什么是跨域（Cross-Origin）请求，如何解决跨域问题？

最新推荐文章于 2024-08-08 11:34:12 发布

DTcode7

最新推荐文章于 2024-08-08 11:34:12 发布

阅读量816

点赞数 24

分类专栏： HTML网站开发 # 前端基础入门三大核心之html 文章标签： HTML 前端 web JavaScript H5

本文链接：https://blog.csdn.net/black_cat7/article/details/140795739

版权

HTML网站开发同时被 2 个专栏收录

601 篇文章 5 订阅

订阅专栏

前端基础入门三大核心之html

261 篇文章 5 订阅

订阅专栏

引言

随着Web应用变得越来越复杂，不同域名间的通信需求也日益增长。然而，为了保护用户隐私和数据安全，浏览器实施了一项名为“同源策略”的安全措施。这导致了跨域请求成为了一个常见的挑战。本文将详细介绍跨域请求的基本概念、其背后的原理以及如何有效解决跨域问题。

跨域请求基本概念

同源策略概述

同源策略（Same-Origin Policy）是一种安全机制，它限制一个文档或脚本只能读取来自同一源的信息。这里的“源”由协议、域名和端口组成。如果一个请求的目标地址与当前文档的源不相同，则该请求被视为跨域请求。

跨域请求的作用

数据共享：允许不同域名下的Web应用共享数据。
API调用：跨域请求使得前端应用可以调用其他域名下提供的API服务。
分布式系统：在分布式架构中，不同服务之间可能位于不同的域名下，跨域请求可以促进这些服务之间的交互。

解决跨域问题的方法

JSONP（JSON with Padding）

JSONP是一种早期解决跨域问题的技术，通过动态创建<script>标签来实现跨域数据的获取。

示例一：使用JSONP发起跨域请求

function handleResponse(data) {
  console.log('Data received:', data);
}

// 构建JSONP URL
const url = 'https://example.com/api/data?callback=handleResponse';

// 创建script标签并添加到DOM中
const script = document.createElement('script');
script.src = url;
document.head.appendChild(script);

CORS（Cross-Origin Resource Sharing）

CORS是一种基于HTTP头部的跨域资源共享机制，它允许服务器指定哪些源可以访问其资源。

示例二：设置CORS响应头

HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: X-Requested-With, Content-Type

示例三：使用Fetch API发起带有CORS的请求

fetch('https://example.com/api/data')
  .then(response => response.json())
  .then(data => console.log('Data received:', data))
  .catch(error => console.error('Error fetching data:', error));

设置CORS预检请求

对于某些HTTP方法（如PUT、DELETE等），浏览器会在正式请求之前发送一个预检请求（OPTIONS）来确认服务器是否支持特定的跨域请求。

示例四：CORS预检请求

// 预检请求
OPTIONS /api/data HTTP/1.1
Host: example.com
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: X-Custom-Header

// 预检响应
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Headers: X-Custom-Header

使用代理服务器

在开发环境中，可以通过设置代理服务器来绕过跨域限制，将请求转发到目标服务器。

示例五：配置Webpack Dev Server代理

// webpack.dev.conf.js
module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'https://example.com',
        changeOrigin: true,
        pathRewrite: { '^/api': '' }
      }
    }
  }
};

实际工作中的使用技巧

技巧一：正确设置Access-Control-Allow-Origin

通配符：使用*允许任何源访问资源。
具体源：设置特定源以增强安全性，例如http://example.com。

技巧二：处理预检请求

确保服务器正确处理预检请求，特别是对于复杂的HTTP方法和自定义请求头。

技巧三：使用代理服务器

在开发阶段使用代理服务器可以简化跨域问题的调试，但要注意生产环境下的配置差异。

技巧四：避免使用Credentials

默认情况下，CORS请求不会携带cookies或HTTP认证信息。如果需要携带这些信息，需要额外配置。

Access-Control-Allow-Credentials: true

技巧五：利用第三方库

使用如Axios这样的库可以简化跨域请求的处理，它们通常内置了对CORS的支持。

axios.get('https://example.com/api/data')
  .then(response => console.log('Data received:', response.data))
  .catch(error => console.error('Error fetching data:', error));

拓展内容

除了上述方法外，还有其他一些技术和工具可以帮助解决跨域问题：

Serverless Functions：可以使用AWS Lambda、Azure Functions等无服务器计算平台来搭建简单的代理服务。
Content Security Policy (CSP)：在某些情况下，CSP可能会与CORS发生冲突，需要注意调整CSP策略以避免影响跨域请求。
WebSocket：WebSocket协议不受同源策略限制，可以用来实现实时双向通信，但也需要注意安全性和兼容性问题。

结语

跨域问题是前端开发者经常会遇到的一个挑战，通过理解和掌握各种解决跨域问题的方法，可以有效地提升Web应用的灵活性和可用性。希望本文能够帮助您更好地理解跨域请求的原理，并在实际工作中灵活运用相关解决方案。

欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。

推荐：DTcode7的博客首页。
一个做过前端开发的产品经理，经历过睿智产品的折磨导致脱发之后，励志要翻身农奴把歌唱，一边打入敌人内部一边持续提升自己，为我们广大开发同胞谋福祉，坚决抵制睿智产品折磨我们码农兄弟！

