关于跨域你需要知道的一些事

什么是跨域?

在了解跨域之前,我们需要了解浏览器一个非常重要的安全策略——同源策略(Same Origin Policy)。

所谓同源策略,是指浏览器只允许 JavaScript 读取相同【协议、域名、端口】下的数据以保证用户的信息安全,防止恶意网站窃取数据。其限制的内容主要包括:Cookie、LocalStorage 和 IndexDB 中数据的读取;AJAX 请求的发送;DOM 元素的获取等。该安全策略 1995 年由网景公司(Netscape)提出。

跨域即非同源策略请求,是想要访问不同【协议、域名、端口】下的数据。就好像显示生活中你想要的获取别人家银行卡密码,这显然是不应当被允许的。所以说,应当尽可能地避免允许跨域请求。

为什么要跨域?

虽然我们希望尽可能地避免跨域请求,但是面对一些实际的场景又不得不跨域请求。比如:

  • 前后端分离开发,开发过程中后端与前端网络地址不同
  • 实际生产环境中,有必要将前后端分别部署到多个服务器上(大型项目考虑安全及性能问题可能会将数据服务器、网站服务器、文件服务器分离)
  • 项目中需要请求一些第三方 API 服务,比如一些图文识别、语音识别、人脸识别、天气预报、在线支付等

如何跨域?

常见的跨域资源包括 JSONP 或者 CORS 等,下面分别简单说明一下。
注意:所有的跨域都需要在服务器端做一些设置

1.JSONP 跨域

一些带 src 或 href 属性的 HTML 标签可以不受同源策略限制,比如:script、img、link、iframe 等。JSONP 即是通过动态创建 script 标签,引入外部 JavaScript 文件实现跨域的。与其说是一种技术,JSONP 更像是一个 BUG。 值得注意的是 JSONP 仅支持 GET 请求。
原生 JavaScript 实现JSONP

服务器代码
使用基于 nodejs 的 express 搭建的服务器,注意 handle 处理函数

// 原生 JS 发起 JSONP
app.get('/jsonp-server', (request, response)=>{
    // 原始数据
    const data = {
        name: '蝈蝈要安静',
        url: 'https://blog.quietguoguo.com'
    }
    let json_str = JSON.stringify(data)
    // 设置响应内容
    response.send(`handle(${json_str})`);
})

客户端代码

const btns = document.getElementsByTagName('button');
const result = document.getElementsByClassName('result')[0];

/** 原始 JavaScript 实现 JSONP */
// 1.声明 handle 函数 —— 服务器端定义的处理函数名
function handle(data){
    console.log(data)
    result.innerText = data.name;
}
// 按钮点击事件
btns[0].onclick = function(){
    // 2.创建 script 标签
    const scriptTag = document.createElement('script');
    // 3.设置 script 标签的属性
    scriptTag.src = "http://127.0.0.1:3000/jsonp-server";
    scriptTag.id = "js-jsonp";
    // 4.添加 script 标签到文档中
    document.body.appendChild(scriptTag);
    // 5.移除 script 标签,保持 DOM 整洁
    document.body.removeChild(scriptTag);
}

jQuery 实现JSONP
上面原生方法中需要服务器提供一个具体名称的处理函数(比如这里的 handle),这样不可避免的会增大开发过程中前后端的沟通成本,为此我们考虑可以由前端传递一个函数名给后端,后端根据传递的函数名动态生成处理函数名会更方便。jQuery 中就封装了这么一个方法实现 JSONP 请求。
jQuery 通过 JSONP 发起跨域请求的时候,需要在请求地址后带上 ?callback=functionName 这么一个参数,functionName 为告诉后端前端处理数据的函数,后端动态创建此函数名为处理函数即可。

服务端代码
使用基于 nodejs 的 express 搭建的服务器,注意动态生成的处理函数

// jQuery 发起 JSONP
app.get('/jquery-server', (request, response)=>{
    // 原始数据
    const data = {
        name: 'JQuery 发送 JSONP',
        site: '蝈蝈要安静',
        url: 'https://blog.quietguoguo.com'
    }
    let json_str = JSON.stringify(data);
    // 获取处理函数名
    let handle = request.query.callback;    // 前端传递过来的处理函数名
    // 设置响应内容
    response.send( `${handle}(${json_str})` );
})

