前端基础问题:跨域

最新推荐文章于 2025-05-08 09:38:53 发布
最新推荐文章于 2025-05-08 09:38:53 发布
阅读量1k 收藏 13
点赞数 32
文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_wzq/article/details/144499475
版权

摘要

跨域是指在 Web 开发中,当一个网页的源(origin)与另一个网页的源不同时,就会发生跨域。源由协议、域名和端口号组成。如果两个 URL 的协议、域名和端口号中任何一个不同,就被认为是跨域。

跨域限制是由浏览器实施的安全策略,它防止一个网页的脚本通过在其他网页的上下文中执行来窃取敏感信息或执行恶意操作。浏览器会限制跨域请求,例如通过 XMLHttpRequest 或 Fetch API 发送的跨域 HTTP 请求通常会被拒绝,除非目标服务器明确允许这样的请求。

跨域的主要解决方案

  • Jsonp 主要是借助了 <script> 标签上的 src 属性不受同源策略的影响这一机制。
  • Node代理 是指用 Node 服务器代理客户端和目标服务器之间的网络请求。服务器与服务器之间没有同源策略,Node 代理服务器监听客户端请求,转发给目标服务器,再接收响应发给客户端。
  • Nginx代理 的原理跟 Cors 差不多,常用于项目上线。
  • document.domain
  • postMessage

一、Cors

跨源资源共享(CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

在后端响应头添加access-control-allow-origin字段提示允许这些源跨域。

const http = require('http');

const server = http.createServer((req, res) => {
    res.writeHead(200,{
        // 'access-control-allow-origin':'*'//允许所有源
        'access-control-allow-origin':'http://127.0.0.1:5501'//自己的前端
    })
    let data ={
        msg:'Hello world'
    }
    res.end(JSON.stringify(data));
});

server.listen(3000,()=>{
    console.log('Server is running on port 3000');
});

二、Jsonp

JSONP(JSON with Padding)是一种解决跨域请求的方法,通常用于在浏览器中通过 <script> 标签获取跨域数据。JSONP的基本原理是利用了 <script> 标签的跨域特性,通过动态创建 <script> 标签来请求远程服务器的资源,从而绕过浏览器的同源策略。

<button id="btn">获取数据</button>
<!-- <script src="http://localhost:3000?cb=callback"></script> -->
<script>
    function jsonp(url,cb){
        return new Promise(function(resolve, reject){
            const script = document.createElement("script");
            script.src = `${url}?cb=${cb}`;//http://localhost:3000?cb=callback
            document.body.appendChild(script);
            window[cb] = function(data){
                resolve(data);
            }
        })
    }
    let btn = document.getElementById('btn');
    btn.addEventListener('click',()=>{
        jsonp('http://localhost:3000','callback')
        .then(res=>{
            console.log('后端响应的数据:',res);
        })
    })
</script>

三、Node代理

Node 代理是指使用 Node 编写的服务器应用程序,用于代理客户端和目标服务器之间的网络请求。通过 Node 代理,可以在服务器端拦截客户端发出的请求,并将这些请求转发到目标服务器,然后将目标服务器的响应返回给客户端。

因为 Vite 是用 Node 写的,官方提供了一个代理的功能

只需在 vite.config.js 文件中配置开发服务器的自定义代理规则:

//vite.config.js
import { defineConfig } from 'vite'
import vue from '@vitejs/plugin-vue'

// https://vitejs.dev/config/
export default defineConfig({
  plugins: [vue()],
  server: {
    proxy:{
      '/api':{
        target: 'http://localhost:3000',
        changeOrigin: true,
        rewrite: path => path.replace(/^\/api/, '')
      }
    }
  },
})

四、Nginx代理

Nginx代理是指使用Nginx作为反向代理服务器,接收客户端发来的请求,然后将这些请求转发到其他服务器上进行处理,并将处理结果返回给客户端。Nginx是一种高性能的Web服务器和反向代理服务器,因其性能优异、配置简单而被广泛应用于互联网领域。

编辑 Nginx 的配置文件(nginx.conf)。

server {
    listen       2222;
    server_name  localhost;
    
    location / {
        root   html;
        index  index.html index.htm;
    }

    location /api {
        proxy_pass  http://127.0.0.1:3000;
        add_header  Access-Control-Allow-Origin *;
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

localhost:2222/api 路径下的请求转发到http://127.0.0.1:3000来代理,并且添加响应头 Access-Control-Allow-Origin *,设置白名单,允许跨域请求,这里类似 Cors 。

const http = require('http');
const server = http.createServer((req, res) => {
    let data ={
        msg:'Hello nginx-proxy'
    }
    res.end(JSON.stringify(data));
});
server.listen(3000,()=>{
    console.log('Server is running on port 3000');
});

后端提供数据

<button id="btn">获取数据</button>
<script>
    let btn = document.getElementById('btn');
    btn.addEventListener('click',()=>{
        fetch('http://localhost:2222/api')
        .then(res=>res.json())
        .then(data=>{
            console.log(data);
        })
    })
</script>

五、window.postMessage

window.postMessage  方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为 https),端口号(443 为 https 的默认值),以及主机 (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage  方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。

<h2>父级页面</h2>
<iframe src="http://127.0.0.1:5501/postMessage/child.html" id="iframe" width="100px" height="100px"></iframe>
<script>
    let iframe = document.getElementById('iframe');
    iframe.onload = function () {
        let data = {
            msg:'父页面的数据'
        }
        iframe.contentWindow.postMessage(JSON.stringify(data),'http://127.0.0.1:5501');
    }
    //监听子页面传过来的数据
    window.addEventListener('message',(e)=>{
        console.log(e.data);
    })
</script>

在父级页面中嵌入了一个 <iframe> 元素,当它加载完成,使用 contentWindow.postMessage() 方法,向 iframe 发送了一个消息,目标地址为 http://127.0.0.1:5501。并且监听有没有消息传回来。

<h2>子级页面</h2>
<script>
    window.addEventListener("message", function (e) {
        console.log(JSON.parse(e.data));
        if(e.data){
            setTimeout(()=>{
                window.parent.postMessage('子页面的数据','http://127.0.0.1:5501')
            },1000)
        }
    })
</script>

总结

以上是我自己工作中遇到的一些跨域解决方法,如果描述不当欢迎指出。

Tips:跨域问题基本都是后端解决为主!

