Ajax跨域请求的两种实现方式

最新推荐文章于 2023-11-09 13:54:36 发布
最新推荐文章于 2023-11-09 13:54:36 发布
阅读量674 收藏
点赞数
分类专栏: React JavaScript 文章标签: ajax javascript jquery 跨域 Django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AndyQsmart/article/details/125442914
版权

一、跨域请求痛点

最近网站新增了一个域名B用于分离不同的功能。但是需要复用服务器的高防等服务,但是服务和原有域名A绑定,所以新域名B需要直接去调用域名A。

一开始想使用CNAME的方式,让B直接指向A。但是Https支持性有点问题,需要多域名证书。也考虑过反向代理,但是代理服务器的性能和高防等又是一个问题。

最终决定在域名B的网页中,所有请求都直接去调用域名A的接口。于是就遇到了跨域请求的问题。

二、跨域请求的实现方式

网上找了许多资料来实现跨域请求。最终预估下来,有两种方案比较靠谱:通过iframe实现和CORS方案

三、通过iframe实现

初步设想是加载一个域名A的iframe页面,然后通过postMessage将所有Ajax请求,转发给这个页面,通过这个页面来进行请求,最终将结果通过postMessage回发给外层的域名B页面。

于是开始实现:

前端使用的是React,所以实现了一个FrameHttp.js专门用法封装ajax调用。调用FrameHttp.ajax将所有外部Jquery请求转发给iframe中域名A的/util/ajaxrequest页面。

import Tools from "../Tools"

const FrameHttpCmd = {
    INIT: 1,
    REQUEST: 2,
    REQUEST_CALLBACK: 3,
}

class FrameHttp {
    static isInit = false
    static _request_buffer = []
    static frame = null
    static message_key = 0
    static message_key_max = 10000000
    static request_map = {}

    static init(domain) {
        var the_frame = document.createElement('iframe')
        let url_obj = new URL(domain)
        url_obj.pathname = Tools.getUrl('/util/ajaxrequest')
        the_frame.src = url_obj.toString()
        the_frame.style.visibility = 'hidden'
        the_frame.style.position = 'absolute'
        the_frame.style.width = 0
        the_frame.style.height = 0

        FrameHttp.frame = the_frame
        document.body.appendChild(the_frame)
        window.addEventListener('message', this.onMessage)
    }

    static _initFrame() {
        FrameHttp.isInit = true
        console.log('(INFO)FrameHttp._initFrame')
        for (let i = 0; i < FrameHttp._request_buffer.length; i++) {
            let arg = FrameHttp._request_buffer[i]
            FrameHttp.ajax(arg)
        }
        FrameHttp._request_buffer = []
    }

    static getMessageKey() {
        let message_key = FrameHttp.message_key
        FrameHttp.message_key = (FrameHttp.message_key+1)%FrameHttp.message_key_max 
        return message_key
    }

    static ajax(arg) {
        if (FrameHttp.isInit) {
            // console.log(arg)
            const { success, error, ...others } = arg
            let message_key = FrameHttp.getMessageKey()
            FrameHttp.request_map[message_key] = { success, error }
            FrameHttp.frame.contentWindow.postMessage({
                cmd: FrameHttpCmd.REQUEST,
                data: others,
                key: message_key,
            }, '*')
            console.log('(INFO)FrameHttp.ajax', others)
        }
        else {
            FrameHttp._request_buffer.push(arg)
            console.log('(INFO)FrameHttp.ajax:push buffer')
        }
    }

    static onMessage(e) {
        const { data } = e
        if (data.cmd == FrameHttpCmd.INIT) {
            FrameHttp._initFrame()
        }
        else if (data.cmd == FrameHttpCmd.REQUEST_CALLBACK) {
            // console.log(data.key, data.success)
            let item = FrameHttp.request_map[data.key]
            if (data.error) {
                if (item.error) {
                    item.error(data.error)
                }
            }
            else {
                if (item.success) {
                    item.success(data.success)
                }
            }
            delete FrameHttp.request_map[data.key]
        }
    }
}

export default FrameHttp
export { FrameHttpCmd }

然后域名A中的/util/ajaxrequest页面处理请求:

import React, { Component } from 'react'
import { FrameHttpCmd } from '../../../common_js/web_frame/FrameHttp'
import jquery from '../../../common_js/jquery.min'

class AjaxRequest extends Component {
    constructor(props) {
        super(props)

        this.onMessage = this.onMessage.bind(this)
    }

    onMessage(e) {
        const { cmd, data, key, cookie } = e.data
        if (cmd == FrameHttpCmd.REQUEST) {
            // console.log(key, data)
            console.log(document.cookie)
            jquery.ajax({
                ...data,
                success: (data)=>{
                    window.parent.postMessage({
                        cmd: FrameHttpCmd.REQUEST_CALLBACK,
                        key,
                        success: data,
                    }, '*')
                },
                error: ()=>{
                    window.parent.postMessage({
                        cmd: FrameHttpCmd.REQUEST_CALLBACK,
                        key,
                        error: 'error',
                    }, '*')
                },
            })
        }
    }

    componentDidMount() {
        window.parent.postMessage({
            cmd: FrameHttpCmd.INIT,
        }, '*')
        window.addEventListener('message', this.onMessage)
    }

    render() {
        return null
    }
}
                
export default AjaxRequest

如此实现后,发现iframe因为跨域问题无法加载

因为后端是由Django实现的,经过查阅发现,在views中需要进行处理,添加xframe_options_exempt装饰器,实现跨域加载iframe。

@xframe_options_exempt
def indexCross(request, *args, **kwargs):
    return render(request, 'index.html', {})

