前端面试题:跨域的实现

最新推荐文章于 2024-05-13 19:59:54 发布
最新推荐文章于 2024-05-13 19:59:54 发布
阅读量782 收藏 7
点赞数 4
分类专栏: 三大基础 面试题库 个人总结 文章标签: javascript nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hunt_bo/article/details/108105237
版权

已经不止一次的被问到这个问题了,今天来总结了一下前端跨域的实现方式,虽然有的方式自己在项目中没有用过,但是还是需要了解一下的。

首先需要了解一下什么是跨域,跨域就是说在一个域下去请求另一个域下的资源,那什么是另一个域呢?就是说在两个域之间,不管是协议,域名甚至端口,只要有一个不一样,就属于不同的域,不同的域之间去请求数据,这就是跨域。

其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景。

什么是同源策略呢,同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

跨域的解决方案有很多种,接下来就一个一个的介绍。

1、通过JSONP跨域

通常为了减轻web服务器的负载,我们把js、css,img等静态资源分离到另一台独立域名的服务器上,在html页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许,基于此原理,我们可以通过动态创建script,再请求一个带参网址实现跨域通信。

以代码为例:

var script = document.createElement('script');

script.type = 'text/javascript';

script.src = 'http://www.domain2.com:8080/login?user=admin&callback=handleCallback';

document.head.appendChild(script);

function handleCallback(res) {

    alert(JSON.stringify(res));

}

然后后端返回的不是普通的json字符串了,相当于是我们定义好的回掉函数的调用。

也可以通过jquery进行配置:

$.ajax({
    url: 'http://www.domain2.com:8080/login',
    type: 'get',
    dataType: 'jsonp',  // 请求方式为jsonp
    jsonpCallback: "handleCallback",    // 自定义回调函数名
    data: {}
});

vue配置jsonp:

this.$http.jsonp('http://www.domain2.com:8080/login', {
    params: {},
    jsonp: 'handleCallback'
}).then((res) => {
    console.log(res); 
})

2、document.domain+iframe跨域

此方案仅限主域相同,子域不同的跨域应用场景。

实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。

1.)父窗口:(www.yvming.com/A.html)

<iframe id="iframe" src="B.html"></iframe>
<script>
    document.domain = 'domain.com';
    var user = 'admin';
</script>

2.)子窗口:(ziyv.yvming.com/B.html)

<script>
    document.domain = 'domain.com';
    // 获取父窗口中变量
    alert('get js data from parent ---> ' + window.parent.user);
</script>

3、location.hash + iframe跨域

实现原理: a欲与b跨域相互通信,通过中间页c来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。

具体实现:A域:a.html -> B域:b.html -> A域:c.html,a与b不同域只能通过hash值单向通信,b与c也不同域也只能单向通信,但c与a同域,所以c可通过parent.parent访问a页面所有对象。

1.)a.html:(http://www.domain1.com/a.html)

<iframe id="iframe" src="http://www.domain2.com/b.html" style="display:none;"></iframe>
<script>
    var iframe = document.getElementById('iframe');

    // 向b.html传hash值
    setTimeout(function() {
        iframe.src = iframe.src + '#user=admin';
    }, 1000);
    
    // 开放给同域c.html的回调方法
    function onCallback(res) {
        alert('data from c.html ---> ' + res);
    }
</script>

2.)b.html:(http://www.domain2.com/b.html)

<iframe id="iframe" src="http://www.domain1.com/c.html" style="display:none;"></iframe>
<script>
    var iframe = document.getElementById('iframe');

    // 监听a.html传来的hash值,再传给c.html
    window.onhashchange = function () {
        iframe.src = iframe.src + location.hash;
    };
</script>

3.)c.html:(http://www.domain1.com/c.html)

<script>
    // 监听b.html传来的hash值
    window.onhashchange = function () {
        // 再通过操作同域a.html的js回调,将结果传回
        window.parent.parent.onCallback('hello: ' + location.hash.replace('#user=', ''));
    };
</script>

4、postMessage跨域

postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一,它可用于解决以下方面的问题:

a.) 页面和其打开的新窗口的数据传递

b.) 多窗口之间消息传递

c.) 页面与嵌套的iframe消息传递

d.) 上面三个场景的跨域数据传递

用法:postMessage(data,origin)方法接受两个参数

data: html5规范支持任意基本类型或可复制的对象,但部分浏览器只支持字符串,所以传参时最好用JSON.stringify()序列化。

origin: 协议+主机+端口号,也可以设置为"*",表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为"/"。

5、跨域资源共享(CORS)

普通跨域请求:只服务端设置Access-Control-Allow-Origin即可,前端无须设置,若要带cookie请求:前后端都需要设置。

需注意的是:由于同源策略的限制,所读取的cookie为跨域请求接口所在域的cookie,而非当前页。如果想实现当前页cookie的写入,可参考下文:七、nginx反向代理中设置proxy_cookie_domain 和 八、NodeJs中间件代理中cookieDomainRewrite参数的设置。

