目录
什么是跨越?
浏览器有一个重要的安全策略,称之为「同源策略」
其中,源=协议+域名+端口源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为跨源或跨域
比如:
源 1 | 源 2 | 是否同源 |
---|---|---|
www.baidu.com | www.baidu.com/news | ✅ |
https://www.baidu.com | http://www.baidu.com | ❌ |
http://localhost:5000 | http://localhost:7000 | ❌ |
http://localhost:5000 | http://127.0.0.1:5000 | ❌ |
www.baidu.com | baidu.com | ❌ |
同源策略是指,若页面的源和页面运行过程中加载的源不一致时,出于安全考虑,浏览器会对跨域的资源访问进行一些限制
同源策略对 ajax 的跨域限制的最为凶狠,默认情况下,它不允许 ajax 访问跨域资源
所以,我们通常所说的跨域问题,就是同源策略对 ajax 产生的影响
常见的跨域请求
-
代理,常用
-
CORS,常用
无论使用哪一种方式,都是要让浏览器知道,我这次跨域请求的是自己人,就不要拦截了。
跨域解决方法1-代理
对于前端开发而言,大部分的跨域问题,都是通过代理解决的
代理适用的场景是:生产环境不发生跨域,但开发环境发生跨域
因此,只需要在开发环境使用代理解决跨域即可,这种代理又称之为开发代理
代理代码
-
module.exports
= {
-
devServer:{
-
port:
9527,
/
/端口号吗,如果被占用会自动提升
+
1
-
host:
"localhost",
/
/主机名
-
https:
false,
-
open:
true,
/
/启动服务时自动打开浏览器
-
proxy:{
-
/
/匹配
'/dev-api'开头的请求
-
[process.env.VUE_APP_BASE_API]:{
-
target:process.env.VUE_APP_SERVICE_URL,
-
changOrigin:
true,
/
/开启代理
-
pathRewrite:{
-
[
'^'
+process.env.VUE_APP_BASE_API]:
''
-
}
-
}
-
}
-
},
-
lintOnSave:
false,
/
/关闭格式检查
-
productionSourceMap:
false
/
/不生产.map文件
-
}
跨域解决方法2-JSONP
在CORS出现之前,人们想了一种奇妙的办法来实现跨域,这就是JSONP。
要实现JSONP,需要浏览器和服务器来一个天衣无缝的绝妙配合。JSONP的做法是:当需要跨域请求时,不使用AJAX,转而生成一个script元素去请求服务器,由于浏览器并不阻止script元素的请求,这样请求可以到达服务器。服务器拿到请求后,响应一段JS代码,这段代码实际上是一个函数调用,调用的是客户端预先生成好的函数,并把浏览器需要的数据作为参数传递到函数中,从而间接的把数据传递给客户端。
JSONP有着明显的缺点,即其只能支持GET请求
JSON在vue中代码
这是个请求天气的代码
-
import jsonp
from
'jsonp';
-
/
*
-
通过jsonp请求获取天气信息
-
*
/
-
export
function reqWeather(city) {
-
const url
= `https:
/
/www.yiketianqi.com
/
free
/
day?appid
=
22798719
&appsecret
=Vtmkf
3YG
&unescape
=
1
&city
=${city}`;
-
return new Promise((resolve, reject)
=
> {
-
jsonp(url, {
-
param:
'callback'
-
}, (
error, response)
=
> {
-
if (!
error
&
& response.cityid) {
-
const {
-
tem_
day,
-
tem_night,
-
wea,
-
wea_img
-
}
= response;
-
resolve({
-
tem_
day,
-
tem_night,
-
wea,
-
wea_img
-
})
-
}
else {
-
alert(
'获取天气失败')
-
}
-
})
-
})
-
}
跨域解决方法3-CORS
概述
CORS
是基于http1.1
的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。
而要知道,一个请求可以附带很多信息,从而会对服务器造成不同程度的影响
比如有的请求只是获取一些新闻,有的请求会改动服务器的数据
CORS的三种请求
- 简单请求
- 需要预检的请求
- 附带身份凭证的请求
这三种模式从上到下层层递进,请求可以做的事越来越多,要求也越来越严格。
下面分别说明三种请求模式的具体规范。
简单请求
当浏览器端运行了一段 ajax 代码(无论是使用 XMLHttpRequest 还是 fetch api),浏览器会首先判断它属于哪一种请求模式
简单请求的判定
当请求同时满足以下条件时,浏览器会认为它是一个简单请求:
- 请求方法属于下面的一种:
- get
- post
- head
- 请求头仅包含安全的字段,常见的安全字段如下:
Accept
Accept-Language
Content-Language
Content-Type
DPR
Downlink
Save-Data
Viewport-Width
Width
- 请求头如果包含
Content-Type
,仅限下面的值之一:text/plain
multipart/form-data
application/x-www-form-urlencoded
如果以上三个条件同时满足,浏览器判定为简单请求。
下面是一些例子:
-
/
/ 简单请求
-
fetch(
'http://crossdomain.com/api/news');
-
-
/
/ 请求方法不满足要求,不是简单请求
-
fetch(
'http://crossdomain.com/api/news', {
-
method:
'PUT',
-
});
-
-
/
/ 加入了额外的请求头,不是简单请求
-
fetch(
'http://crossdomain.com/api/news', {
-
headers: {
-
a:
1,
-
},
-
});
-
-
/
/ 简单请求
-
fetch(
'http://crossdomain.com/api/news', {
-
method:
'post',
-
});
-
-
/
/ content-type不满足要求,不是简单请求
-
fetch(
'http://crossdomain.com/api/news', {
-
method:
'post',
-
headers: {
-
'content-type':
'application/json',
-
},
-
});
-
需要预检的请求
简单的请求对服务器的威胁不大,所以允许使用上述的简单交互即可完成。
但是,如果浏览器不认为这是一种简单请求,就会按照下面的流程进行:
- 浏览器发送预检请求,询问服务器是否允许
- 服务器允许
- 浏览器发送真实请求
- 服务器完成真实的响应
附带身份凭证的请求
默认情况下,ajax 的跨域请求并不会附带 cookie,这样一来,某些需要权限的操作就无法进行
不过可以通过简单的配置就可以实现附带 cookie
-
/
/ xhr
-
var xhr
= new XMLHttpRequest();
-
xhr.withCredentials
=
true;
-
-
/
/ fetch api
-
fetch(url, {
-
credentials:
'include',
-
});
这样一来,该跨域的 ajax 请求就是一个附带身份凭证的请求
当一个请求需要附带 cookie 时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie
字段
而服务器响应时,需要明确告知客户端:服务器允许这样的凭据
告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true
即可
对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。
另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为*
。这就是为什么不推荐使用*的原因
一个额外的补充
在跨域访问时,JS 只能拿到一些最基本的响应头,如:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,则需要服务器设置本响应头。
Access-Control-Expose-Headers
头让服务器把允许浏览器访问的头放入白名单,例如:
Access-Control-Expose-Headers: authorization, a, b
这样 JS 就能够访问指定的响应头了。