什么是跨域?
跨域,是指瀏覽器不能執行其他網站的腳本。它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript實施的安全限制。
什么是同源策略?
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,它是由Netscape提出的一個著名的安全策略。
同源策略是瀏覽器的行為,是為了保護本地數據不被JavaScript代碼獲取回來的數據污染,因此攔截的是客戶端發出的請求回來的數據接收,即請求發送了,服務器響應了,但是無法被瀏覽器接收。
其主要限制以下幾個方面:
- Cookie 、LocalStorage 和 IndexDB無法讀取
- 無法獲取或操作另一個資源的DOM
- AJAX請求不能發送
那么什么是同源呢?所謂的同源,就是指兩個頁面具有相同的協議,主機(也常說域名),端口,三個要素缺一不可。這樣可能不是很好理解,下面通過表格對比幫助大家理解:
| urlA | urlB | 說明 | 是否允許通信 |
|---|---|---|---|
| http://www.monkey.com/js/a.js | http://www.monkey.com/js/b.js | 協議、域名、端口、路徑都相同,文件不同 | 允許 |
| http://www.monkey.com/a.js | http://www.monkey.com/js/b.js | 協議、域名、端口相同,路徑、文件不同 | 允許 |
| http://www.monkey.com/js/a.js | http://www.monkey.com:3000/js/b.js | 協議、域名相同、端口不同 | 不允許 |
| http://www.monkey.com/js/a.js | https://www.monkey.com/js/b.js | 域名相同、端口相同,協議不同 | 不允許 |
| http://www.monkey.com/js/a.js | http://192.168.0.118/js/b.js | 域名和域名對應的ip地址 | 不允許 |
| http://www.monkey.com/a.js | http://monkey.com/b.js | 主域相同,子域不同 | 不允許 |
| http://www.monkey.com/a.js | http://www.monkey1.com/b.js | 不同域名 | 不允許 |
此時,不允許同通信的頁面之間想要實現通信,就要使用到跨域了。
常見跨域方案
- 1、 通過jsonp跨域
- 2、 document.domain+iframe跨域
- 3、 location.hash + iframe
- 4、 window.name + iframe跨域
- 5、 postMessage跨域
- 6、 跨域資源共享(CORS)
- 7、 nginx代理跨域
- 8、 nodejs中間件代理跨域
- 9、 WebSocket協議跨域
jsonp跨域
在頁面中通過script標簽加載資源,是被瀏覽器所允許的,也不存在跨域的問題,基於這一原理,我們可以通過動態的創建過script標簽,然后src賦值一個帶參的url,進而實現跨域,也叫jsonp跨域。實現方式如下:
原生實現方式
function callback(res){
console.log(res)//接口返回值
}
let jsonp = document.createElement('script');
jsonp.src = 'http:/www.monkey.com/admin/getUser?name=小燕子&callback=callback';
document.getElementsByTagName('head')[0].appendChild(jsonp);//添加到頁面中
jsonp.remove();//從頁面中移除
jQuery實現
- 第一種:$.ajax()方法
$.ajax({
url:'http:/www.monkey.com/admin/getUser',
dataType:"jsonp",
jsonp: "callback",//請求時路徑參數名
jsonpCallback:"callback",//設置后端返回函數名
success:function(data){//回調函數
console.log(data);
}
});
- 第二種:$.get()方法
$.get('http:/www.monkey.com/admin/getUser', {各種數據}, function(data) {
console.log(data);
}, 'jsonp');
推薦使用$.get()方法
后端node.js核心代碼示例:
// jsonp返回設置
res.writeHead(200,{'Content-Type':'text/javascript'});
res.write(callback+'('+JSON..stringify(response) + ')');
jsonp跨域只能實現get請求
document.domain+iframe跨域
運用此方法跨域必須有個前提:
這兩個域名必須屬於同一個一級域名!而且所用的協議,端口都要一致,否則無法利用document.domain進行跨域。
Javascript出於對安全性的考慮,而禁止兩個或者多個不同域的頁面進行互相操作。
而相同域的頁面在相互操作的時候不會有任何問題。
實現方式:
<iframe id='iframe' src='http://monkey.com/b.html'></iframe>
<script>
document.domain = 'monkey.com';
var name = 'monkeysoft'
</script>
<script>
document.domain = 'monkey.com';
console.log(window.parent.name)//monkeysoft
</script>
location.hash + iframe
當兩個不同域的頁面之間想要實現通信的時候,可以通過與其中一個頁面同域的第三個頁面實現。因為改變hash值,不會刷新頁面,所以可以通過hash值進行傳遞參數。
畫個草圖幫助理解:
實現方式:
- a.html(http://www.monkey.com/a.html)
<iframe id="iframe" src="http://www.monkey1.com/b.html" style="display:none;"></iframe>
