同源策略与跨域解决方案详解

同源策略与跨域解决方案详解

引言

在现代Web开发中，安全始终是首要考虑的问题之一。同源策略（Same-Origin Policy）作为浏览器的一项重要安全机制，有效地防止了恶意网站对用户隐私数据的窃取。然而，在实际开发过程中，我们经常遇到需要跨域访问资源的情况。本文将详细介绍同源策略的概念、限制以及几种常用的跨域解决方案。

---

同源策略

同源策略是一种重要的安全机制，用于限制一个源的文档或脚本如何与另一个源上的资源进行交互。这里的“源”指的是由协议、域名和端口号组成的三元组。例如：

在这个例子中，“http”是协议，“192.168.3.1”是域名，“3000”是端口。只有当这三个元素完全相同的情况下，才能认为两个资源是同源的。

示例

假设你的网站位于 http://example.com:8080，那么它只能访问来自 http://example.com:8080 的资源，而不能直接访问 http://example.com:3000 或者 https://example.com:8080 的资源，因为它们被视作不同的源。

---

解决方案

虽然同源策略为浏览器提供了安全保护，但它也带来了一些不便。接下来我们将介绍几种常见的解决跨域问题的方法。

JSONP (JSON with Padding)

JSONP 是一种被广泛使用的跨域数据获取方式。它利用了 <script> 标签的 src 属性不受同源策略限制的特点。JSONP 的工作原理如下：

1. 客户端:

   • 发送请求时，需要向服务器端添加一个名为 callback 的参数。
   • 定义一个全局函数作为回调函数。

2. 服务器端:

   • 接收请求后，将数据包装成客户端提供的回调函数的形式。
   • 将数据作为回调函数的参数返回。

3. 执行:

   • 浏览器接收到响应后会自动执行该回调函数，并将数据传递给它。

示例代码

需要注意的是，JSONP 只支持 GET 请求，且需要服务器端的支持。

CORS (Cross-Origin Resource Sharing)

CORS 是一种更加灵活的跨域解决方案，它允许服务器通过设置特定的HTTP响应头来控制哪些源可以访问其资源。

1. 服务器端:

   • 设置 Access-Control-Allow-Origin 头来指定允许访问的源。
   • 可以设置为具体的域名或者通配符 * 表示允许所有源。

2. 客户端:

   • 发起跨域请求时，浏览器会自动添加必要的请求头。

3. CORS 工作原理:

   • 预检请求: 对于复杂请求（如 POST、PUT 等），浏览器会先发送一个 options 请求来确认服务器是否允许跨域请求。

   • 响应头:

   1. Access-Control-Allow-Origin: 指定允许访问该资源的源。
   2. Access-Control-Allow-Methods: 指定允许的 HTTP 方法。
   3. Access-Control-Allow-Headers: 指定允许的头部。
   4. Access-Control-Max-Age: 指定预检请求的有效期。
   5. Access-Control-Allow-Credentials: 是否允许请求包含凭证（如 cookies）。

示例代码

服务器端响应头设置

客户端发起请求

WebSocket

WebSocket 协议提供了一个持久连接的方式，它允许客户端和服务端之间进行双向通信，并且不受同源策略的限制。

1. 客户端:

   • 创建一个 WebSocket 连接。

2. 服务器端:

   • 接受连接并处理消息。

示例代码

WebSocket 提供了一种在客户端和服务器之间建立长连接的机制，使得双方能够实时地进行双向数据交换。这种实时性非常适合一些需要即时通信的应用场景，如：实时聊天应用、视频会议和直播、实时股票报价、协同编辑工具等等。

postMessage

postMessage API 允许不同源的窗口对象之间进行通信。这对于 iframe 中嵌入的页面特别有用。

1. 主页面:

   • 使用 postMessage 方法发送信息到 iframe 页面。

2. iframe 页面:

   • 使用 addEventListener 监听消息事件。

示例代码

核心知识点

1. 发送消息:

   • 使用 postMessage 方法发送消息。
   • 第一个参数是要发送的数据。
   • 第二个参数是目标窗口的源地址，可以是具体域名或 '*'（表示任意源）。

2. 接收消息:

   • 使用 window.addEventListener('message', ...) 添加事件监听器。
   • event.origin 包含发送方的源信息，可用于验证消息来源的安全性。

3. 注意事项:

   • 必须在发送和接收两端都进行源检查，以确保数据安全。
   • 虽然 postMessage 可以用来实现跨域通信，但它并不支持直接访问对方窗口的对象模型，只能通过消息方式进行通信。

4. 应用场景:

   • 跨域 iframe 通信：当父窗口和子窗口的域名不同时，可以使用 postMessage 进行通信。
   • 多窗口间通信：在多个打开的浏览器窗口或标签页之间通信。
   • 跨域调试：在调试跨域的网页时，可以使用 postMessage 来传输调试信息。

document.domain

对于通过 iframe 嵌套的页面，如果它们的二级域名相同，则可以通过设置 document.domain 来绕过同源策略。

1. 主页面:

   • 设置 document.domain。

2. iframe 页面:

   • 设置相同的 document.domain。

示例代码

父窗口

子窗口

核心知识点

1. 设置 document.domain:

   • 只能在顶级域名相同的情况下使用。
   • 设置必须在脚本执行之前完成。
   • 设置 document.domain 通常用于 iframe 内嵌页面之间的通信。

2. 访问限制:

   • 由于同源策略的存在，直接访问 iframe 内容是受限的。
   • 设置 document.domain 可以使两个页面共享同一个顶级域名，从而允许跨域访问。

3. 应用场景:

   • 跨域 iframe 通信：当主页面和 iframe 内页面的二级域名不同但顶级域名相同时。
   • 内部系统集成：企业内部应用之间可能存在不同的二级域名，但通常共享相同的顶级域名。

---

结语

同源策略虽然给开发者带来了诸多挑战，但通过上述几种方法，我们可以有效地解决跨域问题。随着技术的发展，未来还会有更多新的解决方案出现。理解这些机制的工作原理，有助于我们在开发过程中更好地利用它们，构建安全可靠的 Web 应用。

原文链接：https://juejin.cn/post/7409148560778362931