专栏系列（点击解锁） 学习路线(点击解锁） 知识定位
《微信小程序相关博客》持续更新中~ 结合微信官方原生框架、uniapp等小程序框架，记录请求、封装、tabbar、UI组件的学习记录和使用技巧等
《AIGC相关博客》持续更新中~ AIGC、AI生产力工具的介绍，例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结
《HTML网站开发相关》《前端基础入门三大核心之html相关博客》前端基础入门三大核心之html板块的内容，入坑前端或者辅助学习的必看知识
《前端基础入门三大核心之JS相关博客》前端JS是JavaScript语言在网页开发中的应用，负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客，共同构建用户界面。
通过操作DOM元素、响应事件、发起网络请求等，JS使页面能够响应用户行为，实现数据动态展示和页面流畅跳转，是现代Web开发的核心
《前端基础入门三大核心之CSS相关博客》介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法，同时收集精美的CSS效果代码，用来丰富你的web网页
《canvas绘图相关博客》 Canvas是HTML5中用于绘制图形的元素，通过JavaScript及其提供的绘图API，开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力，使得前端绘图技术更加丰富和多样化
《Vue实战相关博客》持续更新中~ 详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅
《python相关博客》持续更新中~ Python，简洁易学的编程语言，强大到足以应对各种应用场景，是编程新手的理想选择，也是专业人士的得力工具
《sql数据库相关博客》持续更新中~ SQL数据库：高效管理数据的利器，学会SQL，轻松驾驭结构化数据，解锁数据分析与挖掘的无限可能
《算法系列相关博客》持续更新中~ 算法与数据结构学习总结，通过JS来编写处理复杂有趣的算法问题，提升你的技术思维
《IT信息技术相关博客》持续更新中~ 作为信息化人员所需要掌握的底层技术，涉及软件开发、网络建设、系统维护等领域的知识
《信息化人员基础技能知识相关博客》无论你是开发、产品、实施、经理，只要是从事信息化相关行业的人员，都应该掌握这些信息化的基础知识，可以不精通但是一定要了解，避免日常工作中贻笑大方
《信息化技能面试宝典相关博客》涉及信息化相关工作基础知识和面试技巧，提升自我能力与面试通过率，扩展知识面
《前端开发习惯与小技巧相关博客》持续更新中~ 罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等
《photoshop相关博客》持续更新中~ 基础的PS学习记录，含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结
日常开发&办公&生产【实用工具】分享相关博客》持续更新中~ 分享介绍各种开发中、工作中、个人生产以及学习上的工具，丰富阅历，给大家提供处理事情的更多角度，学习了解更多的便利工具，如Fiddler抓包、办公快捷键、虚拟机VMware等工具

吾辈才疏学浅，摹写之作，恐有瑕疵。望诸君海涵赐教。望轻喷，嘤嘤嘤
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益，纵其简陋未及渊博，亦足以略尽绵薄之力。倘若尚存阙漏，敬请不吝斧正，俾便精进！

专栏系列（点击解锁）	学习路线(点击解锁）	知识定位
《微信小程序相关博客》	持续更新中~	结合微信官方原生框架、uniapp等小程序框架，记录请求、封装、tabbar、UI组件的学习记录和使用技巧等
《AIGC相关博客》	持续更新中~	AIGC、AI生产力工具的介绍，例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结
《HTML网站开发相关》	《前端基础入门三大核心之html相关博客》	前端基础入门三大核心之html板块的内容，入坑前端或者辅助学习的必看知识
《前端基础入门三大核心之JS相关博客》	前端JS是JavaScript语言在网页开发中的应用，负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客，共同构建用户界面。通过操作DOM元素、响应事件、发起网络请求等，JS使页面能够响应用户行为，实现数据动态展示和页面流畅跳转，是现代Web开发的核心
《前端基础入门三大核心之CSS相关博客》	介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法，同时收集精美的CSS效果代码，用来丰富你的web网页
《canvas绘图相关博客》	Canvas是HTML5中用于绘制图形的元素，通过JavaScript及其提供的绘图API，开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力，使得前端绘图技术更加丰富和多样化
《Vue实战相关博客》	持续更新中~	详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅
《python相关博客》	持续更新中~	Python，简洁易学的编程语言，强大到足以应对各种应用场景，是编程新手的理想选择，也是专业人士的得力工具
《sql数据库相关博客》	持续更新中~	SQL数据库：高效管理数据的利器，学会SQL，轻松驾驭结构化数据，解锁数据分析与挖掘的无限可能
《算法系列相关博客》	持续更新中~	算法与数据结构学习总结，通过JS来编写处理复杂有趣的算法问题，提升你的技术思维
《IT信息技术相关博客》	持续更新中~	作为信息化人员所需要掌握的底层技术，涉及软件开发、网络建设、系统维护等领域的知识
《信息化人员基础技能知识相关博客》	无论你是开发、产品、实施、经理，只要是从事信息化相关行业的人员，都应该掌握这些信息化的基础知识，可以不精通但是一定要了解，避免日常工作中贻笑大方
《信息化技能面试宝典相关博客》	涉及信息化相关工作基础知识和面试技巧，提升自我能力与面试通过率，扩展知识面
《前端开发习惯与小技巧相关博客》	持续更新中~	罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等
《photoshop相关博客》	持续更新中~	基础的PS学习记录，含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结
日常开发&办公&生产【实用工具】分享相关博客》	持续更新中~	分享介绍各种开发中、工作中、个人生产以及学习上的工具，丰富阅历，给大家提供处理事情的更多角度，学习了解更多的便利工具，如Fiddler抓包、办公快捷键、虚拟机VMware等工具