You don't know cross-origin
Why
为何会存在跨域问题
- 同源策略
因为出于安全考虑,浏览器规定JavaScript不能操做其余域下的页面DOM,不能接受其余域下的xhr请求(不仅是js,引用非同域下的字体文件,还有canvas引用非同域下的图片,也被同源策略所约束)
只要协议、域名、端口有一者不一样,就被视为非同域。css
How
如何解决
要解决跨域问题,就要绕过浏览器对js的限制,另辟蹊径html
- JSONP
这是最简单,也是最流行的跨域解决方案,它利用script标签不受同源策略的影响,解决跨域,须要后台配合,返回特殊格式的数据前端
前端git
<script>
function JSONP(link) {
let script=document.createElement("script");
script.src=link;
document.body.appendChild(script);
}
function getUser(data) {
console.log(data);// todo
}
const API_URL_USER='http://cache.video.iqiyi.com/jp/avlist/202861101/1/?callback=getUser'; // 这里以爱奇艺的接口为例(来源网络,侵删)
JSONP(API_URL_USER);
</script>
后端github
// Express(Nodejs)
// mock data
const USERS=[
{name:"Tom",age:23},
{name:"Jack",age:23}
];
app.get("/user",function (req,res) {
let cbName=req.query["callback"];
// 这里作一个容错处理
res.send(`
try{
${cbName}(${JSON.stringify(USRES)});
}catch(ex) {
console.error("The data is invalid");
}
`);
});
- CORS (cross-origin resource sharing)
跨域资源共享,是W3C的一个标准,它容许浏览器发送跨域服务器的请求,CORS须要浏览器和服务器同时支持json
后端canvas
简单请求和非简单请求详情,请阅读阮一峰老师的博文,这里再也不敖述segmentfault
app.use(function (req,res,next){
res.header('Access-Control-Allow-Origin', 'http://localhost:6666'); // 容许跨域的白名单,通常不建议使用 * 号
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE'); // 容许请求的方法,非简单请求,会进行预检
res.header('Access-Control-Allow-Headers', 'Content-Type'); // 容许请求携带的头信息,非简单请求,会进行预检
res.header('Access-Control-Allow-Credentials','true'); // 容许发送cookie,这里前端xhr也须要一块儿配置 `xhr.withCredentials=true`
next();
});
- 代理
只要是在与你同域下的服务器,新建一个代理(服务端不存在同源策略),将你的跨域请求所有代理转发后端
后端api
const proxy=require("http-proxy-middleware"); // 这里使用这个中间件完成代理
app.use('/api', proxy("http://b.com")); // http://a.com/api -> http://b.com/api
- window.name+iframe
MDN里解释道它是获取/设置窗口的名称,由于的它在不一样页面甚至域名加载后值都不会改变,该属性也被用于做为 JSONP 的一个更安全的备选来提供跨域通讯(cross-domain messaging)
前端
<!--http://a.com/page1.html-->
<script>
function request(url,callback) {
let iframe=document.createElement("iframe");
let isFirst=true;
iframe.style.display="none";
iframe.addEventListener("load",function () {
if (isFirst) {
isFirst=false; // 防止iframe循环加载
iframe.src="http://a.com/page2.html";
callback && callback(iframe.contentWindow.name);
iframe.remove();
}
});
iframe.src=url;
}
requeset("http://b.com/user",function (data) {
console.log(data); // todo
});
</script>
后端
// Express(Nodejs)
// mock data
const USERS=[
{name:"Tom",age:23},
{name:"Jack",age:23}
];
app.get("/user",function (req,res) {
res.send(`
<script>
;window.name=${JSON.stringify(USERS)};
</script>
`);
});
- document.domian
这个使用状况有限,例如
http://a.c.com
http://b.c.com
主域相同时,分别设置他们页面的document.domain="c.com";
- locaction.hash+iframe
嵌套两层iframe,达到第一层与第三层同域,就能够互相通讯了
<!--http://a.com/page1.html-->
<script>
let iframe=document.createElement("iframe");
iframe.style.display="none";
iframe.src="http://b.com/user.html";
window.addEventListener("hashchange",function () {
console.log(location.hash.slice(1)); // todo
});
</script>
<!--http://b.com/user.html-->
<script>
let iframe=document.createElement("iframe");
iframe.style.display="none";
function getUserData() {
fetch("http://b.com/user")
.then(res=>{
let data=res.json();
iframe.src=`http://a.com/page2.html#${data}`;
});
}
getUserData();
window.addEventListener("hashchange",function () {
getUserData();
});
</script>
<script>
top.location.hash=window.location.hash;
</script>
- 图片ping
这个只能发出去请求,没法获取到服务器的响应,经常用于网站流量统计
let img=new Image();
img.addEventListener("load",function () {
console.log("Send success"); // todo
});
img.src="http://site.c.com/a.gif?count=666";
- postMessage+iframe
<!-- http://a.com -->
<button id="sendBtn">从B接口获取用户数据</button>
<iframe src="http://b.com" id="ifr"></iframe>
<script>
window.addEventListener("message",function({detail,origin}){
if (origin==="http://b.com") { // 最好判断下消息来源
if (detail.type==="set-user") {
console.log(detail.data); // todo
}
}
});
sendBtn.addEventListener("click",function () {
ifr.contentWindow.postMessage({
type:"get-user",
},"http://b.com");
});
</script>
<!-- http://b.com -->
<script>
window.addEventListener("messagae",function({detail,origin}){
if (origin==="http://a.com") { // 最好判断下消息来源
if (detail.type==="get-user") {
fetch("http://b.com/user")
.then(res=>{
top.contentWindow.postMessage({
type:"set-user",
data:res.json(), // 假设接口返回的是json格式的数据
},"http://a.com");
})
}
}
});
</script>
- postMessage+form+iframe
这个须要后台配合返回特殊格式的数据,TL,DR 能够看这个demo
- WebSocket
WebSocket是一种通讯协议,该协议不实行同源政策,
注意须要浏览器和服务器都支持的状况下
<script src="//cdn.bootcss.com/socket.io/1.7.2/socket.io.min.js"></script>
<script>
var io = io.connect('http://b.com');
io.on('data', function (data) {
console.log(data); // 接受来自服务器的消息
});
</script>
后端
// Nodejs
const server = require('http').createServer();
const io = require('socket.io')(server);
io.on('connection', function (client) {
client.emit('data', 'This message from "http://b.com"');
});
Summary
- 目前我的在工做中遇到的解决方法就是这些,固然还有许多其余的方法,你看,其实跨域并不难吧 ^_^
- js经过xhr发的跨域请求,虽然得不到响应,可是能够发送出去,其实若是是单向通讯的话,也能够,好比文章阅读统计,网站流量统计
Reference
相关文章
- 1. You Dont Know JS 中文版
- 2. You-Dont-Know-JS - 词法做用域
- 3. You-Dont-Know-JS 疑难汇总
- 4. You Probably Dont Need Derived State
- 5. YOLO,you know?
- 6. You know, for search
- 7. You don't know js
- 8. So, you think you know JavaScript?
- 9. awesome web you should know
- 10. You need to know curry
- 更多相关文章...
- • XSL-FO 与 XSLT - XSL-FO 教程
- • ionic 对话框 - ionic 教程
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问
欢迎关注本站公众号,获取更多信息
