导致跨域的三个原因,第一协议不同,第二端口不同,第三域名不同,总之这些都是由于浏览器的同源策略导致了跨域。
关于同源,浏览器是从两个方面做同源策略的。第一是针对接口的请求,第二是针对dom的查询。那么如果没有同源策略,对接口的请求过程中,由于浏览器cookie的存在,很容易被恶性网站盗取账号信息,也就是csrf攻击(跨域请求伪造);第二针对dom的查询,防止一些钓鱼网站的出现,恶意获取账号密码。所以同源策略的出现是一种浏览器基本的安全机制,规避一些危险的策略,但不是说有了同源策略就安全。
跨域解决方案:
| 方法 | 操作 |
|---|---|
| 通过jsonp跨域 | 实现方法动态创建一个script标签,src地址为带参数的网址,参数为回调函数的名称,缺点是只能实现get一种请求 |
| document.domain + iframe跨域 | 此方法仅适用主域相同,子域不同的跨域应用场景,实现方法是两个页面都通过js强制设置doucument.domain为基础主域,就实现了同域。具体操作是在父页面加iframe标签,地址为子页面的接口地址,然后分别在父页面,子页面添加document.domain = 'domain.com' |
| location.hash + iframe | a域与b域跨域时需要相互通信,通过中间页c来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信 |
| window.name + iframe跨域 | 通过iframe的src属性由外域转向本地域,跨域数据即由iframe的window.name从外域传递到本地域。这个就巧妙地绕过了浏览器的跨域访问限制,但同时它又是安全操作 |
| postMessage跨域 | postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一 |
| 跨域资源共享(CORS) | 只服务端设置Access-Control-Allow-Origin即可,前端无须设置,若要带cookie请求:前后端都需要设置 |
| nginx代理跨域 | 通过nginx配置一个代理服务器(域名与domain1相同,端口不同)做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录 |
| nodejs中间件代理跨域 | 其原理是开启一个代理服务器,实现数据的转发 |
| WebSocket协议跨域 | websocket协议允许跨域通讯,使用scoket.io.js插件完成连接,请求数据,发送数据的一系列响应过程 |
3034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
