2. 程式人生 > >關於跨域那些事兒

關於跨域那些事兒

阿新 發佈:2018-11-22
server then any 瀏覽器 所有 sub 現在 請求偽造 max

在工作中,難免會遇到跨域的問題,就像你高高興興的帶著老婆吃著火鍋,啊不對,是匆匆忙忙的在搬磚,突然瀏覽器告訴你跨域了,意不意外?

既然遇到了,就只能解決他,平時一頓亂操作,也能解決問題,但一直沒有好好的來總結。

俗話說的好,知己知彼、百戰不殆。我們來看看什麽是跨域?誰在搞事情?

原來是瀏覽器在搞事情,不過,瀏覽器表示它不想背這個鍋:

同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

這是官方的解釋,比較拗口,意思就是,為了網頁更加安全而設計的安全策略,這個同源策略規定:

如果兩個頁面的協議,端口(如果有指定)和域名都相同,則兩個頁面具有相同的源,訪問不受限制;否則則為跨源(跨域),限制訪問。

瀏覽器為什麽要搞個同源策略呢?

這是為了防止CSRF攻擊Cross-site request forgery),中文名稱:跨站請求偽造。誰不怕坐著火車出了城,突然就被麻匪給劫了不是。

既然跨域必須存在,而我們又必須繞不過它,那我們該如何解決呢?

1、JSONP-----需要後端接口配合

利用scriptimg這樣沒有跨域限制的標簽,來發起請求。

第一版的JSONP

 1 <!DOCTYPE html>
 2 <html>
 3   <head>
 4     <meta charset="utf-8">
 5   </head>
 

 6   <body>
 7     <script type=‘text/javascript‘>
 8       // 後端返回直接執行的方法,相當於執行這個方法,由於後端把返回的數據放在方法的參數裏,所以這裏能拿到res。
 9       window.jsonpCb = function (res) {
10         console.log(res)
11       }
12     </script>
13     <script src=‘http://localhost:9871/api/jsonp?msg=helloJsonp&cb=jsonpCb‘ 
 
type=‘text/javascript‘></script>
14   </body>
15 </html>

封裝版:

 1 /**
 2  * JSONP請求工具
 3  * @param url 請求的地址
 4  * @param data 請求的參數
 5  * @returns {Promise<any>}
 6  */
 7 const request = ({url, data}) => {
 8   return new Promise((resolve, reject) => {
 9     // 處理傳參成xx=yy&aa=bb的形式
10     const handleData = (data) => {
11       const keys = Object.keys(data)
12       const keysLen = keys.length
13       return keys.reduce((pre, cur, index) => {
14         const value = data[cur]
15         const flag = index !== keysLen - 1 ? ‘&‘ : ‘‘
16         return `${pre}${cur}=${value}${flag}`
17       }, ‘‘)
18     }
19     // 動態創建script標簽
20     const script = document.createElement(‘script‘)
21     // 接口返回的數據獲取
22     window.jsonpCb = (res) => {
23       document.body.removeChild(script)
24       delete window.jsonpCb
25       resolve(res)
26     }
27     script.src = `${url}?${handleData(data)}&cb=jsonpCb`
28     document.body.appendChild(script)
29   })
30 }
31 // 使用方式
32 request({
33   url: ‘http://localhost:9871/api/jsonp‘,
34   data: {
35     // 傳參
36     msg: ‘helloJsonp‘
37   }
38 }).then(res => {
39   console.log(res)
40 })

2、iframeform配合

因為script標簽加載資源的方式就是GET。所以JSONP只能發GET請求,那麽我們發送POST請求這麽辦呢?

 1 const requestPost = ({url, data}) => {
 2   // 首先創建一個用來發送數據的iframe.
 3   const iframe = document.createElement(‘iframe‘)
 4   iframe.name = ‘iframePost‘
 5   iframe.style.display = ‘none‘
 6   document.body.appendChild(iframe)
 7   const form = document.createElement(‘form‘)
 8   const node = document.createElement(‘input‘)
 9   // 註冊iframe的load事件處理程序,如果你需要在響應返回時執行一些操作的話.
10   iframe.addEventListener(‘load‘, function () {
11     console.log(‘post success‘)
12   })
13 
14   form.action = url
15   // 在指定的iframe中執行form
16   form.target = iframe.name
17   form.method = ‘post‘
18   for (let name in data) {
19     node.name = name
20     node.value = data[name].toString()
21     form.appendChild(node.cloneNode())
22   }
23   // 表單元素需要添加到主文檔中.
24   form.style.display = ‘none‘
25   document.body.appendChild(form)
26   form.submit()
27 
28   // 表單提交後,就可以刪除這個表單,不影響下次的數據發送.
29   document.body.removeChild(form)
30 }
31 // 使用方式
32 requestPost({
33   url: ‘http://localhost:9871/api/iframePost‘,
34   data: {
35     msg: ‘helloIframePost‘
36   }
37 })

