摘要:前端開發(fā)中,跨域使我們經(jīng)常遇到的一個問題,也是面試中經(jīng)常被問到的一些問題��,所以��,這里��,我們做個總結����。同源策略限制了一下行為和無法讀取和對象無法獲取請求發(fā)送不出去常見的跨域場景所謂的同源是指,域名協(xié)議端口均為相同��。
前端開發(fā)中��,跨域使我們經(jīng)常遇到的一個問題�,也是面試中經(jīng)常被問到的一些問題,所以�,這里,我們做個總結����。小小問題,不足擔心
原文地址:YOU-SHOULD-KNOW-JS
什么是跨域
跨域��,是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本����。它是由瀏覽器的同源策略造成的�����,是瀏覽器對JavaScript實施的安全限制����。
同源策略限制了一下行為:
Cookie�����、LocalStorage 和 IndexDB 無法讀取
DOM 和 JS 對象無法獲取
Ajax請求發(fā)送不出去
常見的跨域場景
所謂的同源是指���,域名����、協(xié)議��、端口均為相同��。
http://www.nealyang.cn/index.html 調(diào)用 http://www.nealyang.cn/server.php 非跨域
http://www.nealyang.cn/index.html 調(diào)用 http://www.neal.cn/server.php 跨域,主域不同
http://abc.nealyang.cn/index.html 調(diào)用 http://def.neal.cn/server.php 跨域,子域名不同
http://www.nealyang.cn:8080/index.html 調(diào)用 http://www.nealyang.cn/server.php 跨域,端口不同
https://www.nealyang.cn/index.html 調(diào)用 http://www.nealyang.cn/server.php 跨域,協(xié)議不同
localhost 調(diào)用 127.0.0.1 跨域
跨域的解決辦法
jsonp跨域
jsonp跨域其實也是JavaScript設計模式中的一種代理模式�。在html頁面中通過相應的標簽從不同域名下加載靜態(tài)資源文件是被瀏覽器允許的�,所以我們可以通過這個“犯罪漏洞”來進行跨域�。一般����,我們可以動態(tài)的創(chuàng)建script標簽,再去請求一個帶參網(wǎng)址來實現(xiàn)跨域通信
//原生的實現(xiàn)方式
let script = document.createElement("script");
script.src = "http://www.nealyang.cn/login?username=Nealyang&callback=callback";
document.body.appendChild(script);
function callback(res) {
console.log(res);
}
當然����,jquery也支持jsonp的實現(xiàn)方式
$.ajax({
url:"http://www.nealyang.cn/login",
type:"GET",
dataType:"jsonp",//請求方式為jsonp
jsonpCallback:"callback",
data:{
"username":"Nealyang"
}
})
雖然這種方式非常好用,但是一個最大的缺陷是�,只能夠?qū)崿F(xiàn)get請求
document.domain + iframe 跨域
這種跨域的方式最主要的是要求主域名相同。什么是主域名相同呢�?
假設目前a.nealyang.cn 和 b.nealyang.cn 分別對應指向不同ip的服務器��。
a.nealyang.cn 下有一個test.html文件
html
A頁面
利用 iframe 加載 其他域下的文件(nealyang.cn/1.html), 同時 document.domain 設置成 nealyang.cn �,當 iframe 加載完畢后就可以獲取 nealyang.cn 域下的全局對象,
數(shù)據(jù)請求失敗����,目的沒有達到,自然是還少一步:
html
B頁面
此時在進行刷新瀏覽器���,就會發(fā)現(xiàn)數(shù)據(jù)這次真的是成功了~
window.name + iframe 跨域
window.name屬性可設置或者返回存放窗口名稱的一個字符串��。他的神器之處在于name值在不同頁面或者不同域下加載后依舊存在�����,沒有修改就不會發(fā)生變化��,并且可以存儲非常長的name(2MB)
假設index頁面請求遠端服務器上的數(shù)據(jù)�,我們在該頁面下創(chuàng)建iframe標簽�,該iframe的src指向服務器文件的地址(iframe標簽src可以跨域),服務器文件里設置好window.name的值�����,然后再在index.html里面讀取改iframe中的window.name的值���。完美~
當然���,這樣還是不夠的。
因為規(guī)定如果index.html頁面和和該頁面里的iframe框架的src如果不同源����,則也無法操作框架里的任何東西,所以就取不到iframe框架的name值了�,告訴你我們不是一家的,你也休想得到我這里的數(shù)據(jù)�����。