<script>
var iframe = document.getElementById('iframe');
// 向b.html傳hash值
setTimeout(function() {
iframe.src = iframe.src + '#name=monkey';
}, 1000);
// 開放給同域c.html的回調方法
function onCallback(res) {
console('data from c.html ---> ' + res);
}
</script>
- b.html(http://www.monkey1.com/b.html)
<iframe id="iframe" src="http://www.monkey.com/c.html" style="display:none;"></iframe>
<script>
var iframe = document.getElementById('iframe');
// 監聽a.html傳來的hash值,再傳給c.html
window.onhashchange = function () {
iframe.src = iframe.src + location.hash;
};
</script>
- c.html(http://www.monkey.com/c.html)
<script>
// 監聽b.html傳來的hash值
window.onhashchange = function () {
// 再通過操作同域a.html的js回調,將結果傳回
window.parent.parent.onCallback('hello: ' + location.hash.replace('#name=', ''));
};
</script>
此方法有個缺點,就是所有傳遞的數據都暴露在了url中。
window.name + iframe跨域
window.name的值再不同的頁面(包括不同域名)加載后依然存在,並且支持的數據量非常可觀,最大2MB。
簡單來說就是頁面刷新之后,window.name值依舊存在
因此我們可以基於這個原理,我們可以巧妙的實現跨域,並且同時它也是安全操作。
實現方式:
- a.html(http://www.monkey.com/a.html)
var proxy = function(url, callback) {
var state = 0;
var iframe = document.createElement('iframe');
// 加載跨域頁面
iframe.src = url;
// onload事件會觸發2次,第1次加載跨域頁,並留存數據於window.name
iframe.onload = function() {
if (state === 1) {
// 第2次onload(同域proxy頁)成功后,讀取同域window.name中數據
callback(iframe.contentWindow.name);
destoryFrame();
} else if (state === 0) {
// 第1次onload(跨域頁)成功后,切換到同域代理頁面
iframe.contentWindow.location = 'http://www.domain1.com/proxy.html';
state = 1;
}
};
document.body.appendChild(iframe);
// 獲取數據以后銷毀這個iframe,釋放內存;這也保證了安全(不被其他域frame js訪問)
function destoryFrame() {
iframe.contentWindow.document.write('');
iframe.contentWindow.close();
document.body.removeChild(iframe);
}
};
// 請求跨域b頁面數據
proxy('http://www.domain2.com/b.html', function(data){
alert(data);
});
- proxy.html(http://www.monkey.com/proxy.html)
中間代理頁,與a.html同域,內容為空即可。
- b.html(http://www.monkey1.com/b.html)
<script>
window.name = 'monkey1';
</script>
postMessage跨域
隨着HTML5的發展,html5工作組提供了兩個重要的接口:postMessage(send) 和 onmessage。這兩個接口有點類似於websocket,可以實現兩個跨域站點頁面之間的數據傳遞。
postMessage(data,origin),接收兩個參數:
data是傳輸的數據,部分瀏覽器只支持字符串,因此最好傳參時使用JSON.stringify()序列化。
origin: 協議+主機+端口號,也可以設置為"*",表示可以傳遞給任意窗口,如果要指定和當前窗口同源的話設置為"/"。
實現方式:
- a.html(http://www.monkey.com/a.html)
<iframe id="iframe" src="http://www.monkey1.com/b.html" style="display:none;"></iframe>
<script>
var iframe = document.getElementById('iframe');
iframe.onload = function() {
var data = {
name: 'monkeysoft'
};
// 向monkey1傳送跨域數據
iframe.contentWindow.postMessage(JSON.stringify(data), 'http://www.monkey1.com');
};
// 接受monkey1返回數據
window.addEventListener('message', function(e) {
alert('data from monkey1 ---> ' + e.data);
}, false);
</script>
- b.html(http://www.monkey1.com/b.html)
<script>
// 接收monkey的數據
window.addEventListener('message', function(e) {