3、CORS

CORS是一個W3C標準,全稱是"跨域資源共享"Cross-origin resource sharing)跨域資源共享 CORS 詳解。看名字就知道這是處理跨域問題的標準做法。

CORS需要瀏覽器和服務器同時支持,服務器需做如下設置:

  3.1、Access-Control-Allow-Origin 該字段必填。它的值要麽是請求時Origin字段的具體值,要麽是一個*,表示接受任意域名的請求。例如:

  ctx.set(‘Access-Control-Allow-Origin‘, ‘http://localhost:9099‘)

   3.2、Access-Control-Allow-Credentials
  該字段可選。它的值是一個布爾值,表示是否允許發送Cookie.默認情況下,不發生Cookie,即:false。對服務器有特殊要求的請求,比如請求方法是PUT或DELETE,或者Content-Type字段的類型是application/json,這個值只能設為true。如果服務器不要瀏覽器發送Cookie,刪除該字段即可。例如

ctx.set(‘Access-Control-Allow-Credentials‘, true)

  3.3、Access-Control-Allow-Methods 該字段必填。它的值是逗號分隔的一個具體的字符串或者*,表明服務器支持的所有跨域請求的方法。註意,返回的是所有支持的方法,而不單是瀏覽器請求的那個方法。這是為了避免多次"預檢"請求。例如:

ctx.set(‘Access-Control-Request-Method‘, ‘PUT,POST,GET,DELETE,OPTIONS‘)

   3.4、Access-Control-Expose-Headers 該字段可選。CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必須在Access-Control-Expose-Headers裏面指定。例如:

ctx.set(‘Access-Control-Allow-Headers‘, ‘Origin, X-Requested-With, Content-Type, Accept, t‘)

  3.5、Access-Control-Max-Age
該字段可選,用來指定本次預檢請求的有效期,單位為秒。在有效期間,不用發出另一條預檢請求。

前端:

fetch(`http://localhost:9871/api/cors?msg=helloCors`, {

  // 需要帶上cookie

  credentials: ‘include‘,

  // 這裏添加額外的headers來觸發非簡單請求

  headers: {

    ‘t‘: ‘extra headers‘

  }

}).then(res => {

  console.log(res)

})

4、代理

我們使用Nginx作為我們的代理服務器。Nginx配置

server{
    # 監聽9099端口
    listen 9099;
    # 域名是localhost
    server_name localhost;
    #凡是localhost:9099/api這個樣子的,都轉發到真正的服務端地址http://localhost:9871 
    location ^~ /api {
        proxy_pass http://localhost:9871;
    }    
}

Nginx配置好之後,前端什麽也不用幹,正常請求就行,Nginx會把請求轉發到真正的地址。

現在,跨域對你來說,應該不是事兒了吧,可以開開心心的吃火鍋了。

關於跨域那些事兒

相關推薦

關於那些事兒

server then any 瀏覽器 所有 sub 現在 請求偽造 max 在工作中,難免會遇到跨域的問題,就像你高高興興的帶著老婆吃著火鍋,啊不對,是匆匆忙忙的在搬磚,突然瀏覽器告訴你跨域了,意不意外? 既然遇到了,就只能解決他,平時一頓亂操作,也能解決問題,但一直沒有

cookie那些事兒

一個請求從發出到返回,需要瀏覽器和服務端的協調配合。瀏覽器要把自己的請求引數帶給服務端,服務端校驗引數之後,除了返回資料,也可能會順便把請求是否快取,cookie等資訊告訴瀏覽器。當請求是跨域請求的時候,這個過程還要複雜一些。接下來咱們就看看跨域會有什麼問題,又需要前後端進行怎樣的配合。 ### 普通跨域

雜談——關於“”和“那些

注:本文主要用於自主總結,後期會更新。如果要最全面的,可以參考大神的文章正確面對跨域、別慌 好啦,進入正題。 今天我們來了解一下“跨域”。 究竟什麼是跨域呢?首先我們得先了解一下什麼是域。 一、域是什麼? 在今天很多人都有意識或無意識的跟域這個東西打過交道。如果你在公司裡使用電腦

聊聊那些

瀏覽器同源策略: 協議相同,域名相同,埠相同 瀏覽器同源策略會阻止跨域請求,目的是防止CSRF攻擊(跨域請求偽造) 解決方案: 1. JSONP(需要後端配合) 原理是在請求url上加上callback,callback是請求回撥方法的名字, 然後建立script標籤,sr

