1. 同源策略
同源策略是一套浏览器安全机制,当一个源的文档和脚本,与另一个源的资源进行通信时,同源策略就会对这个通信做出不同程度的限制。
同源策略对 同源资源 放行,对 异源资源 限制。因此限制造成的开发问题,称之为跨域(异源)问题。
1.1 同源和异源
源(origin) = 协议 + 域名 + 端口
1.2 跨域出现的场景
-
网络通信
a元素的跳转(href);加载css、js、图片等(src);AJAX等等,同源策略会产生不同程度的限制,尤其这里对 ajax 限制非常严格
-
JS API
window.open
、window.parent
、iframe.contentWindow
等等 -
存储
WebStorage
、IndexedDB
等等
1.3 网络中的跨域
请求页面的源称之为页面源,在该页面中发出的请求称之为目标源。
当页面源和目标源一致时,则为同源请求,否则为异源请求(跨域请求)
2. 解决方案
2.1 CORS
CORS(Cross-Origin Resource Sharing)是最正统的跨域解决方案,同时也是浏览器推荐的解决方案。
CORS,依赖服务端对前端的请求头信息进行放行,不做限制。
Access-Control-Allow-Origin配置成*
CORS将请求分为两类:简单请求和预检请求。
2.1.1 简单请求
简单来说,只要全部满足下列条件,就是简单请求:
-
请求方法是
GET
、POST
、HEAD
之一 -
头部字段满足CORS安全规范,详见 W3C
浏览器默认自带的头部字段都是满足安全规范的,只要开发者不改动和新增头部,就不会打破此条规则
-
如果有
Content-Type
,必须是下列值中的一个:(axios等库需要时会自动更改Content-Type
)text/plain
multipart/form-data
application/x-www-form-urlencoded
简单请求的交互规范:
- 请求头中会自动添加 Origin 字段(就是说Origin 告诉服务器,是哪个源在进行跨域请求)
- 服务器响应头中包含 Access-Control-Allow-Origin(服务器收到请求后,如果允许请求跨域访问,需要在响应头添加 Access-Control-Allow-Origin ,该字段包含允许跨域的源)
2.1.2 预检请求(preflight)
只要不是简单请求,均为预检请求。
2.1.3 服务器对请求的验证
2.1.3.1 对简单请求的验证
2.1.3.2 对预检请求的验证
- 发送预检请求
预检请求的目的是询问服务器是否允许后续的真实请求,预检请求没有请求头、请求体。预检请求及对应的响应如上图所示。
- 服务器允许预检请求后才会发送真实请求(和简单请求一致)
2.1.4 两个小问题
2.1.4.1 关于cookie
默认情况下,ajax的跨域请求并不会附带cookie,这样一来,某些需要权限的操作就无法进行。
不过可以通过简单的配置就可以实现附带cookie。
// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
// fetch api
fetch(url, {
credentials: "include"
})
这样一来,该跨域的ajax请求就是一个附带身份凭证的请求。
当一个请求需要附带cookie时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie
字段。
而服务器响应时,需要明确告知客户端:服务器允许这样的凭据。
告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true
即可。
对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。
另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为*
。这就是为什么不推荐使用*的原因。
2.1.4.2 关于跨域获取响应头
在跨域访问时,JS只能拿到一些最基本的响应头,如:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,则需要服务器设置本响应头。
Access-Control-Expose-Headers
头让服务器把允许浏览器访问的头放入白名单,例如:
Access-Control-Expose-Headers: authorization, a, b
这样JS就能够访问指定的响应头了。
2.2 JSONP
JSONP,主要依赖的是script标签不受同源策略影响,src指向某一个接口的地址, 同步需要传递callback回调函数名字, 这样当接口调用成功后, 本地创建的全局回调函数就会执行, 并且接收到数据。不使用img标签的原因是因为img标签无法执行js语句
没有CORS方法的时候。
虽然可以解决问题,但JSONP有着明显的缺陷:
-
仅能使用GET请求
-
容易产生安全隐患
恶意攻击者可能利用
callback=恶意函数
的方式实现XSS
攻击 -
容易被非法站点恶意调用
因此,除非是某些特殊的原因,否则永远不应该使用JSONP。
// server.js
const express = require('express');
const bodyParser = require('body-parser');
const cors = require('cors');
const app = express();
app.use(cors());
app.use(bodyParser.json());
// jsonp
app.get('/jsonp', (req, res) => {
const cbname = req.query.callback || 'callback';
const data = {
msg: '来自服务器的消息',
};
res.set('content-type', 'application/javascript');
res.end(`${cbname}(${JSON.stringify(data)})`);
});
// proxy
app.get('/hero', async (req, res) => {
const axios = require('axios');
const resp = await axios.get('https://pvp.qq.com/web201605/js/herolist.json');
// 使用CORS解决对代理服务器的跨域
res.header('access-control-allow-origin', '*');
res.send(resp.data);
});
const PORT = 9527;
app.listen(PORT, () => {
console.log(`server start on port ${PORT}`);
});
// jsonp.html
// jsonp 的封装
const express = require('express');
const bodyParser = require('body-parser');
const cors = require('cors');
const app = express();
app.use(cors());
app.use(bodyParser.json());
// jsonp
app.get('/jsonp', (req, res) => {
const cbname = req.query.callback || 'callback';
const data = {
msg: '来自服务器的消息',
};
res.set('content-type', 'application/javascript');
res.end(`${cbname}(${JSON.stringify(data)})`);
});
// proxy
app.get('/hero', async (req, res) => {
const axios = require('axios');
const resp = await axios.get('https://pvp.qq.com/web201605/js/herolist.json');
// 使用CORS解决对代理服务器的跨域
res.header('access-control-allow-origin', '*');
res.send(resp.data);
});
const PORT = 9527;
app.listen(PORT, () => {
console.log(`server start on port ${PORT}`);
});
动态创建script src指向没有跨域限制, onload
后端返回的数据格式 一定是, test(‘[“111”,“222”,“3333”]’);
前端提前定义好 test这个方法,通过形参就拿到数据了。
jsonp 可以做get请求,无法做post请求(缺点);
jsonp可以取消吗?不能
2.3 代理
代理访问,前端访问不存在跨域问题的代理服务器,代理服务器再去访问目标服务器(服务器之间没有跨域限制)
CORS和JSONP均要求服务器是「自己人」
那如果不是呢?
