一奶赠、為什么會(huì)出現(xiàn)跨域問題
出于瀏覽器的同源策略限制近刘。同源策略(Sameoriginpolicy)是一種約定,它是瀏覽器最核心也最基本的安全功能橘沥,如果缺少了同源策略窗轩,則瀏覽器的正常功能可能都會(huì)受到影響∽兀可以說Web是構(gòu)建在同源策略基礎(chǔ)之上的痢艺,瀏覽器只是針對同源策略的一種實(shí)現(xiàn)。同源策略會(huì)阻止一個(gè)域的javascript腳本和另外一個(gè)域的內(nèi)容進(jìn)行交互介陶。所謂同源(即指在同一個(gè)域)就是兩個(gè)頁面具有相同的協(xié)議(protocol)堤舒,主機(jī)(host)和端口號(hào)(port)
二、什么是跨域
當(dāng)一個(gè)請求url的協(xié)議斤蔓、域名植酥、端口三者之間任意一個(gè)與當(dāng)前頁面url不同即為跨域
三、非同源限制
【1】無法讀取非同源網(wǎng)頁的 Cookie弦牡、LocalStorage 和 IndexedDB
【2】無法接觸非同源網(wǎng)頁的 DOM
【3】無法向非同源地址發(fā)送 AJAX 請求
四友驮、跨域解決方法
【1】chrome瀏覽器設(shè)置跨域
【版本號(hào)49之前的跨域設(shè)置】
1.下載并安裝好chorme瀏覽器后在桌面找到瀏覽器快捷圖標(biāo)并點(diǎn)擊鼠標(biāo)右鍵的屬性一欄。
2.在屬性頁面中的目標(biāo)輸入框里加上 --disable-web-security 如下圖所示:
3.點(diǎn)擊應(yīng)用和確定后關(guān)閉屬性頁面驾锰,并打開chrome瀏覽器卸留。如果瀏覽器出現(xiàn)提示“你使用的是不受支持的命令標(biāo)記 --disable-web-security”,那么說明配置成功椭豫。
【版本號(hào)49之后的chrome跨域設(shè)置】
1.在電腦上新建一個(gè)目錄耻瑟,例如:D:\MyChromeDevUserData
2.在屬性頁面中的目標(biāo)輸入框里加上 --disable-web-security --user-data-dir=C:\MyChromeDevUserData,--user-data-dir的值就是剛才新建的目錄赏酥。
3.點(diǎn)擊應(yīng)用和確定后關(guān)閉屬性頁面喳整,并打開chrome瀏覽器。
再次打開chrome裸扶,發(fā)現(xiàn)有“--disable-web-security”相關(guān)的提示框都,說明chrome可以正常跨域工作了
【2】設(shè)置document.domain解決無法讀取非同源網(wǎng)頁的 Cookie問題
因?yàn)闉g覽器是通過document.domain屬性來檢查兩個(gè)頁面是否同源呵晨,因此只要通過設(shè)置相同的document.domain魏保,兩個(gè)頁面就可以共享Cookie(此方案僅限主域相同,子域不同的跨域應(yīng)用場景摸屠。)
// 兩個(gè)頁面都設(shè)置
document.domain = 'test.com';
【3】跨文檔通信 API:window.postMessage()
調(diào)用postMessage方法實(shí)現(xiàn)父窗口http://test1.com向子窗口http://test2.com發(fā)消息(子窗口同樣可以通過該方法發(fā)送消息給父窗口)
它可用于解決以下方面的問題:
頁面和其打開的新窗口的數(shù)據(jù)傳遞
多窗口之間消息傳遞
頁面與嵌套的iframe消息傳遞
上面三個(gè)場景的跨域數(shù)據(jù)傳遞
// 父窗口打開一個(gè)子窗口
var openWindow = window.open('http://test2.com', 'title');
// 父窗口向子窗口發(fā)消息(第一個(gè)參數(shù)代表發(fā)送的內(nèi)容谓罗,第二個(gè)參數(shù)代表接收消息窗口的url)
openWindow.postMessage('Nice to meet you!', 'http://test2.com');
調(diào)用message事件,監(jiān)聽對方發(fā)送的消息
// 監(jiān)聽 message 消息
window.addEventListener('message', function (e) {
console.log(e.source); // e.source 發(fā)送消息的窗口
console.log(e.origin); // e.origin 消息發(fā)向的網(wǎng)址
console.log(e.data); // e.data 發(fā)送的消息
},false);
【4】JSONP
JSONP 是服務(wù)器與客戶端跨源通信的常用方法季二。最大特點(diǎn)就是簡單適用檩咱,兼容性好(兼容低版本IE),缺點(diǎn)是只支持get請求,不支持post請求税手。
核心思想:網(wǎng)頁通過添加一個(gè)<script>元素蜂筹,向服務(wù)器請求 JSON 數(shù)據(jù),服務(wù)器收到請求后芦倒,將數(shù)據(jù)放在一個(gè)指定名字的回調(diào)函數(shù)的參數(shù)位置傳回來。
① 原生實(shí)現(xiàn):
<script src="http://test.com/data.php?callback=dosomething"></script>
// 向服務(wù)器test.com發(fā)出請求不翩,該請求的查詢字符串有一個(gè)callback參數(shù)兵扬,用來指定回調(diào)函數(shù)的名字
// 處理服務(wù)器返回回調(diào)函數(shù)的數(shù)據(jù)
<script type="text/javascript">
function dosomething(res){
// 處理獲得的數(shù)據(jù)
console.log(res.data)
}
</script>
② jQuery ajax:
$.ajax({
url: 'http://www.test.com:8080/login',
type: 'get',
