe.contentWindow.location.hash.substring(1));
        window.location.hash = '';
        document.body.removeChild(iframe);
      };

      document.body.appendChild(iframe);
    }

    // get data from server
    var url = 'http://localhost:8080/data.php';
    getData(url, function(data) {
      var jsondata = JSON.parse(data);
      console.log(jsondata.name + ' ' + jsondata.age);
    });
  </script>
</body>

補充說明：其實location.hash和window.name都是差不多的，都是利用全局對象屬性的方法潘拨，然后這兩種方法和jsonp也是一樣的吊输，就是只能夠?qū)崿F(xiàn)get請求

3.5 postMessage跨域

這是由H5提出來的一個炫酷的API，IE8+铁追，chrome,ff都已經(jīng)支持實現(xiàn)了這個功能季蚂。這個功能也是非常的簡單，其中包括接受信息的Message時間琅束，和發(fā)送信息的postMessage方法扭屁。

發(fā)送信息的postMessage方法是向外界窗口發(fā)送信息

otherWindow.postMessage(message,targetOrigin);

otherWindow指的是目標(biāo)窗口，也就是要給哪一個window發(fā)送消息涩禀，是window.frames屬性的成員或者是window.open方法創(chuàng)建的窗口料滥。 Message是要發(fā)送的消息，類型為String艾船，Object(IE8幔欧、9不支持Obj)，targetOrigin是限定消息接受范圍丽声，不限制就用星號 *

接受信息的message事件

var onmessage = function(event) {
  var data = event.data;
  var origin = event.origin;
}

if(typeof window.addEventListener != 'undefined'){
    window.addEventListener('message',onmessage,false);
}else if(typeof window.attachEvent != 'undefined'){
    window.attachEvent('onmessage', onmessage);
}

舉個栗子

a.html(http://www.nealyang.cn/a.html)

<iframe id="iframe" src="http://www.neal.cn/b.html" style="display:none;"></iframe>
<script>       
    var iframe = document.getElementById('iframe');
    iframe.onload = function() {
        var data = {
            name: 'aym'
        };
        // 向neal傳送跨域數(shù)據(jù)
        iframe.contentWindow.postMessage(JSON.stringify(data), 'http://www.neal.cn');
    };

    // 接受domain2返回數(shù)據(jù)
    window.addEventListener('message', function(e) {
        alert('data from neal ---> ' + e.data);
    }, false);
</script>

b.html(http://www.neal.cn/b.html)

<script>
    // 接收domain1的數(shù)據(jù)
    window.addEventListener('message', function(e) {
        alert('data from nealyang ---> ' + e.data);

        var data = JSON.parse(e.data);
        if (data) {
            data.number = 16;

            // 處理后再發(fā)回nealyang
            window.parent.postMessage(JSON.stringify(data), 'http://www.nealyang.cn');
        }
    }, false);
</script>

3.6 跨域資源共享 CORS

因為是目前主流的跨域解決方案礁蔗。所以這里多介紹點。

簡介

CORS是一個W3C標(biāo)準(zhǔn)雁社，全稱是"跨域資源共享"（Cross-origin resource sharing）浴井。 它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請求霉撵，從而克服了AJAX只能同源使用的限制磺浙。

CORS需要瀏覽器和服務(wù)器同時支持。目前徒坡，所有瀏覽器都支持該功能撕氧，IE瀏覽器不能低于IE10。IE8+：IE8/9需要使用XDomainRequest對象來支持CORS喇完。

整個CORS通信過程伦泥，都是瀏覽器自動完成，不需要用戶參與锦溪。對于開發(fā)者來說不脯，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣刻诊。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源防楷，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求则涯，但用戶不會有感覺复局。 因此冲簿，實現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實現(xiàn)了CORS接口亿昏，就可以跨源通信民假。

兩種請求

說起來很搞笑，分為兩種請求龙优，一種是簡單請求，另一種是非簡單請求事秀。只要滿足下面條件就是簡單請求

• 請求方式為HEAD彤断、POST 或者 GET
• http頭信息不超出一下字段：Accept、Accept-Language 易迹、 Content-Language宰衙、 Last-Event-ID、 Content-Type(限于三個值：application/x-www-form-urlencoded睹欲、multipart/form-data供炼、text/plain)
  為什么要分為簡單請求和非簡單請求，因為瀏覽器對這兩種請求方式的處理方式是不同的窘疮。

簡單請求

基本流程

對于簡單請求袋哼，瀏覽器直接發(fā)出CORS請求。具體來說闸衫，就是在頭信息之中涛贯，增加一個Origin字段。 下面是一個例子蔚出，瀏覽器發(fā)現(xiàn)這次跨源AJAX請求是簡單請求弟翘，就自動在頭信息之中，添加一個Origin字段骄酗。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0
...

