如何解決跨域問題?首先我們需要知道什么是跨域,跨域指的是瀏覽器不能執行其它網站的腳本,它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript 施加的安全限制。
1、同源策略
根據百度百科 同源策略它是由 Netscape 提出的一個安全策略,它是瀏覽器最核心也是最基本的安全功能,如果缺少同源策略,則瀏覽器的正常功能可能都會受到影響,現在所有支持JavaScript的瀏覽器都會使用這個策略。
所謂同源指的是:
協議、域名、端口號都相同,只要有一個不相同,那么都是非同源。
瀏覽器在執行腳本的時候,都會檢查這個腳本屬於哪個頁面,即檢查是否同源,只有同源的腳本才會被執行;而非同源的腳本在請求數據的時候,瀏覽器會報一個異常,提示拒絕訪問。
①、http://www.123.com/index.html 調用 http://www.123.com/welcome.jsp 協議、域名、端口號都相同,同源。
②、https://www.123.com/index.html 調用 http://www.123.com/welcome.jsp 協議不同,非同源。
③、http://www.123.com:8080/index.html 調用 http://www.123.com:8081/welcome.jsp 端口不同,非同源。
④、http://www.123.com/index.html 調用 http://www.456.com/welcome.jsp 域名不同,非同源。
⑤、http://localhost:8080/index.html 調用 http://127.0.0.1:8080/welcom.jsp 雖然localhost等同於 127.0.0.1 但是也是非同源的。
同源策略限制的情況:
1、Cookie、LocalStorage 和 IndexDB 無法讀取
2、DOM 和 Js對象無法獲得
3、AJAX 請求不能發送
注意:對於像 img、iframe、script 等標簽的 src 屬性是特例,它們是可以訪問非同源網站的資源的。
2、跨域實例演示
我們創建了兩個 web 項目JavaWeb01 和 JavaWeb02 分別部署在tomcat1和Tomcat2上上,這兩個 Tomcat 的端口號設置是不一樣的,一個是 8080,一個是8081,所以這兩個項目構成了非同源。那么我們從客戶端(瀏覽器)輸入訪問部署在 Tomcat2 上的項目 JavaWeb2,然后在該項目中通過 ajax 去請求部署在 Tomcat1 上的項目數據,能夠訪問的到呢?
①、在 JavaWeb02 項目中,有一個 jsp 文件,我們通過在瀏覽器訪問該 JSP 文件去獲取 JavaWeb01 項目中的數據
1 <%@ page language="java" contentType="text/html; charset=UTF-8" 2 pageEncoding="UTF-8" isELIgnored="false"%> 3 <% 4 String path = request.getContextPath(); 5 String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() 6 + path; 7 %> 8 <!DOCTYPE html> 9 <head> 10 <title>Title</title> 11 </head> 12 <script type="text/javascript" src="<%=basePath%>/js/jquery-3.3.1.min.js"></script> 13 <script type="text/javascript"> 14 $(document).ready(function(){ 15 $.ajax({ 16 type:"get", 17 async:false, 18 url:"http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom", 19 dataType:"json", 20 success:function (data) { 21 alert(data['passWord']); 22 }, 23 error:function () { 24 alert("error"); 25 } 26 27 }); 28 }) 29 30 </script> 31 <body> 32 33 </body> 34 </html>
通過ajax 訪問
url:"http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom"
去獲取 JavaWeb01 項目中的數據。
②、在 JavaWeb01 項目中,創建一個 getPassWordByUserNameServlet 請求的 Servlet
1 package com.ys.servlet; 2 3 import com.alibaba.fastjson.JSONObject; 4 5 import javax.servlet.ServletException; 6 import javax.servlet.annotation.WebServlet; 7 import javax.servlet.http.HttpServlet; 8 import javax.servlet.http.HttpServletRequest; 9 import javax.servlet.http.HttpServletResponse; 10 import java.io.IOException; 11 12 /** 13 * Create by YSOcean 14 */ 15 @WebServlet("/getPassWordByUserNameServlet") 16 public class UserServlet extends HttpServlet{ 17 @Override 18 protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { 19 String userName = req.getParameter("userName"); 20 String passWord = null; 21 if(userName != null){ 22 passWord = "123"; 23 } 24 JSONObject jsonObject = new JSONObject(); 25 jsonObject.put("passWord",passWord); 26 resp.getWriter().println(jsonObject.toJSONString()); 27 } 28 }
③、在瀏覽器中輸入 http://localhost:8081/JavaWeb02/index.jsp 鏈接,去調用該頁面的 ajax 函數
瀏覽器給我們返回了一個錯誤,這就是瀏覽器同源策略導致的跨域訪問會報錯。那么該如何解決呢?