dataType: 'jsonp', // 請求方式為jsonp
jsonpCallback: "handleCallback", // 自定義回調(diào)函數(shù)名
data: {}
});
③ Vue.js
this.$http.jsonp('http://www.domain2.com:8080/login', {
params: {},
jsonp: 'handleCallback'
}).then((res) => {
console.log(res);
})
【5】CORS
CORS 是跨域資源分享(Cross-Origin Resource Sharing)的縮寫。它是 W3C 標(biāo)準(zhǔn)口蝠,屬于跨源 AJAX 請求的根本解決方法器钟。
1、普通跨域請求:只需服務(wù)器端設(shè)置Access-Control-Allow-Origin
2妙蔗、帶cookie跨域請求:前后端都需要進(jìn)行設(shè)置
【前端設(shè)置】
根據(jù)xhr.withCredentials字段判斷是否帶有cookie
①原生ajax
var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容
// 前端設(shè)置是否帶cookie
xhr.withCredentials = true;
xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText);
}
};
② jQuery ajax
$.ajax({
url: 'http://www.test.com:8080/login',
type: 'get',
data: {},
xhrFields: {
withCredentials: true // 前端設(shè)置是否帶cookie
},
crossDomain: true, // 會(huì)讓請求頭中包含跨域的額外信息傲霸,但不會(huì)含cookie
});
③ vue-resource
Vue.http.options.credentials = true
④ axios
axios.defaults.withCredentials = true
【服務(wù)端設(shè)置】 服務(wù)器端對于CORS的支持眉反,主要是通過設(shè)置Access-Control-Allow-Origin來進(jìn)行的。如果瀏覽器檢測到相應(yīng)的設(shè)置寸五,就可以允許Ajax進(jìn)行跨域的訪問。
① Java后臺(tái)
/*
* 導(dǎo)入包:import javax.servlet.http.HttpServletResponse;
* 接口參數(shù)中定義:HttpServletResponse response
*/
// 允許跨域訪問的域名:若有端口需寫全(協(xié)議+域名+端口)梳杏,若沒有端口末尾不用加'/'
response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com");
// 允許前端帶認(rèn)證cookie:啟用此項(xiàng)后,上面的域名不能為'*'十性,必須指定具體的域名,否則瀏覽器會(huì)提示
response.setHeader("Access-Control-Allow-Credentials", "true");
// 提示OPTIONS預(yù)檢時(shí)劲适,后端需要設(shè)置的兩個(gè)常用自定義頭
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
② Nodejs后臺(tái)
var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var postData = '';
// 數(shù)據(jù)塊接收中
req.addListener('data', function(chunk) {
postData += chunk;
});
// 數(shù)據(jù)接收完畢
req.addListener('end', function() {
postData = qs.parse(postData);
// 跨域后臺(tái)設(shè)置
res.writeHead(200, {
'Access-Control-Allow-Credentials': 'true', // 后端允許發(fā)送Cookie
'Access-Control-Allow-Origin': 'http://www.domain1.com', // 允許訪問的域(協(xié)議+域名+端口)
/*
* 此處設(shè)置的cookie還是domain2的而非domain1,因?yàn)楹蠖艘膊荒芸缬驅(qū)慶ookie(nginx反向代理可以實(shí)現(xiàn))减响,
* 但只要domain2中寫入一次cookie認(rèn)證,后面的跨域接口都能從domain2中獲取cookie支示,從而實(shí)現(xiàn)所有的接口都能跨域訪問
*/
'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly' // HttpOnly的作用是讓js無法讀取cookie
});
res.write(JSON.stringify(postData));
res.end();
});
});
server.listen('8080');
console.log('Server is running at port 8080...');
③ PHP后臺(tái)
<?php
header("Access-Control-Allow-Origin:*");
④ Apache需要使用mod_headers模塊來激活HTTP頭的設(shè)置刊橘,它默認(rèn)是激活的。你只需要在Apache配置文件的<Directory>, <Location>, <Files>或<VirtualHost>的配置里加入以下內(nèi)容即可
Header set Access-Control-Allow-Origin *
參考文章 :https://blog.csdn.net/qq_38128179/article/details/84956552