Origin字段用來說明稀余，本次請求來自哪個源（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個值趋翻，決定是否同意這次請求睛琳。

如果Origin指定的源，不在許可范圍內(nèi)踏烙，服務(wù)器會返回一個正常的HTTP回應(yīng)掸掏。 瀏覽器發(fā)現(xiàn)，這個回應(yīng)的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文）宙帝，就知道出錯了丧凤，從而拋出一個錯誤，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲步脓。

注意愿待，這種錯誤無法通過狀態(tài)碼識別浩螺，因為HTTP回應(yīng)的狀態(tài)碼有可能是200。

如果Origin指定的域名在許可范圍內(nèi)仍侥，服務(wù)器返回的響應(yīng)要出，會多出幾個頭信息字段。

   Access-Control-Allow-Origin: http://api.bob.com
   Access-Control-Allow-Credentials: true
   Access-Control-Expose-Headers: FooBar
   Content-Type: text/html; charset=utf-8

上面的頭信息之中农渊，有三個與CORS請求相關(guān)的字段患蹂，都以Access-Control-開頭

Access-Control-Allow-Origin :該字段是必須的。它的值要么是請求時Origin字段的值砸紊，要么是一個*传于，表示接受任意域名的請求
Access-Control-Allow-Credentials: 該字段可選。它的值是一個布爾值醉顽，表示是否允許發(fā)送Cookie沼溜。默認(rèn)情況下，Cookie不包括在CORS請求之中游添。設(shè)為true系草，即表示服務(wù)器明確許可，Cookie可以包含在請求中唆涝，一起發(fā)給服務(wù)器找都。這個值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie廊酣，刪除該字段即可檐嚣。
Access-Control-Expose-Headers:該字段可選。CORS請求時啰扛，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control嚎京、Content-Language、Content-Type隐解、Expires鞍帝、Last-Modified、Pragma煞茫。如果想拿到其他字段帕涌，就必須在Access-Control-Expose-Headers里面指定。

withCredentials 屬性

上面說到续徽，CORS請求默認(rèn)不發(fā)送Cookie和HTTP認(rèn)證信息蚓曼。如果要把Cookie發(fā)到服務(wù)器钦扭，一方面要服務(wù)器同意其弊，指定Access-Control-Allow-Credentials字段梭伐。

另一方面绩社，開發(fā)者必須在AJAX請求中打開withCredentials屬性愉耙。

var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容

// 前端設(shè)置是否帶cookie
xhr.withCredentials = true;

xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');

xhr.onreadystatechange = function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        alert(xhr.responseText);
    }
};

// jquery
$.ajax({
    ...
   xhrFields: {
       withCredentials: true    // 前端設(shè)置是否帶cookie
   },
   crossDomain: true,   // 會讓請求頭中包含跨域的額外信息绘盟，但不會含cookie
    ...
});

否則龄毡，即使服務(wù)器同意發(fā)送Cookie祭隔，瀏覽器也不會發(fā)送「惆樱或者，服務(wù)器要求設(shè)置Cookie店量，瀏覽器也不會處理。 但是诬滩，如果省略withCredentials設(shè)置后控，有的瀏覽器還是會一起發(fā)送Cookie。這時张抄，可以顯式關(guān)閉withCredentials。

需要注意的是极谊，如果要發(fā)送Cookie轻猖，Access-Control-Allow-Origin就不能設(shè)為星號，必須指定明確的败许、與請求網(wǎng)頁一致的域名。同時被丧，Cookie依然遵循同源政策，只有用服務(wù)器域名設(shè)置的Cookie才會上傳黄选，其他域名的Cookie并不會上傳貌夕，且（跨源）原網(wǎng)頁代碼中的document.cookie也無法讀取服務(wù)器域名下的Cookie。

非簡單請求

非簡單請求是那種對服務(wù)器有特殊要求的請求，比如請求方法是PUT或DELETE慧库，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求甘磨，會在正式通信之前庵朝，增加一次HTTP查詢請求，稱為"預(yù)檢"請求（preflight）侄旬。

瀏覽器先詢問服務(wù)器，當(dāng)前網(wǎng)頁所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復(fù)色难，瀏覽器才會發(fā)出正式的XMLHttpRequest請求，否則就報錯。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

瀏覽器發(fā)現(xiàn)，這是一個非簡單請求皇拣，就自動發(fā)出一個"預(yù)檢"請求毫深，要求服務(wù)器確認(rèn)可以這樣請求钉寝。下面是這個"預(yù)檢"請求的HTTP頭信息。

  OPTIONS /cors HTTP/1.1
   Origin: http://api.bob.com
   Access-Control-Request-Method: PUT
   Access-Control-Request-Headers: X-Custom-Header
   Host: api.alice.com
   Accept-Language: en-US
   Connection: keep-alive
   User-Agent: Mozilla/5.0...