CORS——請求那些事兒

lob 有效期 site cati 項目 light 另一個 send 決定 在日常的項目開發時會不可避免的需要進行跨域操作,而在實際進行跨域請求時,經常會遇到類似 No ‘Access-Control-Allow-Origin‘ header is present on

CORS資源共享你該知道的事兒

自身 沒有 對象的使用方法 one 一起 接受 gpm spa eat “嘮嗑之前,一些客套話” CORS跨域資源共享,這個話題大家一定不陌生了,吃久了大轉轉公眾號的深度技術好文,也該吃點兒小米粥溜溜胃裏的縫兒了,今天咱們就再好好屢屢CORS跨域資源共享這個話題,大牛怡情

ajax 有那些優缺點-如何解決問題-ajax過程

(Q1)ajax 有那些優缺點 優點: (1)通過非同步模式,提升了使用者體驗. (2)優化了瀏覽器和伺服器之間的傳輸,減少不必要的資料往返,減少了頻寬佔用. (3)Ajax在客戶端執行,承擔了一部分本來由伺服器承擔的工作,減少了大使用者量下的伺服器負載

Vue如何設定,當年在踩過的那些

最近在學習Vue+element搭建一個後臺管理專案。在實現跨域開發時踩過的那些坑。 1、開發環境下,如何做好跨域配置     首先跨域我們要配置的檔案有:config下的index.js         dev: {             proxyTable:

資源共享CORS詳解

附加 accep 不發送 地址 code 克服 通信 數據 ror 簡介 CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。 它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX

node設置

server node geo pan app chan 開發 proxy 跨域 開發過程中在build/dev-server.js配置相關代碼以跨域app.use(‘/api‘,proxyMiddleware({ target:‘http://m.maizuo.com

問題解決方式(HttpClient安全 &amp; jsonp)

str 輕量 mov fontsize 使用 col utf8 des conn 1 錯誤場景 今天要把項目部署到外網的時候,出現了這種問題, 我把兩個項目放到自己本機的

關於字體

src main 文件的 .so pac http 不同的 外部 href 寫在前面的話:   跨域問題啊…………字體跨域,居然碰到了~~網上搜羅來的答案,有機會的可以試試有沒有效   原文:css加載字體的跨域問題 (轉載) 剛才碰到一個css加載字體跨域問題,記錄

解決瀏覽器的幾種方式

doc cor 求和 對象 跨域 http onf 從服務器 console 1、什麽是跨域問題 在頁面中使用js訪問其他網站的數據時,就會出現跨域問題,比如在網站中使用ajax請求其他網站的天氣、快遞或者其他數據接口時,以及hybrid app中請求數據,

前端幾種方式

div ner dev 修改 ati hash 標簽 nbsp 端口 跨域問題的直接原因是瀏覽器存在同源策略,瀏覽器同源指的是:兩個頁面的協議、端口和主機相同,則兩個頁面具有相同的源。IE下滿足協議、主機相同,就認為是同源。 想象一下,如果沒有同源策略,誰都可以修改你站點

nginx 反向代理解決ajax問題

utf-8 base64 char lac meta god hold time -s ~~寫了段ajax 去請求接口數據的js ,無奈發現有跨域問題。 <html xmlns="http://www.w3.org/1999/xhtml"><head&g

Asp.net Web Api 解決問題

asp oss ros ner div exec space out color using System; using System.Collections.Generic; using System.Linq; using System.Web; using Syst

CSS完美實現iframe高度自適應(支持

真的 高度 org lns nal aid .org bsp 方法 Iframe的強大功能偶就不多說了,它不但被開發人員經常運用,而且黑客們也常常使用它,總之用過的人知道它的強大之處,但是Iframe有個致命的“BUG”就是iframe的高度無法自動適應,這一點讓很多人都頭

解決ajax的方法原理詳解之Cors方法

詳細 不同 htm 渲染 jsonp del 需要 methods href 1、神馬是跨域(Cross Domain) 對於端口和協議的不同,只能通過後臺來解決。 一句話:同一個ip、同一個網絡協議、同一個端口,三者都滿足就是同一個域,否則就是 跨域問題了。而為

Spring mvc 請求

extend ava ping mapping header true delete with ade 創建類 package Le.log; import java.io.IOException; import javax.servlet.FilterChain;im

解決jquery ajax在訪問post請求的時候,ie9以下無效(包括ie9)的問題

jquery src actor div tick 屬性 dex 啟用 logs 最近在做項目的時候遇到一個問題,就是跨域請求ajax的時候ie9以下的瀏覽器不可以訪問,直接執行error裏面的代碼,但是也不報錯,就上網查了查,發現了一個很好用的方法,在這裏記錄一下,也希望