alert('data from monkey ---> ' + e.data);
var data = JSON.parse(e.data);
if (data) {
data.number = 16;
// 處理后再發回monkey
window.parent.postMessage(JSON.stringify(data), 'http://www.monkey.com');
}
}, false);
</script>
跨域資源共享(CORS)
只需要服務端設置Access-Control-Allow-Origin即可,前端無須設置
nginx反向代理跨域
nginx在本地搭建一個服務向遠程服務器請求數據,前提是前后端分離的條件下,這樣后端可以上傳他的接口到服務器,或者你可以訪問后台本地的環境也是可以的。
- 下載nginx
http://nginx.org/en/download.html
下載任意一個版本即可,我下載的是nginx-1.12.2,下載之后解壓即可。
- 配置代理
server {
listen 8080;
server_name localhost;
#charset koi8-r;
access_log logs/k8s.log;
location / {
root D:/_test/front/app; #你項目的根目錄
index index.html index.htm;
}
## 用戶訪問 localhost/api,則反向代理到http://www.monkeysoft.com
location /api/ {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Nginx-Proxy true;
proxy_set_header Connection "";
proxy_pass http://www.monkeysoft.com; #****這里填上服務器地址
proxy_redirect default ;
}
}
- 啟動服務
配置好了啟動nginx服務器就好了。在這里整理一些windows常用的命令:
1、啟動:
D:\nginx-1.12.2>start nginx或
D:\nginx-1.12.2>nginx.exe
2、停止:
D:\nginx-1.12.2>nginx.exe -s stop或
D:\nginx-1.12.2>nginx.exe -s quit
注:stop是快速停止nginx,可能並不保存相關信息;quit是完整有序的停止nginx,並保存相關信息。
3、重新載入Nginx:
D:\nginx-1.12.2>nginx.exe -s reload
當配置信息修改,需要重新載入這些配置時使用此命令。
4、重新打開日志文件:
D:\nginx-1.12.2>nginx.exe -s reopen
5、查看Nginx版本:
D:\nginx-1.12.2>nginx -v
服務器代理跨域
服務器代理一般是通過node中間件http-proxy-middleware實現的,在vue、react腳手架中,已經集成了該中間件,我們只需要配置使用既可。
webpack配置文件部分代碼:
devServer: {
proxy: {
'/api': {
target: 'http://www.monkey.com:8080',//真實請求地址
changeOrigin: true, // 默認false,是否需要改變原始主機頭為目標URL
ws: true,// 是否代理websocket
pathRewrite: {//重寫路徑
'^/api': ''
},
router: {
// 如果請求主機 == 'dev.localhost:3000',
// 重寫目標服務器 'http://www.example.org' 為 'http://localhost:8000'
'dev.localhost:3000' : 'http://localhost:8000'
}
},
}
},
WebSocket協議跨域。
WebSocket protocol是HTML5一種新的協議。它實現了瀏覽器與服務器全雙工通信,同時允許跨域通訊,是server push技術的一種很好的實現。
實現方式
頁面端(客戶端):
<script>
var ws = new WebSocket('ws://localhost:8080');
ws.onmessage = function (message) {
console.log(message);//接收消息
};
//發送消息
var message = {
name:'monkeysoft'
}
ws.send(JSON.stringify(message));
</script>
服務端(node):
//引入http標准模塊,CommonJS模塊
const http = require("http");
const fs = require("fs");
const ws = require("socket.io");
//創建一個web服務
const server = http.createServer(function(request,response){
response.writeHead(200,{
"Content-type":"text/html;charset=UTF-8"
})
// 可發送文本
// response.end("hello world");
// 可自動解析html
response.end("<h1>我是標題2</h1>");
})
//基於當前web服務開啟socket實例
const io = ws(server)
//檢測連接事件
io.on("connection",function(socket){
//接收客戶端所發送的消息
socket.on("message",function(message){
console.log(message)
//向所有客戶端廣播該消息
io.emit("message",message)
})
//監聽到斷開鏈接
socket.on("disconnect",function(){
//發送廣播 某用戶離開了群聊
})
})
//服務端監聽端口
server.listen(8080)
參考:
1、前端常見跨域解決方案(全) https://segmentfault.com/a/1190000011145364
2、前端項目中nginx 本地反向代理配置 https://www.jianshu.com/p/5c23b09d443f