3、跨域解決辦法
①、response 添加 header
我們在 Servlet 請求返回時添加如下代碼:
1 //*表示支持所有網站訪問,也可以額外配置相應網站 2 resp.setHeader("Access-Control-Allow-Origin", "*");
請求結果如下:
②、JSONP 方式
首先我們要修改 index.jsp 頁面的 ajax 請求:
1 $.ajax({ 2 type:"get", 3 async:false, 4 url:"http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom", 5 dataType:"jsonp",//數據類型為jsonp 6 jsonp:"backFunction",//服務端用於接收callBack調用的function名的參數 7 success:function (data) { 8 alert(data["passWord"]); 9 }, 10 error:function () { 11 alert("error"); 12 } 13 14 });
注意:我們修改了 dataType 的數據類型為 jsonp,並且新增了 jsop 屬性值為 “backFunction”。
接着在 JavaWeb01 項目的 Servlet 中進行如下修改:
1 @WebServlet("/getPassWordByUserNameServlet") 2 public class UserServlet extends HttpServlet{ 3 @Override 4 protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { 5 String userName = req.getParameter("userName"); 6 String passWord = null; 7 if(userName != null){ 8 passWord = "123"; 9 } 10 JSONObject jsonObject = new JSONObject(); 11 jsonObject.put("passWord",passWord); 12 //1、第一種方法:*表示支持所有網站訪問,也可以額外配置相應網站 13 //resp.setHeader("Access-Control-Allow-Origin", "*"); 14 15 //2、第二種方法:jsonp 16 String backFunction = req.getParameter("backFunction"); 17 resp.getWriter().println(backFunction+"("+jsonObject.toJSONString()+")"); 18 19 //resp.getWriter().println(jsonObject.toJSONString()); 20 } 21 }
結果就不截圖了,下面講講這種方式的原理。
1、在同源策略下,在某個服務器下的頁面是無法獲取到該服務器以外的數據的,即一般的ajax是不能進行跨域請求的。但 img、iframe 、script等標簽是個例外,這些標簽可以通過src屬性請求到其他服務器上的數據。利用 script標簽的開放策略,我們可以實現跨域請求數據,當然這需要服務器端的配合。 Jquery中ajax 的核心是通過 XmlHttpRequest獲取非本頁內容,而jsonp的核心則是動態添加 <script>標簽來調用服務器提供的 js腳本。
2、當我們正常地請求一個JSON數據的時候,服務端返回的是一串 JSON類型的數據,而我們使用 JSONP模式來請求數據的時候服務端返回的是一段可執行的 JavaScript代碼。因為jsonp 跨域的原理就是用的動態加載 script的src ,所以我們只能把參數通過 url的方式傳遞,所以jsonp的 type類型只能是get !
我們可以看上面的請求,瀏覽器按 F12 顯示如下:
我們將這段路徑單獨復制出來:
http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom&backFunction=jQuery33107285685756141047_1532791502227&_=1532791502228
再看 Preview 頁:
也就是說對於上面的JSONP 請求,其實jQuery會轉化為:
1 <script type="text/javascript" 2 src="http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom&backFunction=jQuery33107285685756141047_1532791502227&_=1532791502228"> 3 </script>
然后動態的去加載該 script 標簽的 src 屬性。
③、HttpClient 請求轉發
這種方式客戶端是向 JavaWeb02 項目發送請求,而不是上面的向 JavaWeb01 發送請求,然后在 JavaWeb02 的后台通過 HttpClient 將請求發送到 JavaWeb01,得到數據后返回。這種方式相當於繞過瀏覽器的同源機制,直接通過后端進行轉發。
index.jsp 的ajax請求如下:
1 $.ajax({ 2 type:"get", 3 async:false, 4 url:"http://localhost:8081/JavaWeb02/ToGetPassWordServlet?userName=Tom", 5 dataType:"json", 6 success:function (data) { 7 alert(data['passWord']); 8 }, 9 error:function () { 10 alert("error"); 11 } 12 13 });
注意我們是在 JavaWeb02 項目下的index.jsp 發送請求,請求路徑也是 JavaWeb02 下的 Servlet。
package com.ys.servlet; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * Create by YSOcean */ @WebServlet("/ToGetPassWordServlet") public class ToGetPassWordServlet extends HttpServlet{ @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //獲取用戶名 String userName = req.getParameter("userName"); CloseableHttpClient httpClient = HttpClients.createDefault(); //創建get請求 HttpGet hget = new HttpGet("http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName="+userName); CloseableHttpResponse httpResponse = httpClient.execute(hget); int code = httpResponse.getStatusLine().getStatusCode(); if(code == 200){ String result = EntityUtils.toString(httpResponse.getEntity()); resp.getWriter().print(result); } httpResponse.close(); httpClient.close(); } }
④、nginx 轉發
原理很簡單:
利用nginx反向代理,將請求分發到部署到相應項目的tomcat服務器,當然也不存在跨域問題。