如何解决前端跨域问题：从CORS到JSONP

几何心凉

于 2024-09-08 10:29:38 发布

阅读量806

点赞数 19

分类专栏：前端入门之旅文章标签：前端

本文链接：https://blog.csdn.net/JHXL_/article/details/142023117

版权

前端入门之旅专栏收录该内容

386 篇文章 67 订阅

订阅专栏

聚沙成塔·每天进步一点点

⭐ 专栏简介

前端入门之旅：探索Web开发的奇妙世界 欢迎来到前端入门之旅！感兴趣的可以订阅本专栏哦！这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是完全的新手还是有一些基础的开发者，这里都将为你提供一个系统而又亲切的学习平台。在这个专栏中，我们将以问答形式每天更新，为大家呈现精选的前端知识点和常见问题解答。通过问答形式，我们希望能够更直接地回应读者们对于前端技术方面的疑问，并且帮助大家逐步建立起一个扎实的基础。无论是HTML、CSS、JavaScript还是各种常用框架和工具，我们将深入浅出地解释概念，并提供实际案例和练习来巩固所学内容。同时，我们也会分享一些实用技巧和最佳实践，帮助你更好地理解并运用前端开发中的各种技术。

在这里插入图片描述

无论你是寻找职业转型、提升技能还是满足个人兴趣，我们都将全力以赴，为你提供最优质的学习资源和支持。让我们一起探索Web开发的奇妙世界吧！加入前端入门之旅，成为一名出色的前端开发者！ 让我们启航前端之旅！！！

如何解决前端跨域问题：从CORS到JSONP

1. 引言

在前端开发中，跨域问题常常成为开发者面临的一大挑战。浏览器的同源策略（Same-Origin Policy）旨在保护用户数据安全，但也限制了从一个域访问另一个域的资源。为了突破这一限制，开发者采用多种方式来解决跨域问题，其中最常见的两种方法是 CORS（跨域资源共享）和 JSONP（JSON with Padding）。本文将深入探讨跨域问题的原理和解决方案。

2. 什么是跨域问题？

2.1 同源策略（Same-Origin Policy）

同源策略是一种浏览器安全机制，规定了同一个域名、协议和端口才能共享资源。如果这三者中有任何一个不同，就会被视为跨域请求，默认情况下，浏览器会阻止这些请求。

例如，https://example.com 向 https://api.example.com 发起请求时，由于域名不同，这就是一个跨域请求，浏览器将自动拒绝它。

2.2 跨域请求的常见场景

跨域问题通常出现在以下场景：

不同的域名：如 https://example.com 和 https://api.example.com。
不同的端口：如 https://example.com:3000 和 https://example.com:4000。
不同的协议：如 http://example.com 和 https://example.com。

3. 常见的跨域解决方案

3.1 CORS（Cross-Origin Resource Sharing）

3.1.1 什么是CORS？

CORS 是浏览器支持的一种机制，它允许服务器在响应头中声明哪些域名有权访问资源。通过配置CORS头，服务器可以允许特定的跨域请求，而浏览器会根据服务器的指示决定是否放行请求。

3.1.2 配置CORS

服务器通过在HTTP响应中添加相关的头信息来允许跨域访问，最常见的CORS头有：

Access-Control-Allow-Origin：指定允许的域名，或使用 * 来允许任何域访问。
Access-Control-Allow-Methods：指定允许的HTTP方法，如 GET、POST 等。
Access-Control-Allow-Headers：指定可以使用的请求头，如 Content-Type、Authorization。
Access-Control-Allow-Credentials：是否允许发送用户凭证（如Cookies）。

示例：

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Credentials: true

3.1.3 浏览器如何处理CORS？

对于简单请求，浏览器会直接发起跨域请求，并根据服务器的响应头决定是否允许。如果请求包含自定义头、非简单的HTTP方法，浏览器会先发送一个 预检请求（OPTIONS 请求）来检查是否被允许，只有服务器返回正确的CORS头，浏览器才会继续发送实际请求。

3.1.4 优缺点

优点：现代浏览器广泛支持，且灵活性高，能精确控制允许的域和请求方式。
缺点：需要服务器配置支持，且预检请求会引入额外的网络开销。

3.2 JSONP（JSON with Padding）

3.2.1 什么是JSONP？

JSONP 利用了<script>标签可以跨域加载脚本的特性来解决跨域问题。服务器返回的是一段包含数据的JavaScript代码，前端以回调函数的形式执行该代码。

3.2.2 如何实现JSONP？

客户端发起请求时，需指定一个回调函数名称，服务器返回的JSON数据会被包裹在这个函数调用中。

客户端代码示例：

function handleResponse(data) {
  console.log('Received data:', data);
}

var script = document.createElement('script');
script.src = 'https://api.example.com/data?callback=handleResponse';
document.body.appendChild(script);

服务器响应示例：

handleResponse({
  "name": "John",
  "age": 30
});

3.2.3 优缺点

优点：JSONP可以在不支持CORS的环境中进行跨域请求。
缺点：只支持 GET 请求，且存在安全风险，如被利用进行XSS攻击。

3.3 代理服务器

3.3.1 什么是代理服务器？

代理服务器 是一种服务器中转方式，前端通过请求代理服务器，代理服务器再去请求实际的目标服务器。这样请求看起来是从同源服务器发出的，避免了跨域限制。

3.3.2 如何实现？

在本地开发时，常用的方式是通过Webpack的 devServer 配置代理。在生产环境中，Nginx等服务器可以配置代理。

Webpack配置示例：

module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'https://api.example.com',
        changeOrigin: true,
        pathRewrite: {'^/api' : ''}
      }
    }
  }
};