目前,所有浏览器都支持该功能(IE8+:IE8/9需要使用XDomainRequest对象来支持CORS)),CORS也已经成为主流的跨域解决方案。

1)原生ajax

xhr.withCredentials = true;

示例:

var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容

// 前端设置是否带cookie
xhr.withCredentials = true;

xhr.open('post', 'http://www.domain2.com:8080/login', true);
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send('user=admin');

xhr.onreadystatechange = function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        alert(xhr.responseText);
    }
};

6、nginx代理跨域

浏览器跨域访问js、css、img等常规静态资源被同源策略许可,但iconfont字体文件(eot|otf|ttf|woff|svg)例外,此时可在nginx的静态资源服务器中加入以下配置。

location / {
  add_header Access-Control-Allow-Origin *;
}

nginx反向代理接口跨域

跨域原理: 同源策略是浏览器的安全策略,不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议,不会执行JS脚本,不需要同源策略,也就不存在跨越问题。

实现思路:通过nginx配置一个代理服务器(域名与domain1相同,端口不同)做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录。

ღ故里᭄ꦿ࿐
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
面试突击81:什么是跨域问题?如何解决?
m0_56069948的博客
09-08 2659
跨域问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决跨域问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部跨域、通过配置文件实现全局跨域、通过 CorsFilter 对象实现全局跨域、通过 Response 对象实现局部跨域,通过 ResponseBodyAdvice 实现全局跨域
前端面试系列之跨域
weixin_45316326的博客
04-16 495
前端跨域问题相信很多朋友都遇到过,很多时候我们都是直接交给后端来解决。那么为什么会出现跨域问题呢?后端是如何解决跨域问题? 什么是跨域? 广义的跨域包括: 资源跳转:超链接跳转、重定向、表单提交 资源嵌入:link、ifram、script、img,以及css样式中的background:url()、@font-face()等外链接 脚本请求:js的ajax请求、js或DOM 中的跨域操作 狭义的跨域:指浏览器同源策略限制的请求。我们通常所说的也指的是这种。 同源策略是一个重要的安全策略,它用于限制一
常见前端面试题--跨域
weixin_45663702的博客
03-07 3242
常见前端面试题--跨域
2024年前端最新「Vue面试题」在项目中你是如何解决跨域的?_vue面试题 跨域(1),2024疫情期间八家大厂的前端面试经历和真题整理
2401_84434301的博客
05-13 250
代理(Proxy)也称网络代理,是一种特殊的网络服务,允许一个(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。一定要注意跨域是浏览器的限制,你用抓包工具抓取接口数据,是可以看到接口已经把数据返回回来了,只是浏览器的限制,你获取不到数据。项目中,我们主要针对。
转载 跨域问题处理
西北的博客
12-31 335
转载:https://blog.csdn.net/qq_38128179/article/details/84956552 一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同...
面试必问之什么是跨域?以及跨域解决方法
qq_56352725的博客
01-11 1242
同源策略要求协议、域名、端口完全相同才能进行交互,若任何一个不同,就会被视为跨域。当前页面URL被请求页面的URL是否产生跨域原因否同源(协议、域名、端口相同)跨域协议不同跨域域名不同跨域端口号不同谈谈你对跨域的理解,如何解决跨域问题?跨域是指在不同的页面之间进行数据传输或通信产生的,严格一点说:只要 协议,域名,端口有任何一个的不同,就当作是跨域跨域是浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。这是为了防止恶意脚本获取用户的敏感信息或进行其他攻击。what。
前端面试:【跨域与安全】跨域问题及解决方案
weixin_42132860的博客
08-23 1782
跨域问题指的是在Web开发中,浏览器的同源策略(Same-Origin Policy)限制了一个网页从一个源(域名、协议、端口)加载的文档或脚本如何与来自另一个源的资源进行互操作。跨域问题是Web开发中的一项关键挑战,但通过使用JSONP、CORS、代理服务器等解决方案,你可以安全地进行跨域通信。嗨,亲爱的Web开发者!本文将深入探讨跨域问题的背景以及解决方案,以确保你的应用既安全又能与其他域名的资源进行互操作。亲爱的Web开发者,现在你已经了解了跨域问题及其解决方案,以及如何确保Web应用的安全性。
面试官打断,SpringBoot 中实现跨域的5种方式,java面试常问问题
2401_84003115的博客
04-08 611
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)二、什么是跨域=======
前端面试题及答案.zip
04-18
"前端面试题及答案.zip"这个压缩包很可能包含了丰富的前端面试题目以及相应的解答,旨在帮助求职者或希望提升技能的前端工程师更好地准备面试。让我们来深入探讨一些可能涵盖的知识点。 1. HTML/CSS基础: - HTML...
2017前端面试题整理汇总
08-23