理想似乎很美好�����,在iframe載入過程中,迅速重置iframe.src的指向����,使之與index.html同源,那么index頁面就能去獲取它的name值了�����!但是現(xiàn)實是殘酷的����,iframe在現(xiàn)實中的表現(xiàn)是一直不停地刷新,
所以如上����,我們就拿到了服務器返回的數(shù)據(jù)����,但是有幾個條件是必不可少的:
iframe標簽的跨域能力
window.names屬性值在文檔刷新后依然存在的能力
location.hash + iframe 跨域
此跨域方法和上面介紹的比較類似����,一樣是動態(tài)插入一個iframe然后設置其src為服務端地址,而服務端同樣輸出一端js代碼�����,也同時通過與子窗口之間的通信來完成數(shù)據(jù)的傳輸�。
關于錨點相信大家都已經(jīng)知道了,其實就是設置錨點����,讓文檔指定的相應的位置。錨點的設置用a標簽�����,然后href指向要跳轉(zhuǎn)到的id,當然�����,前提是你得有個滾動條�,不然也不好滾動嘛是吧。
而location.hash其實就是url的錨點��。比如http://www.nealyang.cn#Nealya...���,在控制臺輸入location.hash就會返回#Nealyang的字段�����。
基礎知識補充完畢��,下面我們來說下如何實現(xiàn)跨域
如果index頁面要獲取遠端服務器的數(shù)據(jù)�����,動態(tài)的插入一個iframe�,將iframe的src執(zhí)行服務器的地址����,這時候的top window 和包裹這個iframe的子窗口是不能通信的��,因為同源策略�,所以改變子窗口的路徑就可以了���,將數(shù)據(jù)當做改變后的路徑的hash值加載路徑上�����,然后就可以通信了。將數(shù)據(jù)加在index頁面地址的hash上����,
補充說明:其實location.hash和window.name都是差不多的�����,都是利用全局對象屬性的方法�,然后這兩種方法和jsonp也是一樣的,就是只能夠?qū)崿F(xiàn)get請求
postMessage跨域
這是由H5提出來的一個炫酷的API��,IE8+��,chrome,ff都已經(jīng)支持實現(xiàn)了這個功能。這個功能也是非常的簡單�����,其中包括接受信息的Message時間��,和發(fā)送信息的postMessage方法��。
發(fā)送信息的postMessage方法是向外界窗口發(fā)送信息
otherWindow.postMessage(message,targetOrigin);
otherWindow指的是目標窗口�����,也就是要給哪一個window發(fā)送消息�,是window.frames屬性的成員或者是window.open方法創(chuàng)建的窗口。
接受信息的message事件
var onmessage = function(event) {
var data = event.data;
var origin = event.origin;
}
if(typeof window.addEventListener != "undefined"){
window.addEventListener("message",onmessage,false);
}else if(typeof window.attachEvent != "undefined"){
window.attachEvent("onmessage", onmessage);
}
舉個栗子
a.html(http://www.nealyang.cn/a.html)
b.html(http://www.neal.cn/b.html)
跨域資源共享 CORS
因為是目前主流的跨域解決方案�����。所以這里多介紹點�����。
簡介
CORS是一個W3C標準�,全稱是"跨域資源共享"(Cross-origin resource sharing)。
CORS需要瀏覽器和服務器同時支持���。目前��,所有瀏覽器都支持該功能���,IE瀏覽器不能低于IE10。IE8+:IE8/9需要使用XDomainRequest對象來支持CORS����。
整個CORS通信過程���,都是瀏覽器自動完成,不需要用戶參與���。對于開發(fā)者來說����,CORS通信與同源的AJAX通信沒有差別�,代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源�,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求�����,但用戶不會有感覺�����。
兩種請求
說起來很搞笑�,分為兩種請求,一種是簡單請求�,另一種是非簡單請求。只要滿足下面條件就是簡單請求
請求方式為HEAD����、POST 或者 GET
http頭信息不超出一下字段:Accept、Accept-Language �、 Content-Language、 Last-Event-ID�、 Content-Type(限于三個值:application/x-www-form-urlencoded�、multipart/form-data、text/plain)
為什么要分為簡單請求和非簡單請求�,因為瀏覽器對這兩種請求方式的處理方式是不同的。
簡單請求
基本流程
對于簡單請求�����,瀏覽器直接發(fā)出CORS請求。具體來說���,就是在頭信息之中��,增加一個Origin字段�。
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0
...
