前端解决跨域问题的常见方法及优缺点对比

最新推荐文章于 2024-03-27 14:26:37 发布
最新推荐文章于 2024-03-27 14:26:37 发布
阅读量1.5k 收藏 10
点赞数 2
分类专栏: JS 文章标签: 前端 javascript json ajax http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52148548/article/details/124659422
版权

解决跨域问题的方案

一、什么是跨域?

在前端领域中,跨域是指浏览器语序向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。

什么是同源策略?

同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,流览器很容易受到XSS、CSFR等攻击。所谓同源就是指**“协议+域名+端口”三者相同**,即使两个不同的域名指向同一ip地址,也非同源。

同源策略限制为以下几种行为:

  • Cookie、LocalStorage和IndexDB无法获取。
  • DOM和JS对象无法获得
  • AJAX请求不能发送

二、常见的跨域场景

在这里插入图片描述

三、跨域问题常见解决方案

1.JSONP跨域

(一)原理

jsonp的原理就是:利用

(二)示例

前端代码:

1)原生JS实现

<script>
    var script = document.createElement('script');//创建一个标签名为script的元素
    script.type = 'text/javascript';//type 属性规定脚本的 MIME 类型

    // 传参一个回调函数名给后端,方便后端返回时执行这个在前端定义的回调函数
    script.src = 'http://www.domain2.com:8080/login?user=admin&callback=handleCallback';
    document.head.appendChild(script);//appendChild() 方法向节点添加最后一个子节点。

    // 回调执行函数
    function handleCallback(res) {
        alert(JSON.stringify(res));//将javaScript对象转换称JSON格式的字符串
    }
 </script>
后端代码:
var querystring = require('querystring');
var http = require('http');
var server = http.createServer();

server.on('request', function(req, res) {
    var params = querystring.parse(req.url.split('?')[1]);
//split()表示分割字符串    //querystring.parse()querystring.parse()方法用于将URL查询字符串解析为包含查询URL的键和对值的对象。
    var fn = params.callback;

    // jsonp返回设置
    
    //设置对应的响应头
    res.writeHead(200, { 'Content-Type': 'text/javascript' });
    //拼接
    res.write(fn + '(' + JSON.stringify(params) + ')');

    res.end();//响应结束
});

server.listen('8080');
console.log('Server is running at port 8080...');

(三)JSONP的优缺点

优点:简单,兼容性好,可用于解决主流浏览器的跨域数据访问的问题
缺点:仅支持get方法,具有局限性,不安全

2. 跨域资源共享(CORS)

(一)什么是CORS

CORS是一个W3C标准,全称是”跨域资源共享”允许浏览器向跨域服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS,就会允许XMLHttpRequest发起跨域请求。

(二)简单请求和非简单请求

只要同时满足以下两个条件,就属于简单请求。

  1. 使用下列方法之一:
  • head
  • get
  • post
  1. 请求的Heder是
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type:
    只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain

不同时满足上面的两个条件,就属于非简单请求。浏览器对这两种的处理,是不一样的。

简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

CORS请求设置的响应头字段,都以 Access-Control-开头

1)Access-Control-Allow-Origin:必选

它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

2)Access-Control-Allow-Credentials:可选

它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。
  这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

3)Access-Control-Expose-Headers:可选

CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader(‘FooBar’)可以返回FooBar字段的值。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

预检请求

预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。请求头信息里面,关键字段是Origin,表示请求来自哪个源。除了Origin字段,"预检"请求的头信息包括两个特殊字段。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0..

