前端面试系列之跨域

最新推荐文章于 2023-08-23 18:29:16 发布
VIP文章 最新推荐文章于 2023-08-23 18:29:16 发布
阅读量483 收藏 3
点赞数
分类专栏: 前端面试 文章标签: http ajax跨域问题 jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45316326/article/details/115752648
版权

前端跨域问题相信很多朋友都遇到过,很多时候我们都是直接交给后端来解决。那么为什么会出现跨域问题呢?后端是如何解决跨域问题?

什么是跨域?

广义的跨域包括:

  • 资源跳转:超链接跳转、重定向、表单提交
  • 资源嵌入:link、ifram、script、img,以及css样式中的background:url()、@font-face()等外链接
  • 脚本请求:js的ajax请求、js或DOM 中的跨域操作

狭义的跨域:指浏览器同源策略限制的请求。我们通常所说的也指的是这种。

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。简单来说就是指"协议+域名+端口"三者都相同,如果有一个不同都会导致跨域,即使两个域名指向同一个ip也不会例外。以 http://store.company.com/goods/list为例

URL 结果 原因
http://store.company.com/goods/detail 同源 只有路径不同
http://store.company.com/my/info 同源 只有路径不同
https://store.company.com/goods/list 失败 协议不同
http://store.company.com:81/goods/list 失败 端口不同 ( http:// 默认端口是80)
http://news.company.com/goods/list 失败 主机不同

跨域的方法

跨域的方法很多,网上案例很多 常见的大概有9种,分别是

  1. jsonp跨域
  2. document.domain + iframe
  3. window.name + iframe
  4. location.hash + ifram
  5. 跨域资源共享(CORS)
  6. WebSocket协议跨域
  7. HTML5的postMessage跨域
  8. nginx代理跨域
  9. nodejs中间件代理跨域

当然,在日常工作中,我们使用最多的还是jsonpCORS两种,本文也只介绍着两种方式。

1.jsonp跨域

jsonp跨域的原理很简单,就是利用script标签不受同源策略限制这一特点来实现的。这也是jsonp的为什么只支持get请求,而不支持post请求的原因。通过动态创建script标签连接服务端,服务端通过函数执行的方式将data传递给前端。
代码以原生js为例:

<script>
    var script = document.createElement('script');
    script.type = 'text/javascript';
    // 传参一个回调函数名给后端,方便后端返回时执行这个在前端定义的回调函数
    script.src = 'http://www.domain2.com:8080/login?user=admin&callback=handleCallback';
    document.head.appendChild(script);
    // 回调执行函数
    function handleCallback(res) {
   
        alert(JSON.stringify(res));
    }
 </script>

后端node代码实现:

router.get('/article-list', (req, res) => {
   
  let data = {
   
    message: 'success!',
    name: req.query.name,
    age: req.query.age
  }
  const fn = req.query.callback
  data = JSON.stringify(data)
  res.end(fn + '(' + data + ')');
}

2. CORS

上面jsonp的方式已经暴露了一个巨大的缺点,那就是无法解决post请求的跨域。因此,我们更多的是使用cors来解决跨域问题。

跨源资源共享 (CORS) (或通俗地译为跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。

以fetch请求为例, fetch('http://localhost:10086/cors/test1')

scene 1

当我们什么都不做时,此时我们发现,network弹出如下错误:
在这里插入图片描述

根据报错提示设置mode,于是我们设置如下fetch('http://baidu.com/x',{mode:'no-cors'}),此时结果如下在这里插入图片描述
network不再报错了,然而没有返回值,status居然是0。
原来 no-cors并不是绕过跨域的意思,这也是新手常犯的一个错误

no-cors 保证请求对应的 method 只有 HEAD,GET 或 POST 方法,并且请求的 headers 只能有简单请求头 (simple headers)。如果 ServiceWorker 劫持了此类请求,除了 simple header 之外,不能添加或修改其他 header。另外 JavaScript 不会读取 Response 的任何属性。这样将会确保 ServiceWorker 不会影响 Web 语义(semantics of the Web),同时保证了在跨域时不会发生安全和隐私泄露的问题。