Origin字段用來說明�����,本次請求來自哪個源(協(xié)議 + 域名 + 端口)。服務器根據(jù)這個值����,決定是否同意這次請求。
如果Origin指定的源��,不在許可范圍內(nèi)�����,服務器會返回一個正常的HTTP回應�����。
注意,這種錯誤無法通過狀態(tài)碼識別���,因為HTTP回應的狀態(tài)碼有可能是200。
如果Origin指定的域名在許可范圍內(nèi)�,服務器返回的響應,會多出幾個頭信息字段�。
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
上面的頭信息之中��,有三個與CORS請求相關的字段����,都以Access-Control-開頭
Access-Control-Allow-Origin :該字段是必須的��。它的值要么是請求時Origin字段的值����,要么是一個*,表示接受任意域名的請求
Access-Control-Allow-Credentials: 該字段可選���。它的值是一個布爾值����,表示是否允許發(fā)送Cookie�����。默認情況下�����,Cookie不包括在CORS請求之中。設為true����,即表示服務器明確許可,Cookie可以包含在請求中����,一起發(fā)給服務器。這個值也只能設為true�����,如果服務器不要瀏覽器發(fā)送Cookie�����,刪除該字段即可�。
Access-Control-Expose-Headers:該字段可選。CORS請求時�,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段:Cache-Control、Content-Language�����、Content-Type���、Expires��、Last-Modified�、Pragma��。如果想拿到其他字段����,就必須在Access-Control-Expose-Headers里面指定。
withCredentials 屬性
上面說到��,CORS請求默認不發(fā)送Cookie和HTTP認證信息��。如果要把Cookie發(fā)到服務器����,一方面要服務器同意,指定Access-Control-Allow-Credentials字段����。
另一方面,開發(fā)者必須在AJAX請求中打開withCredentials屬性��。
var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容
// 前端設置是否帶cookie
xhr.withCredentials = true;
xhr.open("post", "http://www.domain2.com:8080/login", true);
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xhr.send("user=admin");
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText);
}
};
// jquery
$.ajax({
...
? ?xhrFields: {
? ? ? ?withCredentials: true // 前端設置是否帶cookie
? ?},
? ?crossDomain: true, // 會讓請求頭中包含跨域的額外信息���,但不會含cookie
...
});
否則����,即使服務器同意發(fā)送Cookie���,瀏覽器也不會發(fā)送����?;蛘?�,服務器要求設置Cookie��,瀏覽器也不會處理����。
需要注意的是�,如果要發(fā)送Cookie��,Access-Control-Allow-Origin就不能設為星號�����,必須指定明確的�����、與請求網(wǎng)頁一致的域名��。同時�����,Cookie依然遵循同源政策,只有用服務器域名設置的Cookie才會上傳�,其他域名的Cookie并不會上傳��,且(跨源)原網(wǎng)頁代碼中的document.cookie也無法讀取服務器域名下的Cookie。
非簡單請求
非簡單請求是那種對服務器有特殊要求的請求���,比如請求方法是PUT或DELETE�,或者Content-Type字段的類型是application/json�。
非簡單請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求���,稱為"預檢"請求(preflight)。
瀏覽器先詢問服務器�����,當前網(wǎng)頁所在的域名是否在服務器的許可名單之中�,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復,瀏覽器才會發(fā)出正式的XMLHttpRequest請求,否則就報錯�。
var url = "http://api.alice.com/cors";
var xhr = new XMLHttpRequest();
xhr.open("PUT", url, true);
xhr.setRequestHeader("X-Custom-Header", "value");
xhr.send();
瀏覽器發(fā)現(xiàn),這是一個非簡單請求�,就自動發(fā)出一個"預檢"請求�����,要求服務器確認可以這樣請求��。下面是這個"預檢"請求的HTTP頭信息�����。
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
"預檢"請求用的請求方法是OPTIONS�����,表示這個請求是用來詢問的����。頭信息里面����,關鍵字段是Origin���,表示請求來自哪個源。
除了Origin字段���,"預檢"請求的頭信息包括兩個特殊字段��。
Access-Control-Request-Method:該字段是必須的���,用來列出瀏覽器的CORS請求會用到哪些HTTP方法,上例是PUT����。
Access-Control-Request-Headers:該字段是一個逗號分隔的字符串,指定瀏覽器CORS請求會額外發(fā)送的頭信息字段��,上例是X-Custom-Header
預檢請求的回應
服務器收到"預檢"請求以后���,檢查了Origin���、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,確認允許跨源請求�����,就可以做出回應
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
上面的HTTP回應中�����,關鍵的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以請求數(shù)據(jù)�。該字段也可以設為星號,表示同意任意跨源請求�����。
如果瀏覽器否定了"預檢"請求�,會返回一個正常的HTTP回應,但是沒有任何CORS相關的頭信息字段�。這時,瀏覽器就會認定�,服務器不同意預檢請求,因此觸發(fā)一個錯誤����,被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲?����?刂婆_會打印出如下的報錯信息�。