1)Access-Control-Request-Method:必选

用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。

2)Access-Control-Request-Headers:可选

该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。

预检请求的回应

服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

HTTP回应中,除了关键的是Access-Control-Allow-Origin字段,其他CORS相关字段如下:
1)Access-Control-Allow-Methods:必选

它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

3)Access-Control-Allow-Credentials:可选

该字段与简单请求时的含义相同。

4)Access-Control-Max-Age:可选
  用来指定本次预检请求的有效期,单位为秒。

(三)示例

前端代码:
var xhr = new XMLHttpRequest(); // 创建一个XMLHttpRequest对象,IE8/9需用window.XDomainRequest兼容

// 前端设置是否带cookie
xhr.withCredentials = true;

//建立http连接
xhr.open('post', 'http://www.domain2.com:8080/login', true);//true表示是否异步执行操作,。如果值为false,send()方法直到收到答复前不会返回。如果true,已完成事务的通知可供事件监听器使用。如果multipart属性为true则这个必须为true,否则将引发异常。默认为true

//设置http请求头部
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');

//发送请求
xhr.send('user=admin');

//获取返回的数据
//就等待远程主机做出回应。这时需要监控XMLHttpRequest对象的状态变化,指定回调函数 
xhr.onreadystatechange = function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        alert(xhr.responseText);//获取从后端返回的文本
    }
};

在这里插入图片描述

后端代码:
var http = require('http');
var server = http.createServer();
var qs = require('querystring');

server.on('request', function(req, res) {
    var postData = '';

    // 数据块接收中
    req.addListener('data', function(chunk) {
        postData += chunk;
    });

    // 数据接收完毕
    req.addListener('end', function() {
        postData = qs.parse(postData);

        // 跨域后台设置
        res.writeHead(200, {
            'Access-Control-Allow-Credentials': 'true',     // 后端允许发送Cookie
            'Access-Control-Allow-Origin': 'http://www.domain1.com',    // 允许访问的域(协议+域名+端口)
            /* 
             * 此处设置的cookie还是domain2的而非domain1,因为后端也不能跨域写cookie(nginx反向代理可以实现),
             * 但只要domain2中写入一次cookie认证,后面的跨域接口都能从domain2中获取cookie,从而实现所有的接口都能跨域访问
             */
            'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'  // HttpOnly的作用是让js无法读取cookie
        });

        res.write(JSON.stringify(postData));//将postData对象转换为JSON格式的字符串
        res.end();
    });
});

server.listen('8080');
console.log('Server is running at port 8080...');

(四)CORS的优缺点

优点:CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案
缺点:对浏览器要求较高,低版本浏览器无法兼容

3.nodejs中间件代理跨域

(一)原理

在这里插入图片描述

同源策略是浏览器需要遵循的标准,而如果是服务器向服务器请求则无需遵循同源策略。

  • 代理服务器接受客户端请求 。
  • 代理服务器将请求 转发给服务器。
  • 代理服务器拿到服务器 响应 数据。
  • 代理服务器将 响应 转发给客户端。

(二)示例

使用node + express + http-proxy-middleware搭建一个proxy服务器。

前端代码:
//创建一个XMLHttpRequest对象
var xhr = new XMLHttpRequest();

// 前端开关:浏览器是否读写cookie
xhr.withCredentials = true;

// 访问http-proxy-middleware代理服务器
//建立http连接
xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);//地址是代理服务器的地址
//发送请求
xhr.send();
中间件服务器代码:
var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();

app.use('/', proxy({
    // 代理跨域目标接口
    target: 'http://www.domain2.com:8080',
    changeOrigin: true,

    // 修改响应头信息,实现跨域并允许带cookie
    onProxyRes: function(proxyRes, req, res) {
        res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
        res.header('Access-Control-Allow-Credentials', 'true');
    },

    // 修改响应信息中的cookie域名
    cookieDomainRewrite: 'www.domain1.com'  // 可以为false,表示不修改
}));

app.listen(3000);
console.log('Proxy server is listen at port 3000...');