"預(yù)檢"請求用的請求方法是OPTIONS，表示這個請求是用來詢問的盾舌。頭信息里面起便，關(guān)鍵字段是Origin，表示請求來自哪個源。

除了Origin字段，"預(yù)檢"請求的頭信息包括兩個特殊字段。

• Access-Control-Request-Method：該字段是必須的斯入，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。
• Access-Control-Request-Headers：該字段是一個逗號分隔的字符串椰憋，指定瀏覽器CORS請求會額外發(fā)送的頭信息字段窗骑，上例是X-Custom-Header

預(yù)檢請求的回應(yīng)

服務(wù)器收到"預(yù)檢"請求以后，檢查了Origin掖疮、Access-Control-Request-Method和Access-Control-Request-Headers字段以后浊闪，確認(rèn)允許跨源請求恼布，就可以做出回應(yīng)

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回應(yīng)中，關(guān)鍵的是Access-Control-Allow-Origin字段搁宾，表示http://api.bob.com可以請求數(shù)據(jù)折汞。該字段也可以設(shè)為星號，表示同意任意跨源請求盖腿。

如果瀏覽器否定了"預(yù)檢"請求字支，會返回一個正常的HTTP回應(yīng)，但是沒有任何CORS相關(guān)的頭信息字段奸忽。這時堕伪，瀏覽器就會認(rèn)定，服務(wù)器不同意預(yù)檢請求栗菜，因此觸發(fā)一個錯誤欠雌，被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲「沓铮控制臺會打印出如下的報錯信息富俄。

服務(wù)器回應(yīng)的其他CORS相關(guān)字段如下：

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

• Access-Control-Allow-Methods：該字段必需，它的值是逗號分隔的一個字符串而咆，表明服務(wù)器支持的所有跨域請求的方法霍比。注意，返回的是所有支持的方法暴备，而不單是瀏覽器請求的那個方法悠瞬。這是為了避免多次"預(yù)檢"請求。
• Access-Control-Allow-Headers：如果瀏覽器請求包括Access-Control-Request-Headers字段涯捻，則Access-Control-Allow-Headers字段是必需的浅妆。它也是一個逗號分隔的字符串，表明服務(wù)器支持的所有頭信息字段障癌，不限于瀏覽器在"預(yù)檢"中請求的字段凌外。
• Access-Control-Allow-Credentials： 該字段與簡單請求時的含義相同。
• Access-Control-Max-Age： 該字段可選涛浙，用來指定本次預(yù)檢請求的有效期康辑，單位為秒摄欲。上面結(jié)果中，有效期是20天（1728000秒）疮薇，即允許緩存該條回應(yīng)1728000秒（即20天）蒿涎，在此期間，不用發(fā)出另一條預(yù)檢請求惦辛。

瀏覽器正常請求回應(yīng)

一旦服務(wù)器通過了"預(yù)檢"請求劳秋，以后每次瀏覽器正常的CORS請求，就都跟簡單請求一樣胖齐，會有一個Origin頭信息字段玻淑。服務(wù)器的回應(yīng)，也都會有一個Access-Control-Allow-Origin頭信息字段呀伙。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

瀏覽器的正常CORS請求补履。上面頭信息的Origin字段是瀏覽器自動添加的。下面是服務(wù)器正常的回應(yīng)剿另。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

Access-Control-Allow-Origin字段是每次回應(yīng)都必定包含的

結(jié)束語

CORS與JSONP的使用目的相同箫锤，但是比JSONP更強大。JSONP只支持GET請求雨女，CORS支持所有類型的HTTP請求谚攒。JSONP的優(yōu)勢在于支持老式瀏覽器，以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)氛堕。

隨便說下馏臭，本網(wǎng)站 極客教程就是采用的這種方式

3.7 WebSocket協(xié)議跨域

WebSocket protocol是HTML5一種新的協(xié)議。它實現(xiàn)了瀏覽器與服務(wù)器全雙工通信讼稚，同時允許跨域通訊括儒，是server push技術(shù)的一種很好的實現(xiàn)。

原生WebSocket API使用起來不太方便锐想，我們使用Socket.io帮寻，它很好地封裝了webSocket接口，提供了更簡單赠摇、靈活的接口固逗，也對不支持webSocket的瀏覽器提供了向下兼容。

前端代碼：

<div>user input：<input type="text"></div>
<script src="./socket.io.js"></script>
<script>
var socket = io('http://www.domain2.com:8080');

// 連接成功處理
socket.on('connect', function() {
    // 監(jiān)聽服務(wù)端消息
    socket.on('message', function(msg) {
        console.log('data from server: ---> ' + msg); 
    });