2023 年大厂实习前端面试题(一):问题
Constantiny的博客
05-28 382
2023 年大厂实习前端面试题(一):问题
前端网络——
m0_51937621的博客
01-24 2143
前端网络—— 一、什么是 1、是指浏览器不能执行其他网站脚本,它是由浏览器同源策略造成的,是js的安全机制。 2、我们知道,页面本身由协议、名、端口号等组成,例如:https://www.baidu.com:80。只要协议、名和端口号三者中有任意一个不同,就算发生在哪里? 行为发生在浏览器。 =过程= 在一次请求数据的过程中: 即使发生了,请求亦可以发出; 服务器端可以接收、正常处理并正常返回; 数据返回后,浏览器可以接受到数据; 接收数据后,浏览器发现当前页面的同请求
JSONP
weixin_41470109的博客
04-16 359
       JSONP是JSONwithpadding(填充式JSON或参数式JSON)的简写,是应用JSON的一种新方法,在后来的Web服务中非常流行。JSONP看起来与JSON差不多,只不过是被包含在函数中的JSON。collback({"name":"NINI"});      JSONP是由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面总调试的函数。回调函数的名字一般食杂请...
什么是?为什么会?怎么解决?一篇文章全搞懂!
最新发布
m0_62197905的博客
05-08 750
什么是?为什么会?怎么解决?一篇文章全搞懂! 在前端开发中,你一定听过一个词:“”。听起来好像很高深,但其实它和我们的日常上网行为息息相关。 今天我们就来用最通俗的语言,带你彻底了解 (Cross-Origin) 是什么、它是怎么产生的,以及我们应该如何应对它。
前端新人百问(1)是什么
SCP_880的博客
11-25 709
目录前言什么是发生的三个必要条件常见的场景解决的常见方法1.jsonp解决问题2.window.name+iframe解决3.postMessage解决总结 前言 本人开始接触前端有一年左右,期间遇到了许多问题,有些问题在当下被解决之后,再次遇到还是会有些模糊和不解。与其说是新人百问,不如说是我自己的百问,希望能整理出来这些知识供自己回顾,也供大家学习和指点。 什么是...
前端解读
JackChan
06-15 213
前端
什么是前端,怎么解决问题
pshdhx的博客
02-02 7321
什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指:名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http://www.456.com/server.php (主名不同:123/456,) http://abc.1
前端面试精选:、浏览器原理与Vue/React优化技巧
问题是在前端开发中经常遇到的问题,特别是在涉及不同源(协议、名、端口)的数据交互时。由于浏览器的安全限制,某些资源只能在同源的环境中被加载,这就导致了请求的限制。 资源共享(CORS)是解决...
前端基础-Ajax问题的解决方案.docx
10-26
前端开发中,Ajax 问题是一个常见的挑战,它源于浏览器的安全策略——同源策略。同源策略限制了从一个源(名、协议和端口的组合)加载的网页与另一个源进行交互的能力,以保护用户的隐私和安全。然而,这种...
前端面试知识点:、this、事件委托
2. Header设置允许: 使用PHP等后端语言,可以通过设置HTTP响应头`Access-Control-Allow-Origin`来允许访问。例如: ```php Header('Access-Control-Allow-Origin:*'); // 允许所有来源访问 Header('...
前端开发:Vue CLI 脚手架代理配置解决问题
03-15
适合人群:有一定前端基础并且开始接触前端和后端分离开发的学习者或者开发工程师。 使用场景及目标:对于那些正在搭建基于Vue.js的应用程序,遇到因前后端处于不同名而导致的AJAX调用失败即所谓的‘问题...
前端知识点-----
2301_79265530的博客
11-14 246
是指当一个网页的运行脚本试图去请求另一个网页的资源时,这两个网页的名、协议、端口)不一样,即存在请求。不同名:例如一个网页通过 AJAX 请求另一个名下的接口数据。不同子名:例如通过 AJAX 请求下的资源。不同协议:例如使用http://的页面通过 AJAX 请求https://页面下的资源。不同端口:例如一个页面运行在,试图请求下的资源。浏览器出于安全考虑会限制请求,这种限制被称为“同源策略”(Same-Origin Policy)。
前端详解
Cindy
03-10 293
在几次面试中被问到问题,今天整理知识。希望对大家有所帮助!什么是以及产生原因?是指a页面想获取b页面资源,如果a、b页i面的协议、名、端口、子名不同或者是a页面为ip地址,b页面为名地址。所进行的访问的,即浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。什么是同源策略?同源策略/SOP(Same origin policy)是一种约定,...
前端知识
Rnger的博客
08-23 616
1、什么是:只要协议、名、端口有一个不相同就是属于,为了浏览器安全考虑,浏览器有一个同源策略,但也为iframe引入和ajax请求带来不少的麻烦,所以需要通过一些方法是本地js能够操作其他的页面对象或者其他js能够操作本的页面对象(iframe之间)。下面是具体的情况详解: URL 说明 是否允许通信 http://www.a.com/a....
前端的理解和解决的方案详解(全)
txun123的博客
04-18 2017
作为前端开发,我们遇到最多的应该就是问题,对于萌新来说,就是一道墙,不知所措,其实只要理解了的含义和原理,解决它是不难的,今天给大家介绍下什么是的解决方案! 什么是是指一个下的文档或脚本试图去请求另一个下的资源,这里是广义的。 广义的: 1、资源跳转:A链接、重定向、表单提交 2、资源嵌入:如<link>、<script>、<img>、<frame>等dom标签,还有样式中background:url.
前端简单理解
Junior2Ran的博客
04-12 642
满足的条件1.名不同,例如: a.com与b.com www.a.com与a.com(同一名,不同二级名) chs.a.com与en.a.com(主名相同,子名不同) a.com与70.32.92.74(对应ip地址) 2.协议不同,例如:http协议与https协议3.端口不同,例如:a.com:80与a.com:8080的解决方法1.document.domain + ifra
前端总结
baiqiangdoudou的博客
03-13 361
一、什么是??? 是指一个下的文档或脚本去请求另一个下的资源,俗称请求。 主要是由于浏览器出于安全问题的考虑,采用了同源策略,通过浏览器对JS的限制,防止恶意用户获取非法的数据。 二、什么是同源策略??? 同源策略是一种约定,他是浏览器最核心最基本的安全功能,如果缺少同源策略,浏览器很容易受到xss(XSS攻击原理:通过向用户界面中注入script脚本,然后在脚本中获取用户的t...
什么是
LTberger的博客
11-18 525
**什么是,如何实现访问 1.1先聊聊什么是同源策略 规定:如果浏览器的地址与Ajax的请求地址协议名称://名地址:端口号如果都相同则满足同源策略,浏览器可以正常的解析返回值;如果三者之间有一个不同,则违反了同源策略,浏览器就不会解析返回值 1.2什么是 由于业务需要,通常A服务器中的数据可能来源于B服务器. 当浏览器通过网址解析页面时,如果页面内部发起ajax请求.如果浏览器的访问地址与Ajax访问地址不满足同源策略时,则称之为请求. 要素: 1.浏览器 2.解析ajax 3.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zqwang888

一毛不嫌少,一块不嫌多!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值