前端跨域及解决方案

已于 2023-08-19 11:30:53 修改
阅读量779 收藏 1
点赞数 1
分类专栏: 架构师 前端基础 文章标签: 前端 javascript ajax
于 2023-03-31 23:42:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43575775/article/details/129889300
版权

域(origins)和跨域

域(origins)是由三部分组成的标识:协议完整的主机名端口
跨域:就是非同域,同时访问另一个域的子资源。

什么是同源策略?

同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSSCSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

不会触发同源策略的标签

TagsCross-originNote
<iframe>允许嵌入取决于X-Frame-Options
<link>允许嵌入可能需要正确的Content-Type
<form>允许写入经常用此标签进行跨域写操作
<img>允许嵌入禁止通过JavaScript跨域读取并将其加载到canvas标签中
<audio>
<video>		允许写入
<script>允许嵌入可能会禁止访问特定的API

不允许被跨域访问的资源

  • 本地存储
  • indexedDB
  • Cookie
  • Ajax(XMLHttpRequest)

跨域解决方案

  • JSONP
  • 反向代理
  • CORS
  • postMessage

JSONP

jsonp原理

利用script 标签请求不会触发同源策略,动态创建script标签,和接受数据的回调函数,让后端接受到请求后,执行函数方法,塞进数据。

后端node.js jsonp支持接口

router.get("/jsonp",(req,res) =>{
   // 默认是callback的值为服务器回调函数名,也就是浏览器已经创建定义的函数,服务端会执行,并将数据放入进去
	const cb = req.query.callback ?? "cb"
	res.send(`${cb}(${JSON.stringify(db.messages)})`)
})

前端 jquery请求

$.ajax({
	url: "http:....../jsonp",
	dataType: "jsonp",
	jsonp:"callback",
	jsonpCallback:"cb",
	success(data) {
		console.log(data)
	}
})

axios 不支持jsonp
jsonp npm库
jsonp
手写实现jsonp

function jsonp(url,callback) {
	const cb ='__jp0'
	const script = document.createElement("script")
	script.src = `${url}?callback=${cb}`
	docoment.body.appendChild(script)
	window[cb] = function(data) {
		clear();
		callback(data)
	}
	function clear() {
		document.body.reamoveChild(script)
		window[cb]=null
	}
}

反向代理

  • nginx反向代理
  • nodejs库实现反向代理

CORS

CORS简介

CORS(跨域资源共享),是一种基于HTTP头的机制,该机制允许我们使用Ajax发送跨域请求,只要HTTP相应头中包含了相应的CORS相应头。
CORS需要浏览器和服务器同时支持,CORS机制在老版本的浏览器中不支持,现代浏览器都支持CORS。在使用CORS方Ajax请求时需要浏览器端代码和过去一致,服务器端需要配置CORS的响应头。

  • 简单请求
  • 复杂强求
  • 带凭证的请求(Cookie)

简单请求

不会发起CORS预检请求的请求,称为简单请求。满足下列要求的请求都是简单请求:

使用下面的请求方式

  • GET
  • POST
  • HEAD

请求头中只包含

  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type

Content-Type 只能是下面三种

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded

复杂请求

不满足简单请求的条件即为复杂请求,会发送两次请求,一次是预检请求OPTIONS(可缓存),后面才是真正的请求。
如:

  • 当发送请求方式为PUT/DELETE 复杂请求 =》请求方法不是简单请求中的3种
  • Content-Type值为application/json时 复杂请求 =》 Content-Type 值不满足
  • header 加token参数时 复杂请求 =》 有多余的请求头参数

axios默认发送的是Content-Type值为application/json,默认是复杂请求

使用axios发送简单请求

  1. 修改请求头为application/x-www-form-urlencoded
  2. 参数正确化
    URLSearchParams
    qs
const qs = new URLSearchParams()
qs.append("user","xxx")
qs.append("content","xxx")
qs.append("time","xxx")

axiso.post("url",qs.toString(),{
	headers: {
		token: ""
	}
})

复杂请求后端CORS配置(nodejs)

