接口测试(二)——跨域
一、跨域相关
在浏览器中,只有 协议,主机,端口三者都相同时,才可以互相访问,否则,不可以访问。
1. 含义
广义:指一个域下的文档或脚本试图去请求另一个域下的资源。
狭义:浏览器不能执行其他网站的脚本,是由浏览器同源策略限制的一类请求场景,从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域。
浏览器同源策略:js脚本,用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。
定义:如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。
作用:是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收
2.解决方案
- jsonp跨域(JSON with Padding):
script
标签不受到域名限制,浏览器传递callback
参数给后端,后端使用callback参数作为函数名包裹数据返回给前端。
回调函数是一段可执行的代码段,它作为一个参数传递给其他的代码,其作用是在需要的时候方便调用这段(回调函数)代码。(作为参数传递到另外一个函数中,这个作为参数的函数就是回调函数)
-
服务器代理:发送跨域请求时,后端进行代理中转请求至服务器端,然后将获取的数据返回给前端。
-
CORS (Cross-Origin Resource Sharing) 跨域资源共享 (核心)
- 在请求头上增加
Origin
字段, 服务器配置Access-Control-Allow-Origin
头信息。 - 当CORS请求需要携带cookie时,需要服务端配置Access-Control-Allow-Credentials头信息,前端也需要设置withCredentials
- 或者使用预检方式
OPTIONS
请求
- 在请求头上增加