先分享两篇非常棒的文章:
http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
http://www.ruanyifeng.com/blog/2016/04/cors.html
跨域问题是浏览器同源策略所致,要解决跨域问题,先弄明白什么是同源政策。
同源策略:
同源策略(Same origin policy)是一种约定,它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
目前,如果非同源,共有三种行为受到限制。
(1) Cookie、LocalStorage 和 IndexDB 无法读取。
(2) DOM 无法获得。
(3) AJAX 请求不能发送。
同源策略示例
URL | 说明 | 是否允许通信 |
---|---|---|
http://www.a.com/a.js http://www.a.com/b.js | 同一域名下 | 允许 |
http://www.a.com/lab/a.js http://www.a.com/script/b.js | 同一域名下不同文件夹 | 允许 |
http://www.a.com:8000/a.js http://www.a.com/b.js | 同一域名,不同端口 | 不允许 |
http://www.a.com/a.js https://www.a.com/b.js | 同一域名,不同协议 | 不允许 |
http://www.a.com/a.js http://70.32.92.74/b.js | 域名和域名对应ip | 不允许 |
http://www.a.com/a.js http://script.a.com/b.js | 主域相同,子域不同 | 不允许 |
http://www.a.com/a.js http://a.com/b.js | 同一域名,不同二级域名(同上) | 不允许(cookie这种情况下也不允许访问) |
解决跨域问题
可以使用很多方法解决:
1.使用script的src属性发起get请求,script、img、iframe、link等标签都可以加载跨域资源,而不受同源限制,这个方法任何浏览器都支持,并且不需要服务器做修改。
2.jsonp,jsonp只支持get请求,即使你在type设置为post,也会自动改成get调用,因为jsonp其实就是采用script的src属性实现的,只不过通过封装屏蔽掉了实现内容。
3.WebSocket,WebSocket请求可以没有实行同源策略,可以任意跨域,但只有支持html5的浏览器才支持websocket。
4.CORS,跨源资源分享(Cross-Origin Resource Sharing),需要浏览器服务器同时支持,目前绝大多数浏览器支持cors,除了ie9以及ie更低版本。
服务器需要需要添加以下代码:
Access-Control-Allow-Origin: *