跨域以及解决方案
是浏览器为了请求安全而引入的基于同源策略的安全特性
当页面和请求的协议、主机名、或端口号任何一个不同时,浏览器判定两者不同源
同源策略
作用:用于限制一个源的文档或者它加载的脚本如何与另一个源的资源进行交互
所谓同源是指” 协议 + 域名 + 端口“三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。
同源策略限制以下几种行为
- Cookie、LocalStorage 和 IndexDB(浏览器数据库) 无法获取
- DOM 和 JS 对象无法获取
- AJAX 请求不能发送
<img>标签
跨源写(links、重定向、表单提交)、跨源资源嵌入(img、video、@font-face、iframe)是被允许的,跨源读操作不被允许
解决方案
跨域资源共享(CORS)
CORS 是 HTTP 的一部分,它允许服务端来指定哪些主机可以从这个服务端访问资源
普通跨域请求:只服务端设置 Access-Control-Allow-Origin即可,前端无须设置,若要带 cookie 请求:前后端都需要设置。
由于同源策略的限制,所读取的 cookie 为跨域请求接口所在域的 cookie,而非当前页
前端设置:
var xhr = new XMLHttpRequest() // IE8/9需用window.XDomainRequest兼容// 前端设置是否带cookiexhr.withCredentials = truexhr.open('post', 'http://www.domain2.com:8080/login', true)xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')xhr.send('user=admin')xhr.onreadystatechange = function () {if (xhr.readyState == 4 && xhr.status == 200) {alert(xhr.responseText)}}
Nodejs 后台示例:
var http = require('http')var server = http.createServer()var qs = require('querystring')server.on('request', function (req, res) {var postData = ''// 数据块接收中req.addListener('data', function (chunk) {postData += chunk})// 数据接收完毕req.addListener('end', function () {postData = qs.parse(postData)// 跨域后台设置res.writeHead(200, {'Access-Control-Allow-Credentials': 'true', // 后端允许发送Cookie'Access-Control-Allow-Origin': 'http://www.domain1.com', // 允许访问的域(协议+域名+端口)/** 此处设置的cookie还是domain2的而非domain1,因为后端也不能跨域写cookie(nginx反向代理可以实现),* 但只要domain2中写入一次cookie认证,后面的跨域接口都能从domain2中获取cookie,从而实现所有的接口都能跨域访问*/'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly', // HttpOnly的作用是让js无法读取cookie})res.write(JSON.stringify(postData))res.end()})})server.listen('8080')console.log('Server is running at port 8080...')
缺点:
- IE 不能低于 10
CORS 需要浏览器和服务器同时支持。
实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信。
浏览器将 CORS 请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
满足简单请求的条件:
- 请求方法是以下三种方法之一:
- HEAD
- GET
- POST
- HTTP 的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值
application/x-www-form-urlencoded、multipart/form-data、text/plain
简单请求
对于简单请求,浏览器直接发出 CORS 请求。具体来说,就是在头信息之中,增加一个Origin字段。Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。如果Origin指定的源,不在许可范围内,服务器会返回一个正常的 HTTP 回应。
浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,这种错误无法通过状态码识别,因为 HTTP 回应的状态码有可能是 200。
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段
Access-Control-Allow-Origin
该字段是必须的,他的值要么是请求时
Origin字段的值,要么是一个*Access-Control-Allow-Credentials
可选,布尔值,表示是否允许发送 cookie。默认情况下,Cookie 不包括在 CORS 请求 之中。设为
true,即表示服务器明确许可,Cookie 可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送 Cookie,删除该字段即可。
withCredentials 属性
我们必须在 AJAX 请求中打开withCredentials属性。否则,即使服务器同意发送 Cookie,浏览器也不会发送。
如果要发送 Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循同源策略,只有用服务器域名设置的 Cookie 才会上传,其他域名的 Cookie 并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的 Cookie。
非简单请求
比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的 CORS 请求,会在正式通信之前,增加一次 HTTP 查询请求,称为“预检”请求(preflight)。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 HTTP 动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
“预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。
除了Origin字段,”预检”请求的头信息包括两个特殊字段:
- Access-Control-Request-Method
该字段是必须的,用来列出浏览器的 CORS 请求会用到哪些 HTTP 方法 - Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器 CORS 请求会额外发送的头信息。
服务器收到”预检”请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
服务器回应的除了 Access-Control-Allow-Origin 字段以外其他 CORS 相关字段如下:
- Access-Control-Allow-Methods
该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求。 - Access-Control-Allow-Headers