(三)nodejs中间件代理的优缺点

优点:减少网络负荷,节约带宽,实现自动数据分流
缺点:易受攻击

甜甜酷盖
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端Vue常见面试题大全
10-27
解决跨域问题通常通过配置axios的baseURL、代理服务器或使用CORS策略。 3. Vue、React、AngularJS和jQuery各有其应用场景。Vue和React适合构建单页应用,AngularJS是全面的MVC框架,jQuery则主要用于DOM操作和事件...
jsonp跨域请求
03-13
JSONP(JSON with Padding)是一种常见解决JavaScript跨域问题的技术。由于浏览器的同源策略限制,JavaScript通常不能向不同源的服务器发起XMLHttpRequest请求。但JSONP通过动态插入`<script>`标签的方式,巧妙地...
JSONP和CORS两种跨域方式的优缺点及使用方法原理介绍
weixin_30338497的博客
01-17 407
  随着软件开发分工趋于精细,前后端开发分离成为趋势,前端同事负责前端页面的展示及页面逻辑处理,服务端同事负责业务逻辑处理同时通过API为前端提供数据也为前端提供数据的持久化能力,考虑到前后端同事开发工具和习惯的不同,必然需要将前后端项目进行独立,再者考虑到网站访问速度的问题,需要将静态资源部署到CDN服务器上这样项目分离也成为了必然。然而项目分离部署分离带来的问题就是跨域请求的问题,本...
js与jquery 跨域问题
gc1329689056的博客
11-02 3022
1.jQuery ajax方式以jsonp类型发起跨域请求,使用jsonp时也只能使用GET方式发起跨域请求。跨域请求需要服务端配合,设置callback,才能完成跨域请求。 前端: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-sca.
前端配置代理解决跨域问题的原理是什么?
爱吃香菜君的博客
05-29 1357
例如,我们在本地开发环境中使用的端口号和服务器上的端口号不一致,就会引起跨域问题。而配置代理的解决方案,则是通过在客户端和服务器之间加上一个代理服务器,使得客户端向代理服务器发送请求,再由代理服务器向真正的服务器发送请求,并将结果返回给客户端。2.代理服务器收到请求后,将请求转发给真正的服务器,例如:http://www.example.com/api/getData。可以看到,代理服务器起到了一个“中间人”的作用,将客户端和服务器之间的请求进行了转发和处理,从而解决跨域问题
关于跨域的各种解决方案及优缺点
cnpma的博客
06-28 323
缺点:客户端请求比较复杂,请求对目标服务器的依赖性较强,如果目标服务器没有使用jsonp函数响应数据,则不能实现jsonp跨域跨域:一个服务器A 中的页面,去请求另一个服务器B中的数据或者接口,非同源请求就是跨域请求,浏览器默认是禁止的。同源策略:是浏览器于安全考虑,针对ajax请求的一种限制,浏览器会禁止ajax请求非同源的接口和数据。优点:快捷方便,一句代码即可实现跨域,客户端请求数据方便,无需修改代码。2.在客户端请求数据的时候,不再请求跨域地址,而是请求域内的代理地址。
前端进阶-个人笔记-安全篇
树上骑个猴的博客
11-22 289
1、XSS介绍 XSS的全称是 Cross-Site Scripting,跨站脚本攻击。是指通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。通俗一点讲,就是黑客想法设防地让用户在访问的网页里运行自己写的攻击代码,一旦成功运行,黑客就有可能干出以下勾当: 获取当前用户在这个网站的cookies,从而拿到用户的敏感信息; 以当前用户的身份发起一些非用户本意的操作请求,比如删除网站好友,发帖,发私信等等; 实现DDos攻击; 根据攻击的来源,XSS可以
关于使用proxy解决跨域可能会遇到的坑
qq_51558433的博客
06-16 182
今天在给新项目配置proxy代理解决跨域的时候遇到了一个奇怪的问题,是这样的 我先给axios设置了baserurl是一个绝对地址https://www.xxx.com,因为这个网站的接口没有设置跨域,所以我在项目的配置文件中用了proxy,了代理,但是我怎么设置都不对,我真的是一个大无语,我和官网的设置比对了一遍又一遍,还是不对,然后,我就突然在网上看到axios不要设置绝对路径,然后我就开悟了,原因写在下面了.
96道web前端面试题.pdf