客户端代码

/** jQuery 实现跨域 */
$('button').eq(1).click(() => {
    $.ajax({
        url: 'http://127.0.0.1:3000/jquery-server',
        method: 'GET',
        dataType: 'jsonp',    //  当前发起的是一个 JSONP 请求
        jsonpCallback: 'callbackName',    // 指定处理函数名,可选
        success: (data) => {
            console.log(data)
            $('.result').eq(0).html(data.name)
        }
    })
})

2.CORS 跨域

跨源资源共享 (Cross Origin Resource Sharing) 是一种基于 HTTP 头的机制,它允许服务器标示除了同源请求以外的其它请求。相比于 JSONP 只能使用 GET 请求,CORS 可以自定义允许的请求。CORS 的配置项包括:

  • Access-Control-Allow-Origin :设置允许通过的请求源【协议、域名、端口】(只能写一个源,不太好用)
  • Access-Control-Allow-Methods :设置允许的请求方式【GET、POST、OPTION、HEAD、PUT、DELETE、TRACE、CONNECT】
  • Access-Control-Allow-Credentials : 设置是否允许证书验证【true 或 false】
  • Access-Control-Max-Age :设置允许预检请求的最大超时时间,单位:秒(s)
  • Access-Control-Allow-Headers :设置允许的请求头信息【Content-Type,Authorization…】
  • Access-Control-Expose-Headers : 设置允许公开的请求头信息【Content-Type,Authorization…】
  • Access-Control-Request-Headers :设置请求预检时让服务器知道哪些头信息将在正式请求时被使用【Content-Type,Authorization…】
  • Access-Control-Request-Methods :设置请求预检时让服务器知道哪些方法将在正式请求时被使用【GET、POST、OPTION、HEAD、PUT、DELETE、TRACE、CONNECT】

服务端代码
使用基于 nodejs 的 express 搭建的服务器,注意 CORS 相关设置

// CORS 发起 JSONP
app.all('/cors-server', (request, response)=>{
    // 原始数据
    const data = {
        name: 'CORS 允许跨域请求',
        site: '蝈蝈要安静',
        url: 'https://blog.quietguoguo.com'
    };
    // CORS 相关设置
    response.setHeader("Access-Control-Allow-Origin", "http://127.0.0.1:5500");    // 允许 http://127.0.0.1:5500 的跨域请求,该地址为我用 VSCode 的 Live Server 临时生成的
    response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, Content-Type");   // 允许预检的请求头信息
    response.setHeader('Access-Control-Allow-Methods', 'GET, POST');    // 允许的请求方式
    response.setHeader('Access-Control-Allow-Credentials', true);      // 允许证书验证
    // 发送响应内容
    response.send( data );
})

客户端代码

/** CORS 实现跨域 */
btns[2].onclick = function(){
    const xhr =new XMLHttpRequest();
    xhr.open('GET', 'http://127.0.0.1:3000/cors-server')
    xhr.send();
    xhr.onreadystatechange = function(){
        if(xhr.readyState === 4){
            if(xhr.status >= 200 && xhr.status < 300){
                const data =JSON.parse( xhr.response )
                console.log( data )
                result.innerText = data.name;
            }
        }
    }
}

前端代码与正常请求代码一样即可。

3.HTTP 代理服务器跨域

服务器与服务器之间不存在跨域问题。通过设置本地服务器去访问目标服务器,然后本地服务器返回数据就不存在跨域问题。WebpPack 中提供 devServer 参数用于配置开发服务器,其中有个 proxy 配置项可用于配置代理服务器,实现开发阶段的跨域需求。

webpack.config.js 配置
注意,这里 WebPack 会自动将 /proxy-server 下的请求信息,自动代理到 http://127.0.0.1:3000 源下。更多配置可参考WebPack devServer

// 配置代理服务器解决跨域问题
devServer: {
    port: 3001,
    proxy: {
        '/proxy-server': {
            target: 'http://127.0.0.1:3000/',
            changeOrigin: true
        }
    },
}

请求代码

const btns = document.getElementsByTagName('button');
const result = document.getElementsByClassName('result')[0];
/** WebPack 代理服务器解决跨域 */
btns[0].onclick = function(){
    const xhr =new XMLHttpRequest();
    xhr.open('GET', '/proxy-server')
    xhr.send();
    xhr.onreadystatechange = function(){
        if(xhr.readyState === 4){
            if(xhr.status >= 200 && xhr.status < 300){
                const data = JSON.parse( xhr.response )
                console.log( data )
                result.innerText = data.name;
            }
        }
    }
}

