概念
同源或者不同源說的是兩個地址之間的關系,不同源地址之間請求我們稱之為跨域請求。
http://www.baidu.com:80和ftp://www.baidu.com:80 不同域,協議不一樣
http://www.baidu.com:80和http://www.xiaomi.com:80 不同域,主機名不一樣
http://www.baidu.com:80和ftp://www.baidu.com:8080 不同域,端口號不一樣
http://www.baidu.com:80/a.html和ftp://www.baidu.com:80/b.js 同域
跨域請求的前因后果
為什么瀏覽器要限制跨域請求,其中最主要的原因就是安全性問題,比如CSRF攻擊。但是,既然不安全,為什么我們又要跨域請求呢?為了服務器便於管理和減輕服務器壓力,公司會把不同的資源放在不同的服務器上,這樣就存在很多子域,這時比如A子域的html資源要去訪問B子域的圖片資源就會出現跨域請求了。(可以注意下京東網站就是個很好的例子)
方法一、JSONP
ajax請求不同域會出現跨域請求,無訪問權限
//報錯CORS header ‘Access-Control-Allow-Origin’ missing $.get("http://locally.uieee.com/categories", {}, function (data, textStatus, jqXHR) { console.log(data) }, );
但平時在HTML頁面寫的<script>、<link>這些標簽的src屬性是不受跨域請求限制的。
var script = document.createElement('script') script.src = 'http://locally.uieee.com/categories'//返回的是json document.body.appendChild(script)
JSONP的策略就是服務器端可以動態生成JSON文件,把客戶端需要的數據放到這個文件中,讓客戶端通過<script>標簽的src屬性來請求這個文件,這樣,一種解決方案就出來了。
服務端
在nodejs的express框架里的public寫一個js文件,靜態資源都放在這里。
雙擊打開.html文件可看結果
注意
Access-Control-Allow-Origin
服務器端設置
如需允許所有資源都可以訪問您的資源,可以如此設置:
Access-Control-Allow-Origin: *
如需允許https://developer.mozilla.org訪問您的資源,可以設置:
Access-Control-Allow-Origin: https://developer.mozilla.org
Node.js 設置header解決跨域問題
//也可單獨於某個請求中設置相應頭 app.all('*', function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Methods", "GET,HEAD,OPTIONS,POST,PUT"); res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, Authorization"); next(); }); //res.header() 是res.set()的別名,為express中的用法 //res.setHeader()為node無express用法
CORS和緩存
如果服務器未使用“*”,而是指定了一個域,那么為了向客戶端表明服務器的返回會根據Origin請求頭而有所不同,必須在Vary響應頭中包含Origin。
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin