每日复盘: 聊聊跨域那些事

最新推荐文章于 2024-09-21 10:38:43 发布
最新推荐文章于 2024-09-21 10:38:43 发布
阅读量388 收藏
点赞数
文章标签: java http 编程语言 nginx 分布式
原文链接:http://h5.dooring.cn
版权

关注并将「趣谈前端」设为星标

每早08:30按时推送技术干货/优秀开源/技术思维

青春不散场

前沿:跨域是一个老生常谈的话题,树酱在github上无意间看到cors-anywhere这个开源库,加上最近身边有一些实习童鞋在本地开发环境中提出疑惑????,本地开发是如何解决跨域问题的?结合以上,也就有了今天的主题,前端跨域解决方案那些事。跨域解决方案比较多,????酱君把平时接触比较多的share一下

1.什么是跨域?

首先我们先看看下面这个列子

这个就是典型的跨域问题,那为何会跨域?是因为浏览器的安全功能“同源策略”,它限制了两个不同源之间的数据访问以及交互,因为不同源,浏览器限制访问不到。本质上是一个安全机制,为了防止程序恶意调用。

2.同源策略

工欲善其事,必先利其器。想要更好地理解跨域,那就要梳理好同源策略,而所谓同源就是指,域名,协议,端口相同,看看下面这个经典演示图,对比下访问 http://a.tree.com的同源检测

Url结果原因
http://b.tree.com不成功不同域名
http://a.tree.com:81/home不成功不同端口
https://a.tree.com/home不成功不同协议(http https)
http://a.tree.com/user成功域名,协议,端口相同

换句话说:影响是否跨域的3个因素:协议+域名+端口

但是我就是要请求不同源的!咋搞?

3.如何解决浏览器存在的跨域问题?

这个时候就是我们熟悉的CORS出场,CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing),CORS的存在使得浏览器向跨源服务器,发出XMLHttpRequest请求。他是怎么让原本僵持不下的浏览器童鞋和服务器童鞋,成功牵手????的呢?but 也需要两个人的共同努力,主要需要下面两个方面的改造

  • ???? 服务器: 需要实现了CORS接口,就可以跨源通信

  • ???? 浏览器:需要在请求头加上一些头信息

CORS背后的基本思想是通过使用自定义的HTTP头部允许浏览器和服务器了解对方,从而决定请求是否成功响应,而决定是否成功关键步骤就在于“预检”

啊呆同学:我们平时看到我们控制台Network中一个接口会出现两次调用,其中一次是OPTIONS请求,这个是啥?

答:这就是个预检操作。对于非简单请求,会在真正发起请求之前,发起一次HTTP查询请求(OPTIONS请求),即"预检"请求。预检的目的就是看看浏览器童鞋和服务器童鞋是否牵手成功,浏览器童鞋会先询问服务器童鞋,目前发起请求的域名是否在服务器的白名单中,如果在,浏览器才会真正才会发起正式的XMLHttpRequest请求

啊呆同学:那他们是如何检测是否牵手成功?

答:主要包括CORS相关的HTTP头部有:

客户端发送

  • Origin:请求来自哪个源

  • Access-Control-Request-Method:浏览器的CORS请求会用到哪些HTTP方法

  • Access-Control-Request-Headers:CORS请求会额外发送的头信息字段

服务端接受后,检查????以上相关字段,然后回应下面????其他CORS相关字段

  • Access-Control-Allow-Origin:表示服务端允许的源

  • Access-Control-Allow-Headers:表示表明服务器支持的所有头信息字段

  • Access-Control-Allow-Methods:表明服务器支持的所有跨域请求方法

我们看看下面这个例子,使用Nginx做的静态资源CORS支持,通过add_header增加http响应头

阿芬同学:以前不是都用JSONP吗,两者有什么区别?答:目的相同,但JSONP仅使用与GET请求,而CORS支持所有类型的HTTP请求,而且JSONP主要支持的浏览器都是“老古董”,而现在绝大多数的浏览器都是支持CORS的

???? 拓展阅读:

  • 跨域资源共享 CORS 详解[1]

4.服务端角度去解决跨域原理

如果有个需求,需要你去调用第三方的API或者资源,但第三方并没有将你的Orgins设置到Access-Control-Allow-Origin头信息中去,那你是无法获取第三方数据资源的,那上面的办法行不通,这种情况该怎么解决?

你可以通过node中间件实现跨域代理,原理大致与上一节提到nginx相同,就是通过启一个代理服务器,实现数据的的转发来完成,简而言之就是在客户端和第三方服务中间再加一个“代理商”,让这个代理商去第三方获取再返回给客户端

4.1 CORS Anywhere

CORS Anywhere是一个NodeJS反向代理,它将CORS标头添加到代理请求中文档链接[2]

他提供了一个在线的使用版本:https://cors-anywhere.herokuapp.com/://example.com,他的流程是这样,看下图所示????

本质上是一个服务:用来帮你在请求header中添加CORS,这个“代理商”会帮助你的客户端发送请求,然后接收服务端的返回数据再传送给客户端。与早期使用的chrome插件Allow-control-allow-origin一样,“代理商”会在收到服务端返回的时候,在返回的header中加入Access-Control-Allow-Origin: *

阿乐同学:这种原理是什么?

答:该方法利用了同源策略只作用于浏览器-服务器之间的通信,而同源策略并不会限制服务端与服务端之间的通信

翻了下源码,通过重写XMLHttpRequest.open()

???? 拓展阅读:

  • github- cors-anywhere demo[3]

  • Javascript:重写XMLHttpRequest.open()[4]

4.2 http-proxy-middleware

http-proxy-middleware用于后台将请求转发给其它服务器,跟上一节提的原理是一致的,不过它是一个中间件,需要结合express使用文档链接[5]

无论我们平时在使用webpack中webpack-dev-server配置还是vue-cli中的vue.config.js中的devServer,来配置本地开发接口映射,以此解决本地开发跨域存在的问题,本质上就是基于http-proxy-middleware中间件 ,通过把后端的API的请求代理到本地服务器上,方便与后台数据调试,解决跨域问题~

配置如下所示:

  • webpack中的webpack-dev-server[6]

  • vue-cli的devServer[7]

我们看看 webpack中webpack-dev-server的实现就是基于http-proxy-middleware源码链接[8]

啊轩同学:自己如何搭建一个基于http-proxy-middleware的中间件的代理服务?

可以通过http-proxy-middleware中间件 + Express来实现,如下所示????

???? 拓展阅读:

  • http-proxy-middleware 源码解读[9]

  • 详解Webpack-dev-server的proxy用法[10]

4.3 Nginx反响代理

前两者介绍的主要是针对本地开发环境,跨域的解决方案。但是一般项目上线如果要解决存在的跨域问题,可以通过nginx作代理

数据交互流程:

  • 数据请求过程:客户端浏览器 -> 反向代理服务器 -> 处理数据的服务器

  • 数据返回过程:处理数据的服务器 -> 反向代理服务器 -> 客户端浏览器

我们可以通过proxy_pass的配置,确保访问的访问的接口与前端应用静态资源访问保持一致,也能解决跨域问题

Reference

[1]

跨域资源共享 CORS 详解: http://www.ruanyifeng.com/blog/2016/04/cors.html

[2]

文档链接: https://github.com/Rob--W/cors-anywhere

[3]

github- cors-anywhere demo: https://github.com/Rob--W/cors-anywhere/blob/master/demo.html

[4]

Javascript:重写XMLHttpRequest.open(): https://www.thinbug.com/q/7775767

[5]

文档链接: https://github.com/chimurai/http-proxy-middleware

[6]

webpack中的webpack-dev-server: https://webpack.js.org/configuration/dev-server/#devserver-proxy

[7]

vue-cli的devServer: https://cli.vuejs.org/zh/config/#devserver

[8]

源码链接: https://github.com/webpack/webpack-dev-server/blob/f7724ceaeff5274b71621df30a56ba0db1f33a7e/lib/Server.js

[9]

http-proxy-middleware 源码解读: https://zhuanlan.zhihu.com/p/49259795?from_voters_page=true

[10]

详解Webpack-dev-server的proxy用法: https://www.cnblogs.com/liuguiqian/p/11362211.html

徐小夕@趣谈前端
关注
复盘最近的面试
m0_68271787的博客
06-21 1319
分为几个阶段,创建阶段,挂载阶段,更新阶段,销毁阶段,还有捕获错误的阶段。每个阶段都有对应的钩子函数去执行。然后问我一般用哪个钩子去发请求,我说用onMounted,因为有些数据拿到之后可能会操作dom!!
Cors跨域(二):实现跨域Cookie共享的三要素
架构师:通透,才能写出好代码!
06-17 1734
高考不努力,工地里当兄弟
面试复盘
Learnsilence的博客
05-30 852
百度 一面 手写一个评分组件 原型、原型链问题 function Person(name) { this.name = name return name } var p = new Person('test') Person.__proto__等于什么?指向Person.prototype new运算符的原理: 创建一个空对象 a = {} 将空对象的原型赋值为构造函数的原型 a.__proto__ = A.prototype 更改构造函数内部this,将其指向新创建的空对象 A.cal
数字马力笔试面试复盘
weixin_48137421的博客
11-10 1万+
http缓存问题?有哪些?然后我自己介绍了自己项目中的一些个人觉得相对具有挑战性的点我做的是商城的项目,对当时的我来说,完成项目的时候确实存在一些具有挑战性的点,现在呢我通过学习和实践已经可以熟练的解决相似的问题。axios二次封装NextTick()导航守卫Vuex。
跨域 & Jsonp【详细】
egg_er的博客
03-07 850
跨域 在了解什么是跨域之前,我们先聊聊为什么会用到跨域,那就不得不说浏览器的同源策略了 那么什么是同源呢: 同源是指两个网页的协议,域名,端口都相同,那么这个两个网页就有相同的源,也就可以相互请求,不会受到浏览器同源策略的影响(同源策略就是:浏览器的保护机制:对于不同源的网页进行数据请求的时候,浏览器会阻止数据返回我们电脑的页面中); 那么什么是跨域呢: 很简单,与同源相反就是跨域,也就是说,当我们在不同源的网页中进行数据请求的时候,就会用到跨域。 出现跨域的根本原因就是: 浏览器的同源策略不允许非同源的U
Java学习路线总结,搬砖工逆袭Java架构师
热门推荐
学Java,找哪吒
09-07 25万+
定期分享Java硬核技术干货、分享Java学习路线、分享Java经典面试题
阿里一面复盘(凉经)
m0_49068745的博客
03-12 809
阿里一面复盘 1.开场白 面试官:你先做一个简单的自我介绍 我:OK,我叫沈金勇,软件工程专业,目前大三。在大学,主修的课程是JAVA、MYSQL、LINUX。然后我其他的技术栈的话,在简历上也有提到。到目前为止的话,我做过的JAVA类项目一个是五个。一个JAVAWeb项目,它是一个员工管理系统,smbms。然后还有两个是SSM项目。一个是ssmBuild是一个图书管理系统,还有一个是book项目,它也是一个书城项目,主要是在原来书城项目增加了一个下订单的功能,就是购物车的功能。然后还有两个是SpringB
忙的一天的复盘
weixin_34096182的博客
02-19 71
如果需要第三方协助的情,一定要优化处理,因为你的情,在对方的todoList中优先级未必最高 工作中的情,要知道自己那些能做,那些不能做 公司公关层面的情,一定要小心 学会预估一个的时间,自己再去验证。慢慢让时间估的越来越接近实际 聊方案一个方案如何说服对方:譬如使用aliOss的PresignedUrl,这样可以把复杂度集中在一个点【后端】,在前端看来就是两个普通的两个接口 ...