请求时正常请求即可,不过需要注意的是,这只适合开发阶段的跨域需求。

4.Nginx 反向代理

使用 Nginx 反向代理将 www.a.com/apis/ 的请求代理到 www.b.com 的源下

# 代理服务器
server {
    listen       80;
    server_name  www.a.com;
    # 匹配以/apis/开头的请求
    location ^~ /apis/ {
        proxy_pass http://www.b.com/;  #注意域名后有一个/
        add_header Access-Control-Allow-Origin www.b.com;
    }
}

5.iframe + postMessage 跨域

该方法使用 iframe 标签及 postMessage 接口实现了 Window 对象之间的跨域通信。

B页面(服务端)核心代码

// 监听A页面发来的消息
window.onmessage = function(event) {
    console.log(event)
    event.source.postMessage("B页面(服务端)返回给A页面(客户端)的消息", event.origin)
}

A页面(客户端)核心代码

const btns = document.getElementsByTagName('button');
const result = document.getElementsByClassName('result')[0];

btns[0].onclick = function(){
    const iframeA =document.getElementById("iframeA")
    let targetOrigin = 'http://127.0.0.1:3003';
    iframeA.contentWindow.postMessage('A页面(客户端)向B页面(服务端)发送消息', targetOrigin);
    // 监听B页面发来的消息
    window.onmessage = function(event) {
        console.log(event)
        result.innerHTML = event.data
    }
}

更多 postMessage 接口信息参考:postMessage
其他通过 iframe 标签实现跨域的方式有:

  • iframe + document.domain 跨域
  • iframe + window.name 跨域
  • iframe + location.hash 跨域

各有优缺点,基本上不会用到,此处略过。

6.WebSocket 跨域

WebSocket 是基于 TCP 的一种新的网络通信协议,它实现了服务器与浏览器间的全双工通信(允许服务器主动发送信息给客户端)。从 HTML5 开始,RFC6455 定义了它的通信标准。WebSocket 对象作为一个构造函数,在使用前需要将其实例化:

var Socket = new WebSocket(url, [protocol] );
  • url :必填,请求的地址
  • protocol :可选,可接受的子协议

属性

  • readyState :只读,连接状态(0-未连接;1-已连接,可通信;2-正在关闭;3-已经关闭)
  • bufferedAmount :只读,已被 send 放入队列中等待传输,但还没有发出的 UTF-8 文本字节数

事件

  • onopen :连接建立时触发
  • onmessage :客户端接收服务端数据时触发
  • onerror :通信发生错误时触发
  • onclose :连接关闭时触发

方法

  • send() :使用连接发送数据
  • close() :关闭连接

服务器代码
这里服务器端使用的 express-ws 建立的 WebSocket 链接

// WebSocket 
app.ws('/websocket-server', function(ws, request) {
    console.log('WebSocket 已连接');
    // 原始数据
    const data = {
        name: 'WebSocket 发送跨域消息',
        site: '蝈蝈要安静',
        url: 'https://blog.quietguoguo.com'
    };
    let json_str = JSON.stringify(data);
    ws.on('message', function(msg) {
        ws.send(json_str);
    });
});

客户端代码

const result = document.getElementsByClassName('result')[0];
const btns = document.getElementsByTagName('button');
const ipt = document.getElementById('input')

var ws = new WebSocket('ws://127.0.0.1:3000/websocket-server');

ws.onopen = function (event) {
    console.log(event)
    console.log('WebSocket 服务已连接')	
};

ws.onmessage = function (event) {
    if(ws.readyState === 1){
        console.log(event)
        console.log('客户端已接收服务器数据')
        let msg = JSON.parse(event.data);
        console.log(msg)
        result.innerHTML = msg.name
    }
};

ws.onerror = function (event) {
    console.log(event)
    console.log('通信发生错误')
};

ws.onclose = function (event) {
    console.log(event)
    console.log('通信已关闭')
};

/** WebSocket 实现跨域 */
btns[0].onclick = function(){
    ws.send(input.value)
}
btns[1].onclick = function(){
    ws.close()
}

更多 WebSocket 内容参考:WebSocket

四月 14

历史上的今天

未经允许不得转载

文章标题:子不语 » 关于跨域你需要知道的一些事

原文链接:https://zibuyu.life/4215.html

发布信息:文章由【蝈蝈要安静】于<2021-04-14>发布于【HTML/CSS/JS】分类下

相关标签:|||||

相关推荐

评论 抢沙发

  • 昵称(必填)
  • 邮箱(必填)
  • QQ(选填)
  • 网址(选填)