这份"2017前端面试题整理汇总"旨在为求职者提供一个全面了解前端面试趋势和必备技能的平台。 1. **JavaScript** JavaScript是前端开发的核心语言,面试中通常会考察基础语法、函数、闭包、原型链、异步处理等方面...
2024最全前端面试题
最新发布
07-15
前端面试题概述 本文档汇总了前端开发中常见的技术面试问题,涵盖了HTML、CSS、JavaScript、Vue、React、ES6及Webpack等多个方面。主要内容包括: HTML与CSS:详述了rem、em、vw、vh等单位的区别,以及BFC布局规则...
前端开发面试题、腾讯华为前端面试题
02-16
本文将围绕“前端开发面试题、腾讯华为前端面试题”这一主题,深入探讨前端开发者在面试过程中可能遇到的关键知识点,包括Vue.js、JavaScript(特别是ES6)、React、Redux、正则表达式以及HTML/CSS等方面。...
2019年前端面试题
03-02
在2019年的前端面试中,面试官通常会考察候选人的基础知识、技术深度、实际项目经验以及对新技术的理解和应用。以下是一些可能被问到的重要知识点: 1. HTML/CSS基础: - HTML5的新特性:如离线存储、表单控件、...
彻底理解前端安全面试题(3)—— CORS跨域资源共享,解决跨域问题,建议收藏(含源码)
qq_17335549的博客
01-03 2303
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于跨域的问题已经总结完成,本篇文章详细介绍了如何使用并配置CORS、JSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
浏览器的同源策略和跨域访问
IT1125275074的博客
03-17 250
1. 什么是同源策略 理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 何谓同源: URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 同源策略: 浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。...
跨域,不得不说的面试题!
あなたの可愛い41
10-22 915
今天我们来聊聊跨域吧!什么是跨域?大框架jsonp跨域iframe跨域document.domain+iframe跨域window.name+iframe跨域location.hash+iframe跨域postMessage跨域CORS跨域简介WebSocket协议跨域webpack代理主流CORS跨域webpack代理 什么是跨域? 简单来说就是,网址的 协议,域名或者端口号不同造成的无法访问的情况。(有一个不同即不同!) 大框架 1.jsonp跨域 2.iframe跨域 1.document.dom
前端面试——跨域问题
Amethyst的博客
11-27 2637
文章目录cookie和session的区别cookie,localStorage,sessionStorage的区别CSRF和XSS攻击及防范跨域问题浏览器的同源策略跨域解决方案跨域资源共享(CORS)通过JSONP跨域websocket协议跨域 cookie和session的区别 cookie数据存放在浏览器上,session存放在服务器上 cookie一般在客户端有大小限制,一般为4K,session没有限制,但是考虑到服务器性能,一般不能存放太多数据 cookie可以设置过期时间,否则一直有效,se
js跨域相关面试题
王春燕的博客
05-23 630
一、什么是跨域 广义的跨域包括: 资源跳转:超链接跳转、重定向、表单提交 资源嵌入:link、ifram、script、img,以及css样式中的background:url()、@font-face()等外链接 脚本请求:js的ajax请求、js或DOM 中的跨域操作 狭义的跨域:指浏览器同源策略限制的请求 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 当协议、子域...
前端面试总结之:js跨域问题
weixin_34387284的博客
03-28 491
金三银四,这会到了招聘的高峰期,最近很多朋友都向我发来了面试题,特此来自我留下笔记和分享,希望对大家有帮助,有所提升。什么是跨域?我们经常会看到上边类似的报错,Access-Cotrol-Allow-Origin 这是典型的跨域报错。其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景。那什么是同源策略呢?什么是同源策略?浏览器安全的基石是"同源政策"(same-origin po...
如何实现跨域?说一下 JSONP 实现原理?
03-31
跨域实现方式有很多种,常见的有以下几种: 1. CORS(Cross-Origin Resource Sharing)跨域资源共享:在服务端设置响应头,允许其他域名的请求访问。 2. 代理:在同一域名下设置代理,将跨域请求代理到服务端,再返回结果。 3. JSONP:利用 script 标签的跨域特性,通过动态创建 script 标签,将数据作为参数传递到另一个域名下的回调函数中。 JSONP 的实现原理: JSONP(JSON with Padding)是一种跨域请求的方式,它的原理是利用 script 标签的 src 属性不受同源策略限制的特点,动态创建一个 script 标签,将需要获取的数据作为参数传递给另一个域名下的一个回调函数,服务端返回的数据将包裹在回调函数中返回,前端通过回调函数获取数据。 例如: ``` <script> function handleResponse(data) { console.log(data); } let script = document.createElement('script'); script.src = 'http://example.com/data?callback=handleResponse'; document.body.appendChild(script); </script> ``` 上面的代码中,我们动态创建了一个 script 标签,src 属性指向需要获取数据的地址,并通过 callback 参数将回调函数传递到服务端。服务端返回的数据将包裹在回调函数中,前端通过回调函数 handleResponse 获取数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ღ故里᭄ꦿ࿐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值