如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。 - Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是 20 天(1728000 秒),即允许缓存该条回应 1728000 秒(即 20 天),在此期间,不用发出另一条预检请求。
一旦服务器通过了”预检”请求,以后每次浏览器正常的 CORS 请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。
postMessage 跨域
postmessgae 用途
相比 window.name 是更现代的做法,应该代替它
它可用于解决以下方面的问题:
- 页面和其打开的新窗口的数据传递
- 多窗口之间消息传递
- 页面与嵌套的 iframe 消息传递
- 上面三个场景的跨域数据传递
- WebWorker
- ServiceWorker
a.html:
<iframeid="iframe"src="http://www.domain2.com/b.html"style="display:none;"></iframe><script>var iframe = document.getElementById('iframe')iframe.onload = function () {var data = {name: 'aym',}// 向domain2传送跨域数据iframe.contentWindow.postMessage(JSON.stringify(data), // message'http://www.domain2.com' // 指定窗口的origin属性来指定哪些窗口可以接收到消息事件)}// 接受domain2返回数据window.addEventListener('message',function (e) {alert('data from domain2 ---> ' + e.data)},false)</script>
b.html:
<script>// 接收domain1的数据window.addEventListener('message',function (e) {alert('data from domain1 ---> ' + e.data)var data = JSON.parse(e.data)if (data) {data.number = 16// 处理后再发回domain1window.parent.postMessage(JSON.stringify(data),'http://www.domain1.com')}},false)</script>
通过 jsonp 跨域
通常为了减轻 web 服务器的负载,我们把 js、css,img 等静态资源分离到另一台独立域名的服务器上,在 html 页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许,基于此原理,我们可以通过动态创建 script,再请求一个带参网址实现跨域通信。
<script>var script = document.createElement('script')script.type = 'text/javascript'// 传参一个回调函数名给后端,方便后端返回时执行这个在前端定义的回调函数script.src ='http://www.domain2.com:8080/login?user=admin&callback=handleCallback'document.head.appendChild(script)// 回调执行函数function handleCallback(res) {alert(JSON.stringify(res))}</script>
服务端返回如下(返回时即执行全局函数):
handleCallback({ status: true, user: 'admin' })
后端 node.js 代码示例:
var querystring = require('querystring')var http = require('http')var server = http.createServer()server.on('request', function (req, res) {var params = qs.parse(req.url.split('?')[1])var fn = params.callback// jsonp返回设置res.writeHead(200, { 'Content-Type': 'text/javascript' })res.write(fn + '(' + JSON.stringify(params) + ')')res.end()})server.listen('8080')console.log('Server is running at port 8080...')
🧐 jsonp 缺点:
- 只能实现
GET一种请求。 - 不好调试,调用失败的时候不会返回任何状态码
- 安全性不好,jsonp 返回的 JavaScript 的内容很可能被人控制,那么整个网站都会存在漏洞,于是无法把危险控制在一个域名下,所以在使用 jsonp 的时候必须保证使用 jsonp 的服务是安全可信的
document.domain + iframe 跨域
! 已废除
此方案仅限主域相同,子域不同的跨域应用场景。
父窗口:
<iframe id="iframe" src="http://child.domain.com/b.html"></iframe><script>document.domain = 'domain.com'var user = 'admin'</script>
子窗口:
<script>// 将子域的域名设置为父域的域名document.domain = 'domain.com'// 获取父窗口中变量alert('get js data from parent ---> ' + window.parent.user)</script>
window.name + iframe 跨域
window.name: 窗口的名字
如果我们要从 a 页面访问 c 页面的数据,a c 是不同源的,那么我们可以在 a 中嵌入一个 iframe,src 指向 c,c 中把值放入window.name中,然后在第一次加载的时候将 ifram 的地址改为 b,b 和 a 是同源的,第二次加载的时候就可以通过iframe.contentWindow.name访问到了
特点:
- 每个窗口都有自己的 window.name
- 当一个页面载入多个页面时,共享一个 window.name
- window.name 会一直存在当前窗口中,其实发生了跳转
- window.name 可以存储 2M 的数据,传递的数据会转成 string 类型
- 比 jsonp 安全
比较鸡肋,目前已经不用了
location.hash + iframe
利用 location.hash 进行传值
nginx 代理跨域
通过 nginx 配置一个代理服务器(域名与 domain1 相同,端口不同)做跳板机,反向代理访问 domain2 接口,并且可以顺便修改 cookie 中 domain 信息,方便当前域 cookie 写入,实现跨域登录。
#proxy服务器server {listen 81;server_name www.domain1.com;location / {proxy_pass http://www.domain2.com:8080; #反向代理proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名index index.html index.htm;# 当用webpack-dev-server等中间件代理接口访问nignx时,此时无浏览器参与,故没有同源限制,下面的跨域配置可不启用add_header Access-Control-Allow-Origin http://www.domain1.com; #当前端只跨域不带cookie时,可为*add_header Access-Control-Allow-Credentials true;}}
node 中间件
若有收获,就点个赞吧
0 人点赞