    // 監(jiān)聽服務(wù)端關(guān)閉
    socket.on('disconnect', function() { 
        console.log('Server socket has closed.'); 
    });
});

document.getElementsByTagName('input')[0].onblur = function() {
    socket.send(this.value);
};
</script>

node Server

var http = require('http');
var socket = require('socket.io');

// 啟http服務(wù)
var server = http.createServer(function(req, res) {
    res.writeHead(200, {
        'Content-type': 'text/html'
    });
    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');

// 監(jiān)聽socket連接
socket.listen(server).on('connection', function(client) {
    // 接收信息
    client.on('message', function(msg) {
        client.send('hello：' + msg);
        console.log('data from client: ---> ' + msg);
    });

    // 斷開處理
    client.on('disconnect', function() {
        console.log('Client socket has closed.'); 
    });
});

3.8 node代理跨域

node中間件實現(xiàn)跨域代理蝉稳，是通過啟一個代理服務(wù)器抒蚜，實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)掘鄙，也可以通過設(shè)置cookieDomainRewrite參數(shù)修改響應(yīng)頭中cookie中域名耘戚，實現(xiàn)當(dāng)前域的cookie寫入，方便接口登錄認(rèn)證操漠。

利用node + express + http-proxy-middleware搭建一個proxy服務(wù)器

前端代碼

var xhr = new XMLHttpRequest();

// 前端開關(guān)：瀏覽器是否讀寫cookie
xhr.withCredentials = true;

// 訪問http-proxy-middleware代理服務(wù)器
xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);
xhr.send();

后端代碼

var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();

app.use('/', proxy({
    // 代理跨域目標(biāo)接口
    target: 'http://www.domain2.com:8080',
    changeOrigin: true,

    // 修改響應(yīng)頭信息收津，實現(xiàn)跨域并允許帶cookie
    onProxyRes: function(proxyRes, req, res) {
        res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
        res.header('Access-Control-Allow-Credentials', 'true');
    },

    // 修改響應(yīng)信息中的cookie域名
    cookieDomainRewrite: 'www.domain1.com'  // 可以為false饿这，表示不修改
}));

app.listen(3000);
console.log('Proxy server is listen at port 3000...');

3.9 nginx代理跨域

1、 nginx配置解決iconfont跨域

瀏覽器跨域訪問js撞秋、css长捧、img等常規(guī)靜態(tài)資源被同源策略許可，但iconfont字體文件(eot|otf|ttf|woff|svg)例外吻贿，此時可在nginx的靜態(tài)資源服務(wù)器中加入以下配置串结。

location / {
  add_header Access-Control-Allow-Origin *;
}

2、 nginx反向代理接口跨域

跨域原理： 同源策略是瀏覽器的安全策略舅列，不是HTTP協(xié)議的一部分肌割。服務(wù)器端調(diào)用HTTP接口只是使用HTTP協(xié)議，不會執(zhí)行JS腳本帐要，不需要同源策略把敞，也就不存在跨越問題。

實現(xiàn)思路：通過nginx配置一個代理服務(wù)器（域名與domain1相同榨惠，端口不同）做跳板機奋早，反向代理訪問domain2接口，并且可以順便修改cookie中domain信息赠橙，方便當(dāng)前域cookie寫入耽装，實現(xiàn)跨域登錄。

nginx具體配置：

#proxy服務(wù)器
server {
    listen       81;
    server_name  www.domain1.com;

    location / {
        proxy_pass   http://www.domain2.com:8080;  #反向代理
        proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
        index  index.html index.htm;

        # 當(dāng)用webpack-dev-server等中間件代理接口訪問nignx時期揪，此時無瀏覽器參與剂邮，故沒有同源限制，下面的跨域配置可不啟用
        add_header Access-Control-Allow-Origin http://www.domain1.com;  #當(dāng)前端只跨域不帶cookie時横侦，可為*
        add_header Access-Control-Allow-Credentials true;
    }
}

1.) 前端代碼示例：

var xhr = new XMLHttpRequest();

// 前端開關(guān)：瀏覽器是否讀寫cookie
xhr.withCredentials = true;

// 訪問nginx中的代理服務(wù)器
xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);
xhr.send();

2.) Nodejs后臺示例：

var http = require('http');
var server = http.createServer();
var qs = require('querystring');

server.on('request', function(req, res) {
    var params = qs.parse(req.url.substring(2));

    // 向前臺寫cookie
    res.writeHead(200, {
        'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'   // HttpOnly:腳本無法讀取
    });

    res.write(JSON.stringify(params));
    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');

推薦一下我的公眾號: 【 geekjc 】挥萌，微信號: 【 c8706288 】一起學(xué)習(xí)交流編程知識，分享經(jīng)驗枉侧，各種有趣的事引瀑。

tuiguang.png

原文地址: 詳解跨域(最全的解決方案)