3.3.3 优缺点

优点：代理服务器可以完全控制请求，可以适用于复杂的跨域请求场景。
缺点：增加了服务器端的负担，并且需要额外的服务器配置。

3.4 跨域资源代理（Cross-Origin Resource Proxy）

跨域资源代理 是专门用于跨域请求的中间服务，开发者可以通过这些服务来请求目标API，避免直接跨域请求。这类服务通常第三方提供，简化了配置工作。

4. 常见跨域问题解决方案比较

解决方案	优点	缺点	使用场景
CORS	广泛支持，灵活控制资源访问	需要服务器支持，预检请求增加延迟	现代Web开发中的跨域请求
JSONP	实现简单，不需要服务器支持	仅支持GET，存在安全风险	旧版API和不支持CORS的环境
代理服务器	可以完全控制请求，灵活处理跨域	增加服务器负担	复杂的跨域场景，尤其是开发环境
资源代理	简单易用，适合快速跨域访问	依赖第三方服务	快速解决小项目的跨域问题

5. 总结

跨域问题是前端开发中不可避免的挑战之一，开发者可以根据具体场景选择合适的解决方案。CORS 是现代Web的标准解决方案，提供了灵活的访问控制；JSONP 适用于只支持GET请求的旧API场景；代理服务器 则为复杂跨域请求提供了更灵活的解决途径。理解这些解决方案的原理和应用场景，可以帮助开发者在日常工作中更加高效地处理跨域问题。

⭐ 写在最后

本专栏适用读者比较广泛，适用于前端初学者；或者没有学过前端对前端有兴趣的伙伴，亦或者是后端同学想在面试过程中能够更好的展示自己拓展一些前端小知识点，所以如果你具备了前端的基础跟着本专栏学习，也是可以很大程度帮助你查漏补缺，由于博主本人是自己再做内容输出，如果文中出现有瑕疵的地方各位可以通过主页的左侧联系我，我们一起进步，与此同时也推荐大家几份专栏，有兴趣的伙伴可以订阅一下：除了下方的专栏外大家也可以到我的主页能看到其他的专栏；

前端小游戏（免费）这份专栏将带你进入一个充满创意和乐趣的世界，通过利用HTML、CSS和JavaScript的基础知识，我们将一起搭建各种有趣的页面小游戏。无论你是初学者还是有一些前端开发经验，这个专栏都适合你。我们会从最基础的知识开始，循序渐进地引导你掌握构建页面游戏所需的技能。通过实际案例和练习，你将学会如何运用HTML来构建页面结构，使用CSS来美化游戏界面，并利用JavaScript为游戏添加交互和动态效果。在这个专栏中，我们将涵盖各种类型的小游戏，包括迷宫游戏、打砖块、贪吃蛇、扫雷、计算器、飞机大战、井字游戏、拼图、迷宫等等。每个项目都会以简洁明了的步骤指导你完成搭建过程，并提供详细解释和代码示例。同时，我们也会分享一些优化技巧和最佳实践，帮助你提升页面性能和用户体验。无论你是想寻找一个有趣的项目来锻炼自己的前端技能，还是对页面游戏开发感兴趣，前端小游戏专栏都会成为你的最佳选择。点击订阅前端小游戏专栏

在这里插入图片描述

Vue3通透教程【从零到一】（付费） 欢迎来到Vue3通透教程！这个专栏旨在为大家提供全面的Vue3相关技术知识。如果你有一些Vue2经验,这个专栏都能帮助你掌握Vue3的核心概念和使用方法。我们将从零开始,循序渐进地引导你构建一个完整的Vue应用程序。通过实际案例和练习,你将学会如何使用Vue3的模板语法、组件化开发、状态管理、路由等功能。我们还会介绍一些高级特性,如Composition API和Teleport等,帮助你更好地理解和应用Vue3的新特性。在这个专栏中,我们将以简洁明了的步骤指导你完成每个项目,并提供详细解释和示例代码。同时,我们也会分享一些Vue3开发中常见的问题和解决方案,帮助你克服困难并提升开发效率。无论你是想深入学习Vue3或者需要一个全面的指南来构建前端项目,Vue3通透教程专栏都会成为你不可或缺的资源。点击订阅Vue3通透教程【从零到一】专栏

在这里插入图片描述

TypeScript入门指南（免费） 是一个旨在帮助大家快速入门并掌握TypeScript相关技术的专栏。通过简洁明了的语言和丰富的示例代码，我们将深入讲解TypeScript的基本概念、语法和特性。无论您是初学者还是有一定经验的开发者，都能在这里找到适合自己的学习路径。从类型注解、接口、类等核心特性到模块化开发、工具配置以及与常见前端框架的集成，我们将全面覆盖各个方面。通过阅读本专栏，您将能够提升JavaScript代码的可靠性和可维护性，并为自己的项目提供更好的代码质量和开发效率。让我们一起踏上这个精彩而富有挑战性的TypeScript之旅吧！点击订阅TypeScript入门指南专栏

在这里插入图片描述