什麼是跨域?及跨域解決方法

什麼是跨域

當一個請求url的協議、域名、埠三者之間任意一個與當前頁面url不同即為跨域。

跨域指的是瀏覽器不能執行其它網站的腳本。是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript 施加的安全限制。

有一點必須要注意:跨域並不是請求發不出去,請求能發出去,服務端能收到請求並正常返回結果,只是結果被瀏覽器攔截了。之所以會跨域,是因為受到了同源策略的限制,同源策略要求源相同才能正常進行通訊,即協議、域名、埠號都完全一致。

什麼是同源策略?

協議號 - 域名 - 埠號 ,只有當這三個條件同時滿足相同時,我們就稱之為符合約源策略,同源策略也可以看做是一個協議。

https://  www.baidu.com   :8080    /test
協議號         域名        埠號    路徑

通常我們導航的url都是由這四部分組成的。

同源策略限制從一個源載入的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的關鍵的安全機制。它的存在可以保護用戶隱私資訊,防止身份偽造等(讀取Cookie)。

同源策略限制行為:

  • CookieLocalStorageIndexDB無法讀取;
  • 無法獲得非同源網頁的 DOM節點;
  • AJAX請求不能發送;

但是有三個標籤允許跨域載入資源:

<img src=XXX> 
<link href=XXX> 
<script src=XXX>

跨域解決方法

1.Proxy代理

webpack本地代理

【前端解決:只適用於本地開發環境,上線了解決不了,直接把dist放在後端伺服器中】

Proxy通過服務端介面轉發來實現對於跨域問題的問題,因為HTTP同源策略只在瀏覽器中生效。 這裡介紹幾種不同Proxy代理方法:

在vue.config.js中利用 WebpackDevServer 配置本地代理

// 配置實例:
module.exports = {
  //...
  devServer: {
    proxy: {
      '/api': {
        target: 'xxx',
        pathRewrite: {
          '^/api': ''
        },
        changeOrigin: true
      }
    }
  }
};

注意:項目上線需要把打包後的文件放在伺服器上運行,而不是啟動腳手架運行,也就沒有內置web伺服器做代理,所以此方式只適用於開發測試階段

上線時需要使用nginx代理或者伺服器配置cors(每種語言有自己不同的配置方式)

參考:Vue中如何解決跨域問題

Nginx反向代理

server {
 
    #nginx監聽所有localhost:8080埠收到的請求
    listen       8080;
    server_name  localhost;
 
    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;
    #localhost:8080 會被轉發到這裡
    #同時, 後端程式會接收到 "192.168.25.20:8088"這樣的請求url
    location / {
        proxy_pass //192.168.25.20:8088;
    }
    #localhost:8080/api/ 會被轉發到這裡
    #同時, 後端程式會接收到 "192.168.25.20:9000/api/"這樣的請求url
    location /api/ {
        proxy_pass //192.168.25.20:9000;
    }
    error_page 404 /404.html;
        location = /40x.html {
    }
    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

參考:什麼是跨域?及7種跨域解決方法

2.跨域資源共享 CORS

目前最主流、最簡單的方案,直接讓後端設置響應頭,允許資源共享就ok了

CORS 是跨域資源分享(Cross-Origin Resource Sharing)的縮寫。它是 W3C 標準,屬於跨源 AJAX 請求的根本解決方法。

1、普通跨域請求:只需伺服器端設置Access-Control-Allow-Origin
2、帶cookie跨域請求:前後端都需要進行設置

【前端設置】根據xhr.withCredentials欄位判斷是否帶有cookie

vue框架

  • vue-resource 
    Vue.http.options.credentials = true
  •  axios 
    axios.defaults.withCredentials = true

【服務端設置】

伺服器端對於CORS的支援,主要是通過設置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應的設置,就可以允許Ajax進行跨域的訪問。若後端設置成功,前端瀏覽器控制台則不會出現跨域報錯資訊,反之,說明沒設成功。

Java後台

/*
 * 導入包:import javax.servlet.http.HttpServletResponse;
 * 介面參數中定義:HttpServletResponse response
 */
 
// 允許跨域訪問的域名:若有埠需寫全(協議+域名+埠),若沒有埠末尾不用加'/'
response.setHeader("Access-Control-Allow-Origin", "//www.domain1.com"); 
 
// 允許前端帶認證cookie:啟用此項後,上面的域名不能為'*',必須指定具體的域名,否則瀏覽器會提示
response.setHeader("Access-Control-Allow-Credentials", "true"); 
 
// 提示OPTIONS預檢時,後端需要設置的兩個常用自定義頭
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");

參考:什麼是跨域?及7種跨域解決方法

3.JSONP

JSONP 是伺服器與客戶端跨源通訊的常用方法。最大特點就是簡單適用,兼容性好(兼容低版本IE),缺點是只支援get請求,不支援post請求。

核心思想:網頁通過添加一個<script>元素,向伺服器請求 JSON 數據,伺服器收到請求後,將數據放在一個指定名字的回調函數的參數位置傳回來。

this.$http.jsonp('//www.domain2.com:8080/login', {
    params: {},
    jsonp: 'handleCallback'
}).then((res) => {
    console.log(res); 
})

 

Tags:

VirMach 便宜 VPS

QNews

QNews