阿里巴巴心石:面向5G优酷正在做三件
LiveVideoStack
08-06 3970
在阿里巴巴的十年,心石从一名专注技术能力的工程师,转变成为技术方向决策与布局者,他也从手机淘宝转到了优酷。面对电商和视频截然不同的业务诉求,心石给出了自己的理解与解决方案...
〖程序员的自我修养 - 精炼面试篇③〗- 如何通过「自我介绍」更好的推销自己
易编橙 · 终身成长社群,相遇已是上上签!
07-04 1万+
"请做一下简单的自我介绍",这个在每一次的面试环节是一个必考题,不管你是去什么企业面试、面试的什么岗位、面了多少轮,每一轮面试的刚开始还是会让你重新做一次 "自我介绍" 。可能大家会有所疑惑,简历里不是都写了么,为什么还要浪费时间做自我介绍呢? 这样想的话就大错特错了, 面试官之所以会问这个问题,不是真的单纯让你介绍自己,而是让你介绍自己的同时,要看看你的语言组织能力,沟通能力 是否满足工作需要。
记第三次面试经历——酷家乐
zwkkkk1的博客
05-18 1万+
  这次的面试机会来的也很偶然,大概4月初的时候在 v2ex 论坛上看到了酷家乐的招聘信息,就照着邮箱发了自己的简历,当时也没有太在意。到了4月24号左右,收到了酷家乐的在线笔试邀约,在说这次面试前可以先聊聊这次在线笔试。   到现在为止,在线笔试也做了阿里、蘑菇街的,做个横向对比,酷家乐这次的笔试题目分配是20道选择题、3道编程题。很有趣的是在20道选择题中,大概前15道都是围绕数据结构、组成...
【产品经理修炼之道】- 中台规划深度解析:用户、机制、系统
xiaoli8748的专栏
06-10 978
编辑导语:中台这一概念从提出到大热,如今,已有不少企业开始组织架构的调整,搭建中台,那么如何更好的了解和规划中台呢?本篇文章中作者对中台规划进行了深度的解析,一起来学习一下。
上篇:技术架构的设计方法
阿里巴巴中间件
05-29 345
技术思考本质还是结构化思考,所以常见的结构化思考方法也是适用的。这也是大家会看到很多技术架构师都会用一些方法论去分析问题的原因。但这里我不是重新去论述这些常见的技巧,而是分享从技术实战中得到的一些思考方法,为此我分为了技术架构设计的方法和技术 Leader 的思考方法两类。
Arthas sysenv(查看JVM的环境变量)
最新发布
刘大猫
09-21 281
Arthas sysenv(查看JVM的环境变量)
Java企业面试题3
m0_74972727的博客
09-15 921
1. break和continue的作用(智*图) break:用于完全退出一个循环(如 for, while)或一个 switch 语句。当在循环体内遇到break语句时,程序会立即跳出当前循环体,继续执行循环之后的代码。 continue:用于跳过当前循环体中剩余的部分,并开始下一次循环。如果是在 for 循环中使用continue,则会直接进行条件判断以决定是否执行下一轮循环。 2. if分支语句和switch分支语句的异同之处(智*图) 相同点:都是用来根据不同的条件执行不同的代码块。
faiss安装 (CPU版本)
CSDN_WHB的博客
09-20 211
faiss版本 faiss-v1.7.4。
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 975
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
面试突击-多线程和IO专题(至尊典藏版)
人生若只初相见@的博客
09-18 1683
金九银十多线程和IO大厂面试专题
前端开发:jQuery AJAX实现跨域请求详解
"jQuery使用ajax跨域请求获取数据" 在Web开发中,跨域(Cross-Origin)是指一个域下的文档或脚本尝试请求另一个域上的资源。由于浏览器的安全策略,同源策略(Same-origin policy)限制了JavaScript的这种行为,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值