原来,我们需要在服务端设置头信息Access-Control-Allow-Origin,可以带*,代表wildcard,任何origin都合法,但是有一定的安全风险, 也可以设置具体的origin,本例子则设置为http://localhost:4000。如果想带多个的话呢?抱歉,没有办法,只能设置单独一个,或者全部都成功。<

最低0.47元/天 解锁文章
亚卡卡的那年
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端面试必备之同源和详解
09-22
是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同上(即名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源和的相关资料,文中通过示例代码...
前端面试——问题
Amethyst的博客
11-27 2568
文章目录cookie和session的区别cookie,localStorage,sessionStorage的区别CSRF和XSS攻击及防范问题浏览器的同源策略解决方案资源共享(CORS)通过JSONPwebsocket协议 cookie和session的区别 cookie数据存放在浏览器上,session存放在服务器上 cookie一般在客户端有大小限制,一般为4K,session没有限制,但是考虑到服务器性能,一般不能存放太多数据 cookie可以设置过期时间,否则一直有效,se
常见前端面试题--
weixin_45663702的博客
03-07 3141
常见前端面试题--
前端面试】对的理解,以及解决办法
JerryAnDBun的博客
09-20 229
是指浏览器的同源策略产生的现象,因为浏览器可以同时打开多个标签页,如果不将这些网页加以分隔,那么将出现a网站去访问b网站,还能带上b网站的cookie,且能收到b网站的响应。使得a网站很容易窃取用户在b网站上的数据。于是便有了浏览器的同源策略。同源策略是指当http请求时,如果客户端与服务端的协议、主机、端口号,任意一个不相同的时候,客户端(浏览器)会在发出请求的时候,会自动在请求头上加上Origin字段,说明请求来自哪个源,如果接收到的响应体里没有。
postman为什么不
quietbxj的博客
03-05 2747
是指当一个资源从与该资源本身所在的服务器不同的或端口不同的或不同的端口请求一个资源时,资源会发起一个 HTTP 请求。正常的情况,是你访问了一个A网站,然后这个网站返回的资源里面,请求了B网站/端口的资源,于是就了。所以,这个情况只会出现在浏览器页面里,因为实际上是浏览器由于安全原因限制了这些请求的访问。 在postman里面,实际上每发出一个请求,都是在独立请求一个资源,而不是在一个网站返回的页面里,再去请求另外一个网站/端口的资源。自然也就不会造成了。 ...
前端面试:【与安全】问题及解决方案
最新发布
weixin_42132860的博客
08-23 1710
问题指的是在Web开发中,浏览器的同源策略(Same-Origin Policy)限制了一个网页从一个源(名、协议、端口)加载的文档或脚本如何与来自另一个源的资源进行互操作。问题是Web开发中的一项关键挑战,但通过使用JSONP、CORS、代理服务器等解决方案,你可以安全地进行通信。嗨,亲爱的Web开发者!本文将深入探讨问题的背景以及解决方案,以确保你的应用既安全又能与其他名的资源进行互操作。亲爱的Web开发者,现在你已经了解了问题及其解决方案,以及如何确保Web应用的安全性。
2019年前端面试宝典
02-15
前端面试宝典,可供进行系统学习,里面包含了从HTML,css,js从基础高级,包含闭包,递归,,Vue,jQuery等库与框架,是面试的一个不错的首选之一。
前端面试必刷//浏览器工作原理/Vue/React/性能优化
12-06
前端面试必刷//浏览器工作原理/Vue/React/性能优化
最新的前端面试指南
08-23
1、JavaScript相关:闭包、、继承、原型链、设计模式、正则 2、CSS相关:选择器权重 3、HTML相关:盒模型、viewport、块级元素、行内元素 4、构建工具相关:gulp、webpack了解一个 5、Node.js相关:HTTP模块、...
前端开发面试题.html
03-30
非常全面的前端开发面试题: HTML&CSS;: 对Web标准的理解(结构、表现、行为)、浏览器内核、渲染原理、依赖管理、兼容性、CSS语法、层次关系,常用属性、布局、选择器、权重、盒模型、 Hack、CSS预处理器、CSS3...
问题的正确理解
miaoyibo12的博客
03-14 770
首先第一个问题是:问题是谁导致的? 答案是浏览器。一切的罪魁祸首是一种叫 浏览器的同源策略 导致的。 具体的解释可以参考这篇文章https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy 第二个问题:什么样的场景才算是? 这里要强调的一件事是,所有的请求都是由用户使用的浏览器发起的。网上有种不严谨的说法:...
转载 问题处理
西北的博客
12-31 326
转载:https://blog.csdn.net/qq_38128179/article/details/84956552 一、为什么会出现问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同...
Script标签解决
等,你的到来。
11-16 6009
关于,首先我们来讲一下基础知识。 –什么是请求:从一个下去访问另一个下的脚本(js/php)或者文档结构(html)。 –为什么:因为我们往往需要其他下的数据,另一个因为同源策略的限制,不进行无法直接请求另一个的数据。 –怎么样进行请求:img、a、form、link、iframe可以,但是没有返回值,所以不进行使用,最主要使用的是script标签。然后,通过j
link引入与script引入的区别
qq_49353940的博客
07-31 4388
link 一般引入css样式 eg: < link rel=“stylesheet” href=“css/index.css”> link引入强调次序 script 一般引入的是 JAVASCRIPT 脚本 eg: < script src=“js/jquery-1.11.3.js”>< /script> 因此,引入jQuery,只能用script引入而不能用link引入 ...
前端面试准备——关于
weixin_45721030的博客
03-07 438
9种前端解决办法个人总结吸收——来自大佬的稿子9种常见的前端解决方案(详解)_慕课手记 1.关于JSONP jsonp的核心原理就是 “目标页面回调本地页面”,即通过<script>标签的src属性,发送带有callback参数的get请求,服务器端将接口返回数据拼凑到callback函数中,并返回给浏览器,这样浏览器前端就可以拿到callback函数返回的数据了;但缺点是只能发送get一种请求。 a.原生js实现 b.jquery Ajax实...
前端面试题---处理和异常、错误处理
前端卷王小白的博客
06-11 1186
前端面试题,处理,异常和错误处理
前端面试常问的问题
王湘佰的博客
05-23 347
为什么要问题是浏览器同源策略限制,当前名的js只能读取同下的窗口属性。  一个网站的网址组成包括协议名,子名,主名,端口号。比如https://www.github.com/80 其中https是协议名,www.github.com是子名,github.com是主名,端口号是80,当在在页面中从一个url请求数据时,如果这个url的协议名、子名、主名、端口号任意一个有一个不同,就会产生问题。 即使是在 http://localhost:80/ 页
vue axios异常 Access-Control-Allow-Origin wildcard '*' mode is include withCredentials attribute
WarmPure
02-20 2224
vue在request时错误信息如下,做此记录: Access to XMLHttpRequest at 'http://192.168.0.103:8080/user/userLogin' from origin 'http://localhost:8081' has been blocked by CORS policy: Response to preflight request does...
问题(前端面试最常问)
热门推荐
山鬼谣弋痕夕的博客
08-11 1万+
https://blog.csdn.net/as645788/article/details/51285688 为什么要问题是浏览器同源策略限制,当前名的js只能读取同下的窗口属性。  一个网站的网址组成包括协议名,子名,主名,端口号。比如https://www.github.com/80 其中https是协议名,www.github.com是子名,github.com...
前端面试题怎么解决问题
06-09
问题是由浏览器的同源策略引起的,同源策略是一种安全机制,它限制了一个源加载的文档...这样前端与后端的请求就不是的了。 以上是问题的三种解决方案,开发者可以根据具体的情况选择适合自己的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值