那就找一个中间人(代理)。
适用场景:生产环境不产生跨域,但开发环境发生跨域。
3. 如何选择
保持生产环境和开发环境一致。
具体的几种场景:
总结
JSONP(JSON with Padding)
JSONP 是⼀种跨域请求数据的⽅式,它利⽤了<script>
标签不受同源策略限制的特性,可以
从不同的域名请求数据。实现原理是在服务端⽣成⼀个 JavaScript 函数,客户端使⽤ <script>
标签请求该函数,服务端返回该函数的调⽤,并将需要传输的数据作为函数参数传⼊。所以jsonp解决的跨域问题具有很明显的不⾜,它只能实现get⽅法的请求。对于post put delete 等其它请求⽆法实现。
// 前端
<script src="https://xxx.com/getUserInfo?
id=212&callback=getUserInfoRes"></script>
const getUserInfoRes = ({userName}) => {
console.log(userName)
}
// 后端 这⾥⽤ express 来模拟
app.get('/getUserInfo', (req, res) => {
const {id, callback} = req.query
const res = db.query('...', id, (err, res) => {
res.send(`callback(res.data)`)
})
})
CORS(Cross-Origin Resource Sharing)
CORS 是⼀种通过添加⼀些 HTTP 头来允许浏览器跨域访问资源的机制,主要是服务端配
置。服务端需要在响应头中添加 Access-Control-Allow-Origin 和其他⼀些参数,指示允许哪些域名进⾏跨域请求。
// index.js http://127.0.0.1:8000
const http = require('http');
const urllib = require('url');
const port = 8000;
http.createServer(function(req,res){
// 开启Cors
res.writeHead(200,{
// 设置允许跨域的域名,也可设置*允许所有域名
'Access-Control-Allow-Origin': 'http://127.0.0.1.5500',
// 跨域允许的请求⽅法,也可以设置*允许所有⽅法
"Access-Control-Allow-Methods": 'DELETE,PUT,POST,GET,OPIIONS',
// 允许的header类型
'Access-Contorl-Allow-Headers': 'Content-Type'
})
const { query : { name, age } } = urllib.parse(req.url, true);
res.end(`${name}今年${age}岁啦!!!`);
}).listen(port,function(){
console.log('server is listening on port ' + port);
})
反向代理
反向代理是将客户端的请求转发到真正的服务端,从⽽解决跨域问题。反向代理服务器和真正的服务端在同⼀个域名下,客户端的请求只需要向反向代理服务器发起,由反向代理服务器将请求转发到真正的服务端,最后将响应返回给客户端。
WebSocket
WebSocket 是⼀种在单个 TCP 连接上进⾏全双⼯通信的协议,可以⽤于跨域通信。由于 WebSocket 协议并不受同源策略的限制,因此可以实现跨域通信。如果需要在客户端和服务端之间进⾏实时通信,WebSocket 是最佳选择。
// 前端
const socket = new WebSocket('http://www.domain.com:8080')
socket.addEventListener('open', function () {
socket.send('...')
})
socket.addEventListener('message', function(e) {
console.log(e.data)
})
// 后端
const WebSocket = require('ws')
const server = new WebSocket.Server({post: 8080})
server.addEventListener('connection', function(socket) {
socket.addEventListener('message', function(res) {
socket.send(res)
})
})
Nginx代理
{
listen 80
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Headers X-Requested-With;
add_header Access-Control-Allow-Methods GET,POST,OPTIONS
location / {
proxy_pass http://www.domain.com:8080;
}
}