前端常见跨域解决方案

时间 2019-11-17

标签前端常见解决方案繁體版

原文原文链接

什么是跨域？css

跨域是指的一个域名下的文档或者脚本试图去请求另外一个域名下的资源，这里跨域是广义的。html

广义的跨域前端

1）资源跳转：A连接、重定向、表单提交vue

2）资源嵌入：<link> 、<script> 、<img> 、<frame>等dom标签，还有样式中background：url()、@font-face()等文件外链html5

3）脚本请求：js发起的ajax请求、dom和js对象的跨域操做等node

其实咱们一般所说的跨域是狭义的，是因为浏览器的同源策略限制的一类请求场景。jquery

什么是同源策略？webpack

同源策略/SOP（same origin policy）是一种约定，由netsscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，若是缺乏了同源策略，浏览器很容易受到XSS、CSRF等攻击。所谓同源是指“协议+域名+端口号”三者相同，即使两个不一样的域名指向同一个IP地址，也非同源。nginx

同源策略限制如下几种行为：web

1）cookie、localStorage 和 indexDB没法读取

2）DOM和JS对象没法获取

3）AJAX请求不能发送

常见的跨域场景

跨域解决方案

一、经过jsonp跨域

二、document.domain + iframe跨域

三、location.hash + iframe

四、window.name + iframe跨域

五、postMessage跨域

六、跨域资源共享（cors）

七、nginx代理跨域

八、nodejs中间件代理跨域

九、webSocket协议跨域

1、经过jsonp跨域

一般为了减轻web服务器负载，咱们把js、css、img等静态资源分离到另外一台独立域名的服务器上，在html页面中再经过相应的标签从不一样的域名下加载静态资源，而被浏览器容许，基于此原理，咱们能够经过动态建立script，再请求一个带参网址实现跨域通讯。

一、）原生实现:

服务端返回以下（返回时执行全局函数）

二、）jquery ajax:

$.ajax({
url:'http://www.domain2.com:8080/login',

type:'get',

dataType:'jsonp',//请求方式为

jsonpCallback:'onBack',//自定义回调函数

data:{}

})

三、）vue.js

后端node.js代码示例：

jsonp缺点：只能实现get一种请求

2、document.domain+iframe跨域

此方案仅限主域相同，子域不一样的跨域应用场景。

实现原理：两个页面都经过js强制设置document。domain为基础域，就实现了同域。

一、）父窗口：(http://www.domain.com/a.html)

子窗口：(http://child.domain.com/b.html)

3、location.hash+iframe跨域

实现原理： a欲与b跨域相互通讯，经过中间页c来实现。三个页面，不一样域之间利用iframe的location.hash传值，相同域之间直接js访问来通讯。

具体实现：A域：a.html -> B域：b.html -> A域：c.html，a与b不一样域只能经过hash值单向通讯，b与c也不一样域也只能单向通讯，但c与a同域，因此c可经过parent.parent访问a页面全部对象。

1.）a.html：(http://www.domain1.com/a.html)

2.）b.html：(http://www.domain2.com/b.html)

3.）c.html：(http://www.domain1.com/c.html)

4、window.name + iframe跨域

window.name属性的独特之处：name值在不一样的页面（甚至不一样域名）加载后依旧存在，而且能够支持很是长的 name 值（2MB）。

1.）a.html：(http://www.domain1.com/a.html)

2.）proxy.html：(http://www.domain1.com/proxy....

中间代理页，与a.html同域，内容为空便可。

3.）b.html：(http://www.domain2.com/b.html)

总结：经过iframe的src属性由外域转向本地域，跨域数据即由iframe的window.name从外域传递到本地域。这个就巧妙地绕过了浏览器的跨域访问限制，但同时它又是安全操做。

5、 postMessage跨域

postMessage是HTML5 XMLHttpRequest Level 2中的API，且是为数很少能够跨域操做的window属性之一，它可用于解决如下方面的问题：

a.）页面和其打开的新窗口的数据传递

b.）多窗口之间消息传递

c.）页面与嵌套的iframe消息传递

d.）上面三个场景的跨域数据传递

用法：postMessage(data,origin)方法接受两个参数

data： html5规范支持任意基本类型或可复制的对象，但部分浏览器只支持字符串，因此传参时最好用JSON.stringify()序列化。

origin：协议+主机+端口号，也能够设置为"*"，表示能够传递给任意窗口，若是要指定和当前窗口同源的话设置为"/"。

1.）a.html：(http://www.domain1.com/a.html)

2.）b.html：(http://www.domain2.com/b.html)

6、跨域资源共享（CORS）

普通跨域请求：只服务端设置Access-Control-Allow-Origin便可，前端无须设置，若要带cookie请求：先后端都须要设置。

需注意的是：因为同源策略的限制，所读取的cookie为跨域请求接口所在域的cookie，而非当前页。若是想实现当前页cookie的写入，可参考下文：7、nginx反向代理中设置proxy_cookie_domain 和 8、NodeJs中间件代理中cookieDomainRewrite参数的设置。

目前，全部浏览器都支持该功能(IE8+：IE8/9须要使用XDomainRequest对象来支持CORS）)，CORS也已经成为主流的跨域解决方案。

一、前端设置：

1.）原生ajax

示例代码：

2.）jQuery ajax

3.）vue框架

在vue-resource封装的ajax组件中加入如下代码：

二、服务端设置：

若后端设置成功，前端浏览器控制台则不会出现跨域报错信息，反之，说明没设成功。

1.）Java后台：

2.）Nodejs后台示例：

7、 nginx代理跨域

一、 nginx配置解决iconfont跨域

浏览器跨域访问js、css、img等常规静态资源被同源策略许可，但iconfont字体文件(eot|otf|ttf|woff|svg)例外，此时可在nginx的静态资源服务器中加入如下配置。

二、 nginx反向代理接口跨域

跨域原理：同源策略是浏览器的安全策略，不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议，不会执行JS脚本，不须要同源策略，也就不存在跨越问题。

实现思路：经过nginx配置一个代理服务器（域名与domain1相同，端口不一样）作跳板机，反向代理访问domain2接口，而且能够顺便修改cookie中domain信息，方便当前域cookie写入，实现跨域登陆。

nginx具体配置：

一、）前端代码示例

2.) Nodejs后台示例：

8、 Nodejs中间件代理跨域

node中间件实现跨域代理，原理大体与nginx相同，都是经过启一个代理服务器，实现数据的转发，也能够经过设置cookieDomainRewrite参数修改响应头中cookie中域名，实现当前域的cookie写入，方便接口登陆认证。

一、非vue框架的跨域（2次跨域）

利用node + express + http-proxy-middleware搭建一个proxy服务器。

1.）前端代码示例：

2.）中间件服务器：

3.）Nodejs后台同（六：nginx）

二、 vue框架的跨域（1次跨域）

利用node + webpack + webpack-dev-server代理接口跨域。在开发环境下，因为vue渲染服务和接口代理服务都是webpack-dev-server同一个，因此页面与代理接口之间再也不跨域，无须设置headers跨域信息了。

webpack.config.js部分配置：

9、 WebSocket协议跨域

WebSocket protocol是HTML5一种新的协议。它实现了浏览器与服务器全双工通讯，同时容许跨域通信，是server push技术的一种很好的实现。

原生WebSocket API使用起来不太方便，咱们使用Socket.io，它很好地封装了webSocket接口，提供了更简单、灵活的接口，也对不支持webSocket的浏览器提供了向下兼容。

1.）前端代码：

2.）Nodejs socket后台：

参考文档：http://www.javashuo.com/article/p-gjnaksry-em.html