解决跨域问题的6种方案

最新推荐文章于 2025-05-07 10:47:30 发布
原创 最新推荐文章于 2025-05-07 10:47:30 发布
· 1.7k 阅读 · 21 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#vue.js

解决跨域问题(Cross-Origin Resource Sharing, CORS)是 Web 开发中常见的需求,以下是 6 种主流解决方案,涵盖前端、后端和服务器配置等不同层面:

一、CORS(跨域资源共享)

原理

通过服务器设置响应头 Access-Control-Allow-Origin,允许指定域访问资源。

实现

后端代码示例(Node.js/Express):

app.use((req, res, next) => {
  res.header("Access-Control-Allow-Origin", "*"); // 允许所有域
  res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
  res.header("Access-Control-Allow-Headers", "Content-Type, Authorization");
  next();
});
适用场景
  • 标准化方案,支持所有 HTTP 方法(GET/POST/PUT/DELETE 等)。
  • 需要后端配合,适合前后端分离的生产环境。

二、代理服务器(Proxy)

原理

通过同源服务器转发请求,绕过浏览器跨域限制。

实现

前端开发环境(Vue/React):

// vue.config.js
module.exports = {
  devServer: {
    proxy: {
      "/api": {
        target: "http://target-server.com",
        changeOrigin: true,
        pathRewrite: { "^/api": "" }
      }
    }
  }
};

生产环境(Nginx 反向代理):

server {
  listen 80;
  server_name frontend.com;

  location /api/ {
    proxy_pass http://backend.com/;
    proxy_set_header Host $host;
  }
}
适用场景
  • 开发环境常用,生产环境通过 Nginx 配置。
  • 无需修改前端代码,适合无法修改后端的场景。

三、JSONP(JSON with Padding)

原理

利用 <script> 标签不受跨域限制的特性,通过回调函数传递数据。

实现

前端代码:

function handleResponse(data) {
  console.log("Received data:", data);
}

const script = document.createElement("script");
script.src = "http://api.com/data?callback=handleResponse";
document.body.appendChild(script);

后端代码(Node.js):

app.get("/data", (req, res) => {
  const callback = req.query.callback;
  const data = { message: "Hello JSONP" };
  res.send(`${callback}(${JSON.stringify(data)})`);
});
适用场景
  • 仅支持 GET 请求。
  • 适用于老旧浏览器或无需敏感数据交互的场景。

四、WebSocket

原理

WebSocket 协议不受同源策略限制,可双向通信。

实现

前端代码:

const socket = new WebSocket("ws://api.com/socket");
socket.onmessage = (event) => {
  console.log("Received:", event.data);
};

后端代码(Node.js/ws 库):

const WebSocket = require("ws");
const server = new WebSocket.Server({ port: 8080 });

server.on("connection", (socket) => {
  socket.send("Connected!");
});
适用场景
  • 实时通信(如聊天、股票行情)。
  • 需要全双工通信的场景。

五、PostMessage + iframe

原理

通过 postMessage API 实现跨域窗口通信。

实现

父页面(parent.com):

const iframe = document.getElementById("child-iframe");
iframe.contentWindow.postMessage("Hello from parent", "http://child.com");

子页面(child.com):

window.addEventListener("message", (event) => {
  if (event.origin === "http://parent.com") {
    console.log("Received:", event.data);
  }
});
适用场景
  • 跨域页面间通信(如嵌入第三方组件)。
  • 需要安全验证 event.origin

六、Nginx 反向代理

原理

通过 Nginx 配置将请求转发到目标服务器,统一解决跨域问题。

实现
server {
  listen 80;
  server_name frontend.com;

  location /api/ {
    proxy_pass http://backend.com/;
    add_header Access-Control-Allow-Origin *;
  }
}
适用场景
  • 生产环境推荐方案。
  • 统一管理跨域配置,减少后端压力。

方案对比表

方案优点缺点适用场景
CORS标准化,支持所有 HTTP 方法需后端配合前后端分离的生产环境
代理服务器(Proxy)无需后端修改,开发便捷仅开发环境或需配置 Nginx开发环境/生产环境反向代理
JSONP兼容性好仅支持 GET老旧浏览器或简单数据获取
WebSocket实时双向通信需额外维护 WebSocket 服务实时聊天、通知推送
PostMessage安全可控依赖 iframe 嵌套跨域页面间通信
Nginx 反向代理统一配置,性能高需运维介入配置生产环境大规模服务

