跨域问题精选

一、跨域问题概述

同源： 两个URL的协议、域名和端口完全相同。

浏览器的同源策略： 从一个域上加载的脚本不允许访问另外一个域的文档属性 ，是浏览器上为安全性考虑实施的非常重要的安全策略。

比如一个恶意网站的页面通过iframe嵌入了银行的登录页面（二者不同源），如果没有同源限制，恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。

在浏览器中，<script>、<img>、<iframe>、<link>等标签都可以加载跨域资源，而不受同源限制，但浏览器会限制脚本中发起的跨域请求。比如，使用 XMLHttpRequest 对象和Fetch发起 HTTP 请求就必须遵守同源策略。

注意：

• 浏览器限制跨域访问并非是浏览器限制了发起跨站请求，而是跨站请求正常发起后，返回结果被浏览器拦截了。
• 有些特例，比如Chrome和Firefox等浏览器不允许从HTTPS跨域访问HTTP，在请求还未发出的时候就会拦截请求。

二、解决跨域问题

1、使用代理服务器

使用代理方式跨域更加直接，因为同源限制是浏览器实现的。如果请求不是从浏览器发起的，就不存在跨域问题了。

使用这个方法跨域步骤如下：
（1） 把访问其它域的请求替换为本域的请求
（2） 服务器端的动态脚本负责将本域的请求转发成实际的请求
为了通过Ajax从http://localhost:8080访问http://localhost:8081/api，可以将请求发往http://localhost:8080/api。然后利用Apache Web/Nginx 服务器进行转发

2、CORS——跨域资源共享

CORS需要浏览器和服务器同时支持，目前，所有浏览器都支持该功能(IE10+)。因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）

简单请求：
（1) 请求方法是以下三种方法之一：HEAD GET POST
（2）HTTP的头信息不超出以下几种字段：Accept Accept-Language Content-Language Last-Event-ID
Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求，浏览器在发出CORS请求时会在头信息之中增加一个Origin字段。服务器的返回会多出3个字段：
Access-Control-Allow-Origin(必须) 允许跨域的源
Access-Control-Allow-Credentials(可选) 表示是否允许发送Cookie。默认情况下，Cookie可以包含在请求中，一起发给服务器
如果服务器不需要浏览器发送Cookie，删除该字段即可。

对于非简单请求是那种对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为"预检"请求（preflight）。"预检"请求用的请求方法是OPTIONS，表示这个请求是用来询问的。头信息里面，关键字段是Origin，表示请求来自哪个源。浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

参考文章：
[1] 造成跨域的原因和解决方法
[2] 一文搞懂跨域的所有问题
[3] 不要再问我跨域的问题了
[4] 什么是跨域？如何解决跨域问题？
[5] has been blocked by CORS policy: Response 解决