http之浏览器同源政策——端口、域名、协议,三者同及不跨域;解决跨域的方案有哪些
浏览器的同源策略(Same-Origin Policy)是一种安全机制,用于限制一个源(包括协议、域名和端口)的文档或脚本与来自其他源的资源进行交互。简单来说,同源策略要求页面中的脚本只能访问与其来源相同的资源,而不能直接访问其他源的资源。
同源策略中,同源被定义为具有相同协议、域名和端口号的两个 URL。如果其中任何一项不同,就被认为是跨域请求。
解决跨域问题的常见方案包括:
-
JSONP(JSON with Padding):利用 HTML 的
<script>
标签没有同源限制的特性,通过动态添加<script>
标签来获取跨域数据。但是该方法只适用于 GET 请求,并且需要目标服务器支持返回 JSONP 格式的数据。 -
CORS(Cross-Origin Resource Sharing):跨域资源共享是一种基于 HTTP 头部的机制,允许服务器声明哪些源可以访问该服务器的资源。通过在服务器端设置响应头部信息,来控制跨域访问的权限。
-
代理服务器:在同源策略限制下,通过在服务器端创建一个代理,将跨域请求转发到目标服务器并将响应返回给客户端。客户端与代理服务器之间是同源的,从而解决了跨域问题。
-
WebSocket:WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议,它不受同源策略的限制,可以与任意源进行通信。
-
iframe 嵌套:通过在页面中嵌入一个隐藏的
<iframe>
元素,将目标页面作为<iframe>
的源,从而实现与目标页面的通信。但是这种方法需要目标页面支持,并且可能存在安全风险。
这些方法各有优缺点,具体使用哪种方案取决于具体的需求和场景。