  • 手动设置请求头,实现对CORS的支持
// 设置允许的源 如果Credentials 没有开启就设置为*
res.setHeader("Access-Control-Allow-Origin","*")
// 设置允许的 复杂请求的方法
res.setHeader("Access-Control-Allow-Methods",["PUT","POST","DELETE"])
// 设置允许的 复杂请求 请求头允许的参数
res.setHeader("Access-Control-Allow-Headers",["Content-Type","token"])
// 设置允许的 复杂请求 预检请求的缓存 0为没有缓存,每次都要出现
res.setHeader("Access-Control-Max-Age",86400)
// 设置复制请求 携带cookie
res.setHeader("Access-Control-Allow-Credentials",true)
  • 利用中间件Cors 帮我们设置请求头
    详细配置看官网 cors
var cors = require('cors')
router.use(cors({
  "origin": "*",
  "methods": "GET,HEAD,PUT,PATCH,POST,DELETE",
  "preflightContinue": false,
  "optionsSuccessStatus": 204,
  "allowedHeaders": ["Content-Type","token"],
  "credentials": true,
  "maxAge": 86500
}))
肥肥呀呀呀
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AJAX(XMLHttpRequest)进行跨域请求方法详解
02-11
AJAX(XMLHttpRequest)进行跨域请求方法详解
前端跨域主流解决方案(Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy)
weixin_43239880的博客
04-06 2万+
前端跨域主流解决方案(Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy)
前端解决跨域问题( 6种方法 )
大剑师兰特的GIS世界
03-10 1655
跨域问题是指当一个网页试图访问来自不同源(域名、协议、端口)的资源时,浏览器会出于安全考虑而限制这种访问`**。这是因为浏览器的同源策略防止了恶意网站获取其他网站的敏感信息。
前端跨域问题的解决方案Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy
热门推荐
weixin_40756509的博客
03-25 25万+
前言: 在前端发出Ajax请求的时候,有时候会产生跨域问题,报错如下: Access to XMLHttpRequest at 'http://127.0.0.1/api/post' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 针对以上问题,本文提供两种解决方案,CORS中间件和JSO
web前端跨域问题简介及其常见解决方案
AKGWSB 's blog
07-26 865
前言 最近在做一个小web项目,需要从一个接口获取XML数据,具体数据用浏览器可以直接打开,大概长这样: 其实就是一些球赛的数据。。。 然后神奇的是,当我在自己的站点尝试用ajax去获取数据的时候,竟然有如下的报错信息: Access to XMLHttpRequest at 'http://free.win007.com/vbsxml/change.xml’from origin ‘null’ has been blocked by CORS policy: No ‘Access-Control-A
js使用XMLHttpRequest实现跨域请求 POST请求
码农鸡窝
02-28 3万+
Title xmlhttp function getHttpObj() { var httpobj = null; try { httpobj = new ActiveXObject("Msxml2.XMLHTTP"); } catch (e) { try
AJAX--XMLHttpRequest & 跨域
郊眠寺
05-18 6901
XMLHttpRequest XMLHttpRequest 是浏览器内置的一个构造函数 作用:基于 new 出来的 XMLHttpRequest 实例对象,可以发起 Ajax 的请求。 axios 中的 axios.get()、axios.post()、axios() 方法,都是基于 XMLHttpRequest(简称:XHR) 封装出来的! 使用 XMLHttpRequest 发起 GET 请求 主要的 4 个实现步骤: 创建 xhr 对象 调用 xhr.open() 函数 调用 xhr.send() 函
利用XMLHttpRequest发起请求解决跨域
qq_37881606的博客
06-20 3107
【代码】利用XMLHttpRequest发起请求解决跨域
Chrome Extension中跨域请求访问外部网站数据方法
06-20 3369
当时做Chrome扩展,用Javascript调用外部API总是不成功,会出现across origin error。后来发现跨域了,如果想在Chrome扩展中访问其他网站数据,只需在manifest.json文件中的”permission“中声明,再用xmlhttpRequest即可。详细介绍如下(转自360chrome的开发文档,同时可参考Chrome extension): 跨域 X...
Xmlhttprequest请求跨域
那些年我们踩过的坑
08-23 7839
Xmlhttprequest请求跨域 同源策略 本人采用: 一:接口注解@CrossOrigin 二:过滤器对跨域请求特殊处理 HttpServletRequest servletRequest = (HttpServletRequest) request; HttpServletResponse servletResponse = (HttpServletResponse) resp
Web前端开发,必须要了解的跨域解决方案
yiyueqinghui的博客
07-20 2012
Web中的四种跨域解决方案 1、JSONP 原生写法 <script src="http://domain/api?param1=6&callback=jsonp"></script> <script> function jsonp(data) { console.log(data) } </script> 封装后写法 <script> //参数obj说明: //eg:{ //
前端开发跨域解决方案
08-06
前后端分离H5 跨域解决方案 提供多种解决方法 详情请下载文件 自己看 100%可以解决你的问题
前端跨域解决方案
10-12
前端跨域解决方案,jsonp和cros两种解决方式。我们发现,Web页面上调用js文件时不受是否跨域的影响,凡是拥有"src"这个属性的标签都拥有跨域的能力,比如[removed]、、<iframe>。那就是说如果要跨域访问数据,...
前端常见跨域解决方案(全)
08-29
主要介绍了前端常见跨域解决方案的相关内容,包括对跨域的解释,常见跨域场景以及跨域解决方案,内容丰富,需要的朋友可以参考下。
signalR跨域解决方案
12-25
signalR跨域解决方案 Access-Control-Allow-Origin' header is present之 为什么会跨域解决方案
laravel开发中跨域解决方案
12-20
laravel 进行开发的时候,特别是前后端完全分离的时候,由于前端项目运行在自己机器的指定端口(也可能是其他人的机器) , 例如 localhost:8000 , 而 laravel 程序又运行在另一个端口,这样就跨域了,而由于浏览器的...
element-ui的bug记录
nick_zhang的博客
04-29 527
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
50个前端实战项目之04:隐藏的搜索小组件
最新发布
前端开发博客
05-03 1027
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 306
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端怎么解决跨域跨域
08-15
前端可以通过以下几种方式解决跨域问题: 1. 使用CORS(跨域资源共享):在前端发起跨域请求时,在请求头中添加 `Origin` 字段,服务器...注意,在使用跨域解决方案时,需要了解并遵守相关安全性措施,避免安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

肥肥呀呀呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值