跨域是指從一個(gè)域名的網(wǎng)頁(yè)去請(qǐng)求另一個(gè)域名的資源。比如��,從www.a.com域名的網(wǎng)頁(yè)去請(qǐng)求www.b.com域名的資源�����,只要協(xié)議�����、域名��、端口有任何一個(gè)不同�����,都被當(dāng)作是不同的域��,跨域問(wèn)題通常由瀏覽器的同源策略引起的����。
同源策略就是瀏覽器出于安全考慮而制定的,例如數(shù)據(jù)安全���,服務(wù)器安全���,減少 xss(跨站腳本攻擊),CSRF(跨站請(qǐng)求偽造) 等攻擊���。所謂同源�,就是協(xié)議�,域名,端口號(hào)都相同才能請(qǐng)求數(shù)據(jù)����。如果是非同源請(qǐng)求發(fā)送后����,瀏覽器會(huì)攔截響應(yīng)���。
1. 瀏覽器出于安全考慮(數(shù)據(jù)安全�����,服務(wù)器安全�,減少 xss�����,CSRF 攻擊) 2. https: 協(xié)議 子域名 主域名 端口號(hào) 路徑 3. 非同源��,請(qǐng)求發(fā)送后�����,瀏覽器會(huì)攔截響應(yīng)
跨域解決方案
1.jsonp
- 借助 script 標(biāo)簽 src 屬性不受同源策略的限制(經(jīng)常要加載第三方庫(kù)等)�,來(lái)發(fā)送請(qǐng)求
- 攜帶一個(gè)參數(shù) callback 給后端
- 后端將數(shù)據(jù)作為 callback 函數(shù)的實(shí)參,返回給前端一個(gè) callback 的調(diào)用形式
- 瀏覽器接收到 callback 的調(diào)用會(huì)自動(dòng)執(zhí)行全局的callback函數(shù)
// 前端<button onclick="handle()">請(qǐng)求</button>
<script> function jsonp(url, cb) { return new Promise((resolve, reject) => {
const script = document.createElement('script')
window[cb] = function (data) { // console.log(data) // 后端返回的數(shù)據(jù) resolve(data) }
script.src = `${url}?cb=${cb}`
// 將標(biāo)簽加到document.body時(shí)�����,瀏覽器就會(huì)發(fā)url請(qǐng)求 document.body.appendChild(script) // callback('hello world') }) }
function handle() { jsonp('http://localhost:3000', 'callback').then(res => { console.log(res) }) } </script>
前端通過(guò)一個(gè)jsonp函數(shù)����,傳入請(qǐng)求的url和回調(diào)函數(shù)的名稱(chēng)cb�,然后在jsonp函數(shù)里面創(chuàng)建一個(gè)script標(biāo)簽,將該標(biāo)簽的src屬性變?yōu)閡rl后面用���?拼接傳入的字符串����。// 后端const http = require('http');
http.createServer((req, res) => { // 獲取前端傳過(guò)來(lái)參數(shù) const query = new URL(req.url, `http://${req.headers.host}`).searchParams
if (query.get('cb')) { const cb = query.get('cb') // 'callback' const data = 'hello world' const result = `${cb}("${data}")` // "callback('hello world')" res.end(result) }
}).listen(3000);
后端創(chuàng)建一個(gè)http服務(wù)器���,解析前端傳過(guò)來(lái)的callback字符串參數(shù)�,將數(shù)據(jù)作為參數(shù)返回"callback('hello world')"格式的一個(gè)函數(shù)���。
缺點(diǎn):
2. CORS(跨資源共享)
服務(wù)器在響應(yīng)頭中后端設(shè)置 Access-Control-Allow-Origin: '域名白名單',告訴瀏覽器允許哪個(gè)源進(jìn)行跨域訪(fǎng)問(wèn)?�?梢允蔷唧w的域名�����,也可以是*表示允許所有源����。如下
const http = require('http')
const server = http.createServer((req, res) => { res.writeHead(200, { 'Access-Control-Allow-Origin': '*', // 也可自行設(shè)置指定的域名可以訪(fǎng)問(wèn) // 例如: 'Access-Control-Allow-Origin': 'http://192.168.2.1:5500' }) res.end('hello world');})
server.listen(3000)
還可設(shè)置允許的請(qǐng)求方式和請(qǐng)求頭等。
3.nginx反向代理
前端服務(wù)器和后端服務(wù)器不在同一個(gè)域名下��, 前端服務(wù)器通過(guò)nginx 反向代理來(lái)訪(fǎng)問(wèn)后端服務(wù)器�。
服務(wù)器和服務(wù)器之間的通信不存在跨域,可以開(kāi)一臺(tái)中間服務(wù)器(nginx)����,后端無(wú)需改變。前端把請(qǐng)求發(fā)給nginx , nginx 服務(wù)器把請(qǐng)求轉(zhuǎn)發(fā)給后端的服務(wù)器�,后端的服務(wù)器響應(yīng)給 nginx 服務(wù)器,nginx 服務(wù)器加上響應(yīng)頭以后�����,再返回給前端��,如下;
4. node 中間件代理
原理同nginx 反向代理����,只不過(guò)多寫(xiě)一個(gè)node后端,前端服務(wù)器和后端服務(wù)器不在同一個(gè)域名下���,前端服務(wù)器通過(guò) node 中間件來(lái)訪(fǎng)問(wèn)后端服務(wù)器。
