跨域
什么是跨域? 出于浏览器的同源策略限制,可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port),当一个请求url的协议、域名、端口号三者之间任意一个与当前页面url不同即为跨域。
同源策略:同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
如何解决跨域?
实现CORS (跨域资源共享(Cross-Origin Resource Sharing),它是 W3C 标准,属于跨源AJAX请求的根本解决方法。允许浏览器向跨Origin的服务器发起js请求获取响应。
实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信
处理方式:
-
在请求中需要附加一个额外的 Origin 头部,其中包含请求页面的源信息(协议、域名和端口),以便服务器根据这个头部信息来决定是否给予响应。
-
果服务器认为这个请求可以接受,就在 Access-Control-Allow-Origin 头部中回发相同的源信息。
-
没有这个头部或者有这个头部但源信息不匹配,浏览器就会驳回请求。正常情况下,浏览器会处理请求。注意,请求和响应都不包含 cookie 信息。
-
如果需要包含 cookie 信息,前端需要设置:
1)原生ajax:xhr.withCredentials = true;
2)jQuery ajax:$.ajax({ url: 'http://www.test.com:8080/login', type: 'get', data: { }, xhrFields