功能能够正常请求,但是请求中cookie并没有正常传送。

经过排查发现,对于跨域的iframe,google浏览器默认对于cookie中SameSite这个参数是LAX,会导致只有同源才能设置服务器返回的Set-Cookie。所以需要将服务器返回的Set-Cookie中指定SameSite为None,这样前端才能成功设置Cookie。

于是服务端Django引入了中间件django-cookies-samesite。settings.py进行如下修改:

INSTALLED_APPS = [
    ...
    'corsheaders',
    ...
]

# 中间件request按照注册顺序顺序执行,response按照注册顺序倒序执行
MIDDLEWARE = [
    'django_cookies_samesite.middleware.CookiesSameSite', # 此处response需要最后执行
    ...
]

SESSION_COOKIE_SECURE = True
SESSION_COOKIE_SAMESITE = 'None'

至此实现了iframe方式跨域。

四、CORS方案

这个需要前端Jquery加入两个参数:

jquery.ajax({
    ...
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
})

然后服务端需要开启跨域请求支持。Django下引入中间件django-cors-headers。settings.py下如下设置:

MIDDLEWARE = [
    ...
    'corsheaders.middleware.CorsMiddleware', # 这个位置越高越好,至少要高于CommonMiddleware
    ...
]

# 跨域配置
CORS_ALLOW_CREDENTIALS = True
# CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = [
    'https://www.xxx.com',# 域名B
]
CORS_ALLOW_METHODS = [
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
    'VIEW',
]
CORS_ALLOW_HEADERS = [
    'XMLHttpRequest',
    'X_FILENAME',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
    'Pragma',
    'cache-control',
]