总结

  • 开发环境:优先使用代理服务器(如 Vue/React 的 devServer 配置)。
  • 生产环境:推荐 CORS 或 Nginx 反向代理。
  • 实时通信:使用 WebSocket。
  • 遗留系统:JSONP 或 PostMessage。

根据具体场景选择最合适的方案,避免过度设计。

getapi
关注
解决问题8种方法,含网关、Nginx和SpringBoot~
m0_67597657的博客
02-04 4715
问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、名和端口)的资源,当 JavaScript 发起的请求越了同源策略,即请求的目标与当前页面的名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
Python项目问题解决方案
12-17
由于浏览器的安全策略限制,不同源的资源之间不能自由通信,这就需要我们采取一些措施来解决Python项目的问题。本篇文章将详细解释如何解决Python Django项目的问题。 首先,我们来看第一个解决方案,通过`...
uni-app网络请求封装_可能是最好的解决方案...
weixin_39805883的博客
11-22 1804
今天我们来聊一个老生常谈的话题,!又是,烦不烦 ?网上的文章那么多,的我眼睛都疲劳了,不看了不看了 别走...我尽量用最简单的方式将常见的九种解决方案给大家阐释清楚,相信认真看完本文,以后不管是作为受试者还是面试官,对于这块的知识都能够游刃有余。什么是“源”不是讲吗 ?怎么又来个“源” ?字都能打错的 ? ...稍安勿躁,其实我们平常说的是一种狭义的请求场景,简单...
什么是,如何解决问题
最新发布
weixin_55862073的博客
05-07 1847
问题产生的根本原因是浏览器的同源策略(Same-Origin Policy)。同源策略是浏览器实现的一种安全协议,它限制了一个源的文档或脚本如何与另一个源的资源进行交互。如果没有同源策略,恶意网页可能会读取另一个网页的敏感信息,如用户输入的密码、银行账号等,从而进行非法操作。
web解决方案
dddp75921的博客
09-01 341
阅读目录 什么是 常用的几种处理方法: 的原理解析及实现方法 总结 摘要:问题,无论是面试还是平时的工作中,都会遇到,本文总结处理问题的几种方法以及其原理,也让自己搞懂这方面的知识,走起。 回到顶部 什么是      在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。...
问题解决方案
weixin_45063957的博客
03-28 1304
1、什么是 协议相同 http https 名相同 www.onlineclass.net 端口相同 80 81 在浏览器访问的时候,以上三者任意一个不同,都是; 浏览器从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,都是 Nginx是用来干什么的? - 斯外戈 - 博客园 2、解决的方法 (1) Http响应头配置允许 nginx层配置,在前端和后端之间加上一个反向代理服务器 ...
解决问题的这6方案,真香!
lisu061714112的专栏
03-01 2615
我后端接口明明通了,Postman也能调,为啥浏览器就报红字?其实这事儿得怪浏览器的“同源策略”简单说,浏览器觉得“不同源的请求都是耍流氓”。比如你的前端跑在http://localhost:8080。而后端在https://api.xxx.com:8000。只要协议名端口任何一个不同,就会被浏览器直接掐断。// 前端代码(http://localhost:8080)// 浏览器控制台报错:这时候,你就需要“解决方案”来帮浏览器松绑了!那么,如何解决问题呢?简单粗暴。
CORS请求
weixin_45093753的博客
08-18 172
CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)资源共享 CORS 详解。看名字就知道这是处理问题的标准做法。CORS有两种请求,简单请求和非简单请求。 只要同时满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:
详解SpringMVC解决的两种方案
08-29
SpringMVC 解决方案 ...本文介绍了 SpringMVC 解决方案的两种方案,即通过注解的方式和通过配置文件的方式。通过这两种方案,可以解决站 HTTP 请求的问题,使得前后端分离的开发方式变得更加便捷和灵活。
jQuery问题解决方案
10-23
在探讨如何使用jQuery解决问题之前,我们首先要了解什么是问题以及为什么会出现这一问题问题源于浏览器的同源策略(Same-origin policy),这是一个安全机制,限制了来自不同源的文档或脚本如何进行...
js前端解决问题的8种方案(最新最全)
10-21
问题在Web开发中是一个常见的挑战,主要是由于浏览器的...每种方法都有其适用场景和局限性,开发者需要根据具体需求选择合适的方式解决问题。在实际开发中,通常会结合使用多种方法,以应对不同的场景。
PHP Ajax问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现。 例如:客户端的名是client.runoob.com,而请求的名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