5. websocket
- 傳統(tǒng)的前后端通信是基于http協(xié)議的�����,是單向的����,只能從一端發(fā)到另一端,無(wú)法雙向通信
- websocket 是基于tcp協(xié)議的��,是雙向的��,可以從一端發(fā)送到另一端��,也可以從另一端發(fā)送到一端
- socket協(xié)議一旦建立連接��,就可以一直保持通信狀態(tài)��,不需要每次都建立連接,但是會(huì)更開(kāi)銷(xiāo)性能
// 前端<script> function WebSocketTest(url, params = {}) { return new Promise((resolve, reject) => {
const socket = new WebSocket(url)
// 當(dāng)連接打開(kāi)時(shí)發(fā)送數(shù)據(jù) socket.onopen = () => { socket.send(JSON.stringify(params)) }
// 接收到后端的消息時(shí)打印數(shù)據(jù)并解決Promise socket.onmessage = (event) => { console.log(event.data) resolve(event.data) } }) }
WebSocketTest('ws://localhost:3000', { age: 18 }).then(res => { console.log(res) }) </script>
// 后端
const WebSocket = require('ws');
// 在 3000 端口上建立 WebSocket 伺服器 (隨時(shí)都在線(xiàn)的服務(wù))const ws = new WebSocket.Server({ port: 3000 });
let count = 0
// 監(jiān)聽(tīng)連接ws.on('connection', (obj) => { // console.log(obj); obj.on('message', (msg) => { // 收到客戶(hù)端發(fā)來(lái)的消息 // console.log(msg.toString()); // 客戶(hù)端傳過(guò)來(lái)的數(shù)據(jù) obj.send('收到了')
setInterval(() => { count++ obj.send(count) }, 2000)
})})
6. postMessage
當(dāng)父級(jí)頁(yè)面和iframe頁(yè)面不在同一個(gè)域名下��,他們之間的數(shù)據(jù)傳輸也存在跨域問(wèn)題����,父級(jí)頁(yè)面和iframe頁(yè)面之間可以通過(guò)posMessage來(lái)通信。
<h2>首頁(yè)</h2><iframe id="frame" src="http://127.0.0.1:5500/%E8%B7%A8%E5%9F%9F/postMessage/detail.html"frameborder="0" width="800" height="500"></iframe>
<script> let obj = { name: '阿杰', age: 18 }
document.getElementById('frame').onload = function () { this.contentWindow.postMessage(obj, 'http://127.0.0.1:5500')
window.onmessage = function (e) { // 接收iframe發(fā)送的消息 console.log(e.data); }
} </script>
<h3>詳情頁(yè) --- <span id="title"></span></h3>
<script> const title = document.getElementById("title"); window.onmessage = function (e) { // console.log(e.data); title.innerText = e.data.age; e.source.postMessage("阿杰 20了", e.origin) // 向父級(jí)頁(yè)面發(fā)送消息 } </script>
7.document.domain
通過(guò)設(shè)置document.domain來(lái)允許同一主域名下的跨域通信��,原理同postMessage���,但是谷歌禁止了這種方法
總結(jié)
跨域:是指從一個(gè)域名的網(wǎng)頁(yè)去請(qǐng)求另一個(gè)域名的資源�����。只要協(xié)議�、域名�����、端口有任何一個(gè)不同����,都被當(dāng)作是不同的域?���?缬騿?wèn)題通常由瀏覽器的同源策略引起���,同源策略是為了保證用戶(hù)信息的安全,防止惡意網(wǎng)站竊取數(shù)據(jù)
同源策略:瀏覽器出于安全考慮(數(shù)據(jù)安全���,服務(wù)器安全���,減少 xss,CSRF 攻擊)而制定的一種只有協(xié)議�、域名�、端口號(hào)都相同才能請(qǐng)求數(shù)據(jù)的規(guī)定,非同源請(qǐng)求發(fā)送后�,瀏覽器會(huì)攔截響應(yīng)。
跨域方案:
- jsonp(script標(biāo)簽的src屬性不受同源策略的限制)
- CORS(跨資源共享��,通知瀏覽器哪些域名可以訪(fǎng)問(wèn))
- websocket(socket協(xié)議可以保持長(zhǎng)時(shí)間的連接�����,不受同源的限制���,天生可以跨域)
- postMessage(父級(jí)頁(yè)面和iframe頁(yè)面之間可以通過(guò)posMessage來(lái)通信)
- document.domain(通過(guò)設(shè)置來(lái)允許同一主域名下的跨域通信���,谷歌禁止了)
常見(jiàn)的解決方案有:CORS適用于需要支持多種HTTP方法(如GET���、POST、PUT等)的現(xiàn)代Web應(yīng)用�����,nginx 反向代理適用于前后端分離的項(xiàng)目����,可以在服務(wù)器層面統(tǒng)一處理跨域問(wèn)題。
該文章在 2025/2/21 16:01:37 編輯過(guò)
400 186 1886
