协议、域名、端口,这3者只要有1个不同,就会导致跨域。
URL由协议、域名、端口、路径组成。如果2个URL的协议、域名、端口都相同,则表示它们同源。反之,只要协议、域名、端口有任何一个不同,就是跨域。
浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说,浏览器禁止的是来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。
比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。
浏览器中有哪些不受同源限制:script、img、iframe、link这些包含src属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
跨域:指一个域的网页去请求另一个域的资源。比如从www.baidu.com/页面去请求http:/…
跨域技术-JSONP:
JSONP是什么?
上面提到的包含src属性的script标签可以加载跨域资源。JSONP就是利用script标签的跨域能力实现跨域数据的访问。
解决跨域问题常见的方案原理:
- JSONP:利用script标签可跨域的特点,在跨域脚本中可以直接回调当前脚本的函数
- 使用代理服务器 代理服务器的原理:使用和客户端同源的代理服务器连接,然后代理服务器再和服务器连接。因为服务器之间不存在跨域问题。如下图所示:
代理服务器开启的方法:
①niginx开启代理服务器
②借助vue-cli开启代理服务器
在vue.config.js文件中,设置:
devServer: {
// proxy设置为和目标服务器地址一样,上图中的服务器5000
proxy: 'http://localhost:5000'
}
注意:axios写请求的时候,请求的是代理服务器的地址,即:
如果请求代理服务器,可以拿到数据,则不会请求真正的服务器5000
- CORS:服务器设置HTTP响应头中Access-Control-Allow-Origin值,解除跨域限制
vue中解决跨域问题:
方法1:后台更改header
header(‘Access-Control-Allow-Origin:*’); //允许所有来源访问。 header(‘Access-Control-Allow-Method:POST,GET’) //允许访问的方式
方法2:打开config/index.js,在proxyTable中填写以下代码
vue脚手架配置代理
方法一
在vue.config.js中添加如下配置:
devServer:{
proxy:"http://localhost:5000"
}
说明:
- 优点:配置简单,请求资源时直接发给前端(8080)即可。
- 缺点:不能配置多个代理,不能灵活的控制请求是否走代理。
- 工作方式:若按照上述配置代理,当请求了前端不存在的资源时,那么该请求会转发给服务器 (优先匹配前端资源)
方法二
编写vue.config.js配置具体代理规则:
module.exports = {
devServer: {
proxy: {
'/api1': {// 匹配所有以 '/api1'开头的请求路径
target: 'http://localhost:5000',// 代理目标的基础路径
changeOrigin: true,
pathRewrite: {'^/api1': ''}
},
'/api2': {// 匹配所有以 '/api2'开头的请求路径
target: 'http://localhost:5001',// 代理目标的基础路径
changeOrigin: true,
pathRewrite: {'^/api2': ''}
}
}
}
}
/*
changeOrigin设置为true时,服务器收到的请求头中的host为:localhost:5000
changeOrigin设置为false时,服务器收到的请求头中的host为:localhost:8080
changeOrigin默认值为true
*/
说明:
- 优点:可以配置多个代理,且可以灵活的控制请求是否走代理。
- 缺点:配置略微繁琐,请求资源时必须加前缀。
