跨域解决主要有以下⼏种:
-
JSONP
-
CORS
-
Nginx代理
-
document.domain
-
window.name
-
postMessage+iframe
1.JSONP
我们知道写
HTML
代码的时候,加⼊图⽚链接就不会有获取不到图⽚的问题。这是因为图
⽚资源并没有进⾏
ajax
请求,⽽且
script
标签是没有同源策略的,可以进⾏资源请求,可
以说是⼀个前端设计的漏洞。
// 1.回调函数
function handleResponse(data){
console.log(data);
}
// 2.动态创建 script
var script = document.createElement('script');
script.src = 'http://test.com/json?callback=handleResponse';
document.body.insertBefore(script,document.body.firstChild);
利⽤
script
标签⽴即下载并执⾏的特性,我们就可以在回调函数中拿到返回来的数据。那
么是不是所有的情况都可以呢?显然不是的。虽然实现是⽐较简单的操作,但是有缺点:
1.
仅限于
GET
请求
2.
有安全问题,万⼀有恶意代码返回,前端⽆法阻⽌
3.
⽆法检测请求是否成功
2.CORS
CORS是跨域资源共享(Cross-origin resource sharing)
要想利⽤这个技术关键是在于服务端,设置返回的
Access-Control-Allow-Origin
响应头允
许跨域操作,发送请求时有两种情况:
- 简单请求
-
复杂请求
①简单请求
当使⽤以下⽅法之⼀:
- GET
- HEAD
- POST
Content-Type
的值为以下之⼀:
- text/plain
- multipart/form-data
- application/x-www-form-urlencoded
才会发起简单请求,浏览器判断是简单请求的话就会在请求头添加
origin
字段,值是发起
请求的所在的源。服务端收到请求后会判断
origin
是否在⾃⼰的许可范围,如果不在就拒
绝,如果在就会有以下的响应头添加:
-
Access-Control-Allow-Origin (必选):告诉客户端我接受请求,值为 origin 的值,若允许所有源请求就会返回 * 。
-
Access-Control-Allow-Credentials(可选):告诉浏览器发送请求时携带 Cookie ,true 表⽰允许 false 表⽰禁⽌。
-
Access-Control-Expose-Headers(可选):额外给客户端返回的头部字段。
②复杂请求
复杂请求会有两次,第⼀次是发送⼀个预检请求,使⽤的⽅法是
options
,询问服务器是
否允许我进⾏跨域请求资源。并且允许客户端⾃定义请求头的类型,询问服务器是否允
许。
OPTIONS /cors HTTP/1.1
Origin: http://test.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Custom-Header1,Custom-Header2
Host: target.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
然后服务器会进⾏验证,还会在响应头进⾏说明允许你的请求。
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61(Unix)
Access-Control-Allow-Origin: http://test.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Custom-Header1,Custom-Header2
Access-Control-Max-Age: 1728000
Content-type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain-
Access-Control-Allow-Origin :告诉客户端,允许你这个源的请求
-
Access-Control-Allow-Methods:告诉客户端,服务端允许的跨域 AJAX 请求的类型,也可进⾏ GET 或者 POST 请求
-
Access-Control-Allow-Headers:告诉客户端,服务端允许的发送请求时的⾃定义请求头
-
Access-Control-Max-Age: 告诉客户端预检请求的有效期,省去了多次的预检请求。也就是说, 1728000 秒内你可以直接发送真正的 AJAX 请求,不⽤每次询问
3.Nginx代理
将
nginx
⽬录下的
nginx.conf
修改,通过反向代理的⽅式来实现跨域请求。
# /所有以apis开头发起的请求会被分发到myserver
location ^~ /apis/ {
proxy_pass http://myserver; # 负载均衡名,写你请求的服务器地址
proxy_set_header X-real-ip $remote_addr;
proxy_set_header Host $http_host;
}4.document.domain
该⽅式只能⽤于⼆级域名相同的情况下,⽐如
a.test.com
和
b.test.com
适⽤于该⽅式。
只需要给⻚⾯添加
document.domain = 'test.com'
表⽰⼆级域名都相同就可以实现跨域。
5.window.name
window.name
有⼀个奇妙的性质,⻚⾯如果设置了
window.name
,那么在不关闭⻚⾯的
情况下,即使进⾏了⻚⾯跳转
location.href=...
,这个
window.name
还是会保留。
// 打开必应 https://www.bing.com/
// 打开控制台
> window.name
""
> window.name='test';
"test"
> location.href='http://www.google.com';
"http://www.google.com"
Navigated to https://www.google.com/> window.name
"test"6.postMessage+iframe
这种⽅式通常⽤于获取嵌⼊⻚⾯中的第三⽅⻚⾯数据。⼀个⻚⾯发送消息,另⼀个⻚⾯判
断来源并接收消息
// 发送消息端
<div>
<div id="color">Frame Color</div>
</div>
<div>
<iframe id="child" src="http://b.com/b.html"></iframe>
</div>
window.onload=function(){
window.frames[0].postMessage('getcolor','http://b.com');
}
// 接收消息端
window.addEventListener('message',function(e){
console.log(e)
},false);
postMessage(data,origin)
⽅法接受两个参数:
-
data: 要传递的数据, html5 规范中提到该参数可以是 JavaScript 的任意基本类型或可复制的对象,然⽽并不是所有浏览器都做到了这点⼉,部分浏览器只能处理字符串参数,所以我们在传递参数的时候需要使⽤ JSON.stringify() ⽅法对对象参数序列化
-
origin:字符串参数,指明⽬标窗⼝的源,协议 + 主机 + 端⼝号 [+URL] , URL 会被忽略,所以可以不写,这个参数是为了安全考虑, postMessage() ⽅法只会将 message传递给指定窗⼝,当然如果愿意也可以把参数设置为 "*" ,这样可以传递给任意窗⼝,如果要指定和当前窗⼝同源的话设置为 "/" 。
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
