不同源的跨域

跨域问题是我们前端开发中经常会遇到的问题，也是面试中的高频题.

什么原因导致了浏览器报跨域错误

跨域错误:不同源的ajax请求====> 报跨域的错误

浏览器向web服务器发起http请求时 ，如果同时满足以下三个条件时，就会出现跨域问题，从而导致ajax请求失败：

    （1）请求响应双方url不同源。

    双方url：发出请求所在的页面 与 所请求的资源的url

    同源是指：`协议相同`，`域名相同`，`端口相同` 都相同。

    以下就是不同源的：

    从`http://127.0.0.1:3000/message_front/index.html` 请求`http://localhost:8080/getmsg`

    网络中不同源的请求有很多。

    （2）请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源，js文件,css文件等

    （3）浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。**同源策略**是一个重要的安全策略，它限制一个[origin](https://link.juejin.cn?target=https%3A%2F%2Fdeveloper.mozilla.org%2Fzh-CN%2Fdocs%2FGlossary%2FOrigin "https://developer.mozilla.org/zh-CN/docs/Glossary/Origin")的文档或者它加载的脚本如何能与另一个源的资源进行交互。

    注意，错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端，服务器也可以处理请求，只是返回到浏览器端时出错了。

解决思路

1.请求响应双方url不同源

• 服务器代理

2.请求是ajax

• 改发JSONP

JSON with Padding，是一种借助于 script 标签发送跨域请求的技巧。它本质并不是ajax请求，所以没有跨域问题。

原理

-   script的src属性可以请求外部的js文件，这个请求不是ajax，它没有跨域问题。
-   借助 `script` 标签的src请求服务端上的接口。

<script src="http://localhost:3000/get"

• 服务端的接口返回JavaScript 脚本，并附上要返回的数据。

3.浏览器觉得不安全 （后端还是能收到请求的）

• 用postman软件测试

• CORS

  CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出`XMLHttpRequest`请求，从而克服了AJAX只能[同源](https://link.juejin.cn?target=http%3A%2F%2Fwww.ruanyifeng.com%2Fblog%2F2016%2F04%2Fsame-origin-policy.html "http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html")使用的限制。
  
  CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。
  

  使用cors

要点

    1.  它是一个npm包，要单独下载使用 npm 包 `npm i cors`
    1.  当做express中的中间件，注意代码应该放在顶部

var cors = require('cors')
app.use(cors())
复制代码