引言
在 Web 开发中,跨域问题是开发者频繁遇到的拦路虎。浏览器出于安全考虑,通过同源策略限制了不同源之间的资源访问,这为前后端分离的架构带来挑战。本文将系统性解析跨域问题的原理、传统解决方案及现代标准的实现细节,并提供生产环境中的最佳实践。
一、同源策略的底层原理
1.1 同源策略的定义
同源策略是浏览器中最重要的安全机制之一,用于限制不同源之间的交互,防止恶意网站窃取用户数据或发起攻击。它确保了用户的敏感信息(如Cookie、LocalStorage等)不会被其他源的脚本非法访问。 同源策略要求以下三要素完全一致,否则即被视为跨域:
| 当前页面url | 被请求页面 | 是否跨域 | 原因 |
|---|---|---|---|
https://www.baidu.com/ | https://www.baidu.com/news | 否 | 同源(协议、域名、端口相同) |
http://localhost:3000 | http://192.168.3.1:3000 | 跨域 | 域名不同 |
http://localhost:3000 | http://localhost:5000 | 跨域 | 端口不同 |
https://a.com | http://a.com | 跨域 | 协议不同 |
https://www.test.com | https://www.baidu.com | 跨域 | 主域不同(test/baidu) |
https://a.test.com | https://b.test.com | 跨域 | 子域不同(a/b) |
1.2 同源策略到底拦了什么?
| 场景 | 能否访问 | 备注 |
|---|---|---|
| AJAX / Fetch 请求 | 否 | 需 CORS 预检或代理 |
| Cookie / LocalStorage / IndexedDB | 否 | 按源隔离 |
| DOM 访问 | 否 | 拿不到子页面 document |
| 图片、CSS、JS 资源 | ✅ | 标签天然放行,但拿不到内容 |
| WebSocket | ✅ | 协议层面无同源限制 |
可以用一句话总结:同源策略破坏的是“响应数据”,不破坏“请求本身”。 后端服务器依旧能收到请求,只是浏览器把数据扣下了。
二、跨域解决方案
2.1 JSONP —— 传统解决方案
JSONP 利用 <script> 标签不受同源策略影响的特性,实现跨域请求。
前端动态创建 <script> 标签,src指向目标接口,并附加回调函数名参数(如callback=handleResponse)传递给后端来请求资源。前端提前定义好以参数为名的函数体,来获取响应数据。后端将该参数处理成函数调用的写法并传入要返回的数据,例如:handleResponse({data: 'Hello'}) 。回调函数执行,解析响应数据。
示例代码(前端):
function handleData(res) {
console.log(res);
}
const script = document.createElement('script');
script.src = 'https://api.xxx.com/data?callback=handleData';
document.body.appendChild(script);
缺陷:
- 仅支持 GET 请求:无法处理 POST/PUT 等方法,且参数需附加在 URL 中。
- 依赖后端支持:后端需预设对 callback 参数的处理逻辑。
2.2 CORS(官方标准,生产首选)
CORS 全称是“跨域资源共享”。它允许浏览器向不同源的服务器,发出 XMLHttpRequest 请求。
CORS 通过预检请求(Preflight) 和响应头配置,实现安全的跨域通信。
后端设置响应头,告诉浏览器“我允许这个网站访问我的资源”。
| 响应头 | 作用 |
|---|---|
| Access-Control-Allow-Origin | 允许访问的源(可设为具体域名或 * ,但 * 不兼容其他安全头) |
| Access-Control-Allow-Methods | 允许的 HTTP 方法(如GET, POST, PUT) |
| Access-Control-Allow-Headers | 允许自定义的请求头 |
| Access-Control-Allow-Credentials | 是否允许携带凭证(Cookie等,默认false) |
有一些请求对服务器有着特殊的要求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的 CORS 请求,会在正式通信之前,增加一次 HTTP 查询请求 ( OPTIONS 请求方法) ,称为 “预检”请求。其作用在于,确认当前网页所在的域名是否在服务器的许可名单中,明确可使用的 HTTP 请求方法和头信息字段。只有在这个请求返回成功的情况下,浏览器才会发出正式的请求。
后端响应示例:
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', 'https://client.example.com'); // 允许的源
res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
res.header('Access-Control-Allow-Credentials', 'true'); // 允许携带凭证
if (req.method === 'OPTIONS') {
res.sendStatus(200); // 预检请求直接返回成功
} else {
next();
}
});
2.3 Nginx 反向代理
Nginx 实现原理类似于 Node 中间件代理,需要搭建一个中转 nginx 服务器,用于转发请求。即利用 nginx 反向代理功能,将请求转发到后端服务器,后端服务器收到请求后,将响应返回给 nginx,nginx 再将响应返回给前端浏览器。它是最简单的跨域方式。只需要修改 nginx 的配置即可解决跨域问题,支持所有浏览器,支持 session ,不需要修改任何代码,并且不会影响服务器性能。
2.4 WebSocket —— 实时通信
WebSocket 是一种基于 TCP 的双向通信协议,允许客户端和服务器之间进行实时、全双工通信。
首先启动一个 HTTP 服务器,等待客户端发起连接请求。当客户端请求 WebSocket 连接时,服务器通过 HTTP 101状态码切换协议,升级为 WebSocket。一旦协议升级成功,服务器和客户端就可以通过 WebSocket 进行通信。双方通过特定格式的数据帧进行消息的发送与接收。
2.5. postMessage(iframe 场景)
当一个页面通过 iframe 标签内嵌了一个二级页面,且一级页面和二级页面要进行通信时,默认是跨域的。利用 window.postMessage() 方法实现跨域通信。postMessage() 方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
otherWindow.postMessage(message, targetOrigin,[transfer]);
- message: 将要发送到其他 window 的数据。
- targetOrigin: 通过窗口的 origin 属性来指定哪些窗口能接收到消息事件,其值可以是字符串
*(表示无限制)或者一个 URL。在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配 targetOrigin 提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会被发送。 - transfer(可选):是一串和 message 同时传递的 Transferable 对象。这些对象的所有权将被转移给消息的接收方,而发送一方将不再保有所有权。
2.6 document.domain
该方法只适合子域相同,主域不同的情况,在两个页面都设置 document.domain='子域'。
比如 a.test.com 和 b.test.com 适用于该方式,只需要给页面添加 document.domain ='test.com',表示二级域名都相同就可以实现跨域。
两个页面都通过 js 强制设置 document.domain 为基础主域,就实现了同域。
注意:自Chrome 101版本起,该功能已被废弃,设置操作将导致属性变为可读属性且不再生效。
