前端必备跨域知识解决

是丹丹啊
960 阅读4分钟

一、什么是跨域?

浏览器有一个重要的安全策略,称之为「同源策略」

其中,源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为跨域

image.png

二、解决方法

  • 代理,常用
  • CORS,常用
  • JSONP

跨域解决方法1-代理

对于前端开发而言,大部分的跨域问题,都是通过代理解决的

代理适用场景:开发环境发生跨域,但生产环境不发生跨域

因此,只需要在开发环境使用代理解决跨域即可,这种代理又称之为开发代理

image.png 在实际开发中,只需要对开发服务器稍加配置即可完成

// vue 的开发服务器代理配置
// vue.config.js
module.exports = {
  devServer: { // 配置开发服务器
    proxy: { // 配置代理
      "/api": { // 若请求路径以 /api 开头
        target: "http://dev.taobao.com", // 将其转发到 http://dev.taobao.com
      },
    },
  },
};

跨域解决方法2-JSONP

在CORS出现之前,人们想了一种奇妙的办法来实现跨域,这就是JSONP。

要实现JSONP,需要浏览器和服务器来一个天衣无缝的绝妙配合。

JSONP的做法是:当需要跨域请求时,不使用AJAX,转而生成一个script元素去请求服务器,由于浏览器并不阻止script元素的请求,这样请求可以到达服务器。服务器拿到请求后,响应一段JS代码,这段代码实际上是一个函数调用,调用的是客户端预先生成好的函数,并把浏览器需要的数据作为参数传递到函数中,从而间接的把数据传递给客户端

image.png

JSONP有着明显的缺点,即其只能支持GET请求

跨域解决方法3-CORS

概述

CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。

它的总体思路是:如果浏览器要跨域访问服务器的资源,需要获得服务器的允许

针对不同的请求,CORS 规定了三种不同的交互模式,分别是:

  • 简单请求
  • 需要预检的请求
  • 附带身份凭证的请求 这三种模式从上到下层层递进,请求可以做的事越来越多,要求也越来越严格。

简单请求的判定

  1. 请求方法属于下面的一种: get,post,head
  2. 请求头仅包含安全的字段,常见的安全字段如下:

  • Accept

  • Accept-Language

  • Content-Language

  • Content-Type

  • DPR

  • Downlink

  • Save-Data

  • Viewport-Width

  • Width 3.1. 请求头如果包含Content-Type,仅限下面的值之一:

  • text/plain

  • multipart/form-data

  • application/x-www-form-urlencoded

简单请求的交互规范

请求头
    GET /api/news/ HTTP/1.1
    Host: crossdomain.com
    Connection: keep-alive
    ...
    Referer: http://my.com/index.html
    Origin: http://my.com

响应头
    HTTP/1.1 200 OK
    Date: Tue, 21 Apr 2020 08:03:35 GMT
    ...
    Access-Control-Allow-Origin: http://my.com
    ...

    消息体中的数据

image.png

需要预检的请求

简单的请求对服务器的威胁不大,所以允许使用上述的简单交互即可完成。 但是,如果浏览器不认为这是一种简单请求,就会按照下面的流程进行:

  1. 浏览器发送预检请求,询问服务器是否允许
  2. 服务器允许
  3. 浏览器发送真实请求
  4. 服务器完成真实的响应

image.png

附带身份凭证的请求

默认情况下,ajax 的跨域请求并不会附带 cookie,这样一来,某些需要权限的操作就无法进行

不过可以通过简单的配置就可以实现附带 cookie

// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

// fetch api
fetch(url, {
  credentials: 'include',
});

这样一来,该跨域的 ajax 请求就是一个附带身份凭证的请求

当一个请求需要附带 cookie 时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段

而服务器响应时,需要明确告知客户端:服务器允许这样的凭据

告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可

对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。

另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为* 。这就是为什么不推荐使用*的原因

avatar
文章
阅读
粉丝