服務器回應的其他CORS相關字段如下:
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000
Access-Control-Allow-Methods:該字段必需,它的值是逗號分隔的一個字符串���,表明服務器支持的所有跨域請求的方法���。注意,返回的是所有支持的方法�,而不單是瀏覽器請求的那個方法。這是為了避免多次"預檢"請求���。
Access-Control-Allow-Headers:如果瀏覽器請求包括Access-Control-Request-Headers字段���,則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串��,表明服務器支持的所有頭信息字段����,不限于瀏覽器在"預檢"中請求的字段。
Access-Control-Allow-Credentials: 該字段與簡單請求時的含義相同���。
Access-Control-Max-Age: 該字段可選��,用來指定本次預檢請求的有效期���,單位為秒���。上面結果中,有效期是20天(1728000秒)�,即允許緩存該條回應1728000秒(即20天),在此期間����,不用發(fā)出另一條預檢請求。
瀏覽器正常請求回應
一旦服務器通過了"預檢"請求��,以后每次瀏覽器正常的CORS請求��,就都跟簡單請求一樣�,會有一個Origin頭信息字段。服務器的回應�����,也都會有一個Access-Control-Allow-Origin頭信息字段��。
PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
瀏覽器的正常CORS請求����。上面頭信息的Origin字段是瀏覽器自動添加的。下面是服務器正常的回應。
Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin字段是每次回應都必定包含的
結束語
CORS與JSONP的使用目的相同�����,但是比JSONP更強大��。JSONP只支持GET請求���,CORS支持所有類型的HTTP請求。JSONP的優(yōu)勢在于支持老式瀏覽器���,以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)��。
WebSocket協(xié)議跨域
WebSocket protocol是HTML5一種新的協(xié)議�。它實現(xiàn)了瀏覽器與服務器全雙工通信��,同時允許跨域通訊����,是server push技術的一種很好的實現(xiàn)。
原生WebSocket API使用起來不太方便���,我們使用Socket.io����,它很好地封裝了webSocket接口,提供了更簡單�����、靈活的接口����,也對不支持webSocket的瀏覽器提供了向下兼容。
前端代碼:
user input:
node Server
var http = require("http");
var socket = require("socket.io");
// 啟http服務
var server = http.createServer(function(req, res) {
res.writeHead(200, {
"Content-type": "text/html"
});
res.end();
});
server.listen("8080");
console.log("Server is running at port 8080...");
// 監(jiān)聽socket連接
socket.listen(server).on("connection", function(client) {
// 接收信息
client.on("message", function(msg) {
client.send("hello:" + msg);
console.log("data from client: ---> " + msg);
});
// 斷開處理
client.on("disconnect", function() {
console.log("Client socket has closed.");
});
});
node代理跨域
node中間件實現(xiàn)跨域代理���,是通過啟一個代理服務器��,實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)�,也可以通過設置cookieDomainRewrite參數(shù)修改響應頭中cookie中域名���,實現(xiàn)當前域的cookie寫入���,方便接口登錄認證。
利用node + express + http-proxy-middleware搭建一個proxy服務器
前端代碼
var xhr = new XMLHttpRequest();
// 前端開關:瀏覽器是否讀寫cookie
xhr.withCredentials = true;
// 訪問http-proxy-middleware代理服務器
xhr.open("get", "http://www.domain1.com:3000/login?user=admin", true);
xhr.send();
后端代碼
var express = require("express");
var proxy = require("http-proxy-middleware");
var app = express();
app.use("/", proxy({
// 代理跨域目標接口
target: "http://www.domain2.com:8080",
changeOrigin: true,
// 修改響應頭信息����,實現(xiàn)跨域并允許帶cookie
onProxyRes: function(proxyRes, req, res) {
res.header("Access-Control-Allow-Origin", "http://www.domain1.com");
res.header("Access-Control-Allow-Credentials", "true");
},
// 修改響應信息中的cookie域名
cookieDomainRewrite: "www.domain1.com" // 可以為false�,表示不修改
}));
app.listen(3000);
console.log("Proxy server is listen at port 3000...");
nginx代理跨域
NGINX其實個人沒有怎么玩過�,所以暫且也就不能誤人子弟了,原諒筆者才疏尚淺~ 有機會學習研究再回來補充~~
交流
歡迎加入react技術棧����、前端技術雜談QQ群
前端技術雜談:604953717
參考文檔
http://www.ruanyifeng.com/blog/2016/04/cors.html