问题解决方案
LengDanRan
10-22 367
问题解决方案 解决问题的方式也有多种。 1、前后端结合(JsonP) 虽然jsonp也可以实现,但是因为jsonp不支持post请求,应用场景受到很大限制,所以这里不对jsonp作介绍。 2、纯后端方式一(CORS方式) @CrossOrigin CORS 是w3c标准的方式,通过在web服务器端设置:响应头Access-Cntrol-Alow-Origin 来指定哪些可以访问本的数据,ie8&9(XDomainRequest),10+,chrom4,firefox3.5,safa
N种方法解决问题
Benjamin
12-19 6887
N种方式解决问题
最常见的六种解决方案
m0_37873510的博客
08-27 4万+
常见的解决方案
九种常见的解决方案(详解)
qq_44741577的博客
03-07 2万+
在前端领中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。
一文详解最常见的六种解决方案
很多时候犯错都是在不知情的情况下发生的
04-04 4939
就是当在页面上发送ajax请求时,由于浏览器同源策略的限制,要求当前页面和服务端必须同源,也就是协议、名和端口号必须一致。如果协议、名和端口号中有其中一个不一致,则浏览器视为,进行拦截。jsonp的原理是利用了script标签不受浏览器同源策略的限制,img和link标签也是不受浏览器同源策略限制的。是浏览器限制,服务端和服务端之间通信是不受浏览器同源策略限制的。所有解决方案都是需要服务端配合的。最常用的解决方案是CORS、Node代理服务器和Nginx反向代理方式。
10 种解决方案(附终极方案
程序员秋风的博客
04-14 6308
写在前面 嗯。又来了,又说到了,这是一个老生常谈的话题,以前我觉得这种基础文章没有什么好写的,会想着你去了解底层啊,不是很简单吗。但是最近在开发一个 vscode 插件 发现,当你刚入门一样东西的时候,你不会想这么多,因为你对他不熟悉,当你遇到不会的东西,你就是想先找到解决方案,然后通过这个解决方案再去深入理解。就比如,新人或者刚接触的人对它并不是那么熟悉,所以说列出一些自己积累的方案,以...
服务器端解决问题的三种方法
热门推荐
技术博客
03-01 4万+
服务端解决请求
解决方案
03-26
### 解决问题的方法 #### 1. CORS (Cross-Origin Resource Sharing) CORS 是一种现代浏览器机制,用于实现不同源之间的资源共享。它通过在 HTTP 响应头部加入特定字段来允许前端访问其他名下的资源[^1]。 服务器端可以配置 CORS 支持多种方式: - **自定义 CORS Filter**: 可以编写一个过滤器,在响应头中添加 `Access-Control-Allow-Origin` 字段,指定哪些名被允许访问资源。 - **Nginx 配置支持**: 使用 Nginx 的反向代理功能,可以在配置文件中设置规则。例如: ```nginx location /api { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'Content-Type, Authorization'; if ($request_method = 'OPTIONS') { return 204; } proxy_pass http://backend.example.com; } ``` 安全性方面需要注意的是,虽然 CORS 提供了灵活的控制能力,但也可能成为攻击目标(如 CSRF)。因此建议严格限制 `Access-Control-Allow-Origin` 的值,而不是简单地使用通配符 `*`。 #### 2. JSONP (JSON with Padding) JSONP 是一种较老的技术,主要用于解决 GET 请求的问题。它的原理是利用 `<script>` 标签不受同源策略限制的特点,动态创建脚本标签并加载远程数据[^3]。 然而,由于 JSONP 不支持除 GET 外的其他请求方法,并且存在一定的安全隐患(如注入风险),通常不推荐作为首选方案。如果确实需要使用,则需确保服务端返回的数据经过严格的校验和编码处理。 #### 3. 开发环境中的代理配置 在开发阶段,可以通过本地代理的方式规避问题。比如 Webpack Dev Server 提供了一种便捷的方式来设置 API 请求转发到实际的服务地址上: ```javascript devServer: { proxy: { '/api': { target: 'http://backend.example.com', changeOrigin: true, pathRewrite: { '^/api': '' }, }, }, } ``` 这种方式仅适用于调试期间,生产环境下仍需依赖正式的解决方案。 #### 4. 后端统一接口网关 另一种常见的做法是在架构层面引入 API Gateway 或者 Reverse Proxy 层面做统一封装,所有客户端发起的外部调用都先经过这个中间层再转交给真实的目标系统。这样不仅简化了 CORS 设置还能增强整体的安全防护水平。 --- ### 安全注意事项 无论采用哪种技术手段应对站请求伪造(CSRF),都需要额外采取措施加以防范。例如结合 Token验证机制或者双重Cookie提交模式等最佳实践[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值