此方案也需要和iframe一样,解决cookie中SameSite的问题。

至此CORS方案跨域也实现了。

AndyQsmart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ajax跨域访问案例.zip
08-13
个人学习时编写的代码,该案例用于演示Ajax跨域访问问题。!!!补充说明:导入工程时需要选择导入maven工程!上传仅为学习交流,也为自己下载方便!水平有限不喜勿喷。在README.txt中有对项目的详细说明!
AJAX跨域问题及解决方案
weixin_45832694的博客
10-16 7728
首先建两个服务器,服务器1:HTTP为8080端口,JMX端口为1099,部署ajax1模块,服务器2:HTTP为8081端口,JMX端口为1098,部署ajax2模块。是可以加载Servlet的,也就是说到时候响应一段字符串拼接的调用函数,参数是json类型,到时候这个json就是一个业务结果,传过来,让前端调用。所以,从安全的角度来讲,同源策略是有利于保护网站信息的。现在大部分系统都是大型应用,分布式的微服务的,有一些情况我们是需要使用ajax进行跨域访问的,所以就需要解决跨域的问题。
AJAX请求及解决跨域问题
m0_59092234的博客
07-30 686
AJAX其实就是异步的js和xml通过ajax可以在浏览器中发送异步请求。最大优势无刷新获取数据优点1.可以无需刷新页面与服务器进行通信2.允许根据用户事件更新部分页面内容当然也存在其缺点问题比如跨域问题等!...
ajax crossDomain 与 xhrFields: { withCredentials: true }
热门推荐
fortunegrant的博客
03-12 1万+
crossDomain 跨域xhrFields 大概的意思是,默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的。所以,当你再次访问远程api的时候,cookie是不会被带上的,于是乎,服务器理所当然地认为你还没有登录。MDN上的简单介绍 credentials 。用XMLHttpRequest请求的时候,我们需要设置属性 withCredentials=true ;...
ajax请求中,4种解决跨域问题的方法——自用笔记
qq_39123467的博客
10-20 2380
4种解决跨域问题的方法——自用笔记
Ajax请求中的跨域问题及其解决方案
最新发布
欢迎阅读我的博客
11-09 1192
Ajax请求中的跨域问题及其解决方案
关于ajax跨域请求(cross Domain)
jiangsha_1的专栏
11-23 703
Cross Domain AJAX主要就是A.com网站的页面发出一个XMLHttpRequest,这个Request的url是B.com,这样的请求是被禁止的,浏览器处于安全考虑不允许进行跨域访问,即同源策略。主要有4钟方式解决。 1、跨域代理(Cross Domain Proxy)。 主要原理就是写一个代理请求的转发过程。客户端请求自己的服务器,服务器把请求目标地址并且得到回应,...
ajax跨域请求完整解决方案
buqizi4272的博客
08-05 4789
这里写自定义目录标题ajax跨域请求完整解决方案简介跨域请求解决方案JSONPCORS简单请求:请求方法是以下三种方法之一:HTTP的头信息不超出以下几种字段:如果上述两个条件没有同时满足则属于非简单请求被调用方代码实现nginx实现隐藏跨域 ajax跨域请求完整解决方案 简介 在发送Ajax请求的时候,由于浏览器的同源策略,会对跨域请求进行检测。 什么情况属于跨域请求: 协议不同 ,例如htt...
Ajax跨域请求
YUELEI118的博客
07-05 1566
javaScript实现ajax jquery实现ajax ajax跨域请求 jsonp
Ajax跨域请求
weixin_50163576的博客
11-24 1624
跨域:当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,此时就被称为“跨域请求”,而浏览器的“同源策略”此时将阻止了Ajax跨域访问。 ajax同源策略的限制,会跨域拦截,解决方案: 1.服务端接口设置允许访问的cors头(cross origin resource share),CORS跨域资源共享(Cross Origin Resource Sharing) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许
九种跨域方式实现原理
03-03
前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。...
详解js跨域请求两种方式,支持post请求
10-18
原先一直以为要实现跨域请求只能用jsonp,只能支持GET请求,后来了解到使用POST请求也可以实现跨域,但是需要在服务器增加Access-Control-Allow-Origin和Access-Control-Allow-Headers头,下面说明下两个不同的方法...
跨域请求两种方法 jsonp和cors的实现
12-02
伪造ajax提交请求 请求端 // 基于jsonp // 原理: ajax 不能直接跨域 。 //向html中加入script标签 含有访问路径,script标签直接访问路径达到效果 $('.get_service2').click(function () { // 伪造ajax提交...
HTML5中使用postMessage实现Ajax跨域请求的方法
12-13
由于同源策略的限制,Javascript存在跨域通信的问题,典型的跨域问题有iframe与父级的通信等。 常规的几种解决方法: (1) document.domain+iframe;(2) 动态创建script; (3) iframe+location.hash; (4) flash。 ...
React通过反射动态加载自定义组件
AndyQsmart的专栏
06-14 8026
公众号:程序员波波 最近在写一个类似于页面编辑器的工具。 一般来说,可视化的编辑器,是通过拖拽已有组件,然后设置组件的属性,来完成一个编辑的过程。 然后在开发过程中遇到了一些问题,在此记录一下。 首先编辑器的开发在这就不多提了。 说重点,在开发中遇到了对于生成的自定义数据,然后需要通过数据来动态加载组件(因为某个编辑生成的页面,不一定包含所有自定义组件,在预览页面只需要加载用到的组件...
React中同步引入script标签
AndyQsmart的专栏
09-16 6705
公众号:程序员波波 之前写了一篇异步引入的博客,但是在开发中遇到,可能某些js之间有调用关系,那么引入的时候就需要按照一定的顺序进行同步引入。 这里采用了递归的方式: class Tools { static loadScript(url, callback) { let old_script = document.getElementById(url)...
React中异步引入script标签
AndyQsmart的专栏
09-16 6148
公众号:程序员波波 React中支持异步加载script,通过react-loadable可以在React中异步import。 但是目前遇到一个问题,引入全局的script标签。但是如果把所有标签全部写在index.html中的话,那么第一页加载的速度会变慢,所以希望实现异步引入script标签的方法。 目前通过document.createElement的方法来动态创建脚本标签,然后通...
在React中使用FontAwesome字体
AndyQsmart的专栏
03-31 3047
FontAwesome是一种图标字体。安装依赖1. 安装基础依赖npm i --save @fortawesome/fontawesome npm i --save @fortawesome/react-fontawesome2. 安装样式依赖npm i --save @fortawesome/fontawesome-free-solid npm i --save @fortawesome/fon...
JS中实现函数在指定时间内单次执行
AndyQsmart的专栏
08-27 3041
公众号:程序员波波 在项目开发过程中遇到过这样一个情景需求:某一个函数延迟t时间执行,但是在短时间内多次触发延时执行的时候,只会执行最后一次的延时执行。 比如: 我在某个k时刻,希望函数A在t时刻后执行。 然后在k+t1(t1<t)时刻又希望函数A在t时刻后执行。 那么函数A最终仅会在k+t1+t时刻的时候执行一次。 类似于函数A的延时操作可以被重置的效果。 实现方法有很多...
实现Ajax跨域请求的jsonp代码
04-04
jsonp是一种跨域请求的技术,它利用了script标签不受同源策略限制的特性,通过动态创建script标签实现跨域请求。下面是一个简单的jsonp实现示例: ``` function jsonp(url, callback) { var script = document....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值