01-30
- 强调自己的学习能力、团队协作能力和解决问题的能力。 2. **项目介绍**: - 挑选一两个最有代表性的项目,详细介绍项目的目标、技术栈、遇到的挑战及解决方案。 - 通过具体的数据或成果展示项目的成功之处。 ...
JS中传递参数的几种不同方法比较
11-27
每种方法都有其优缺点,选择哪种方法取决于实际需求。`window.location.href`适合页面重定向,Ajax适用于动态交互,表单提交则用于用户输入的场景。理解这些方法可以帮助开发者更有效地实现前端与后端的数据交互。在...
jsonpajax跨域请求
09-10
总结,JSONP和CORS是解决JavaScript跨域问题的两种主要方法,它们各有优缺点,适用于不同的场景。JSONP简单易用,但安全性较低;CORS则更安全,但需要服务器端的配合。在实际开发中,根据项目需求和浏览器兼容性选择...
配置代理——解决跨域问题(详解)
M_emory_的博客
07-26 4652
配置代理——解决跨域问题(详解) 二、跨域问题的产生 当出现以下报错,看到 CORS 和 'Access-Control-Allow-Origin' 这两个关键信息的时候,就说明出现跨域问题
Vue中利用代理服务器解决跨域问题
qq_45796592的博客
01-06 2844
vue脚手架利用代理服务器解决跨域
关于跨域,以及跨域的几种方式
weixin_39816740的博客
07-18 346
首先我们来想一想               为什么会有跨域这个名词的出现呢?               跨域又是什么呢?为何要跨域?               浏览器的同源策略又是什么?怎么解决?               jsonp又是什么?               跨域的原理又是什么呢? 名词解释: 跨域: 浏览器对于javascript的同源策略的限制,例如a.c...
代理模式(Proxy)总结
weixin_44520881的博客
07-18 1113
目录代理模式介绍代理模式的形式静态代理 代理模式介绍 所谓单例模式,就是为一个对象提供一个替身,以控制对这个对象的访问。即通过代理对象访问目标对象,这样的好处:可以在目标对象实现的基础上,增强额外的功能操作,即拓展目标对象的功能。 代理模式的形式 主要有三种形式: 静态代理 动态代理(JDK代理、接口代理) Cglib代理(可在内存中动态的创建对象,而不需要实现接口,也属于动态代理的范畴) 静态代理 ...
跨域资源共享(CORS)详解
duzm200542901104的专栏
12-26 3152
一、跨域请求: 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 二、跨域资源共享(CORS): 出于安全原因,浏览器限制从脚本内发起的跨域HTTP请求。 例如,XMLHttpRequest遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同...
跨域解决的几种方案对比
muyeyifan的专栏
05-13 465
在web开发中,有很多功能需求上要求跨域!据我所知有以下三种跨域方式: 一,jsonp  因为js有同源策略限制,所谓同源策略限制就是指阻止代码获得或者更改从另一个域名下获得的文件或者信息。也就是说我们的请求地址必须和当前网站的地指相同。同源策略通过隔离来实现对资源的保护, 解决这个限制的一个相对简单的办法就是在服务器端发送请求,服务器充当一个到达第三方资源的代理中继。虽然是用广泛但是这个方法
前端跨域问题:原理、解决方案及最佳实践
最新发布
weixin_44446127的博客
03-27 314
跨域是指浏览器从一个源(协议、域名和端口号三者相同,则为同源)的页面中发起一个请求到另一个源的服务器, 此时浏览器的同源策略限制了这种交互,这是浏览器的一种安全机制。在前端和后端中间“放置”一个代理服务器,这样前端和代理服务器同源, 后端和代理服务器通信,避免了跨域问题。浏览器的同源策略:来自不同源的页面(协议、域名、端口三者中有一个不同即为不同源)之间不能共享数据。基于HTTP头部的跨域解决方案,通过在服务器端设置响应头信息来允许跨域请求。优点: CORS支持所有类型的HTTP请求,并且安全性较高。
Proxy和Object.defineProperty的优缺点
Sugar0219的博客
05-08 2589
Proxy的优点如下: 1. Proxy可以直接监听对象而非属性; 2. Proxy可以直接监听数组的变化; 3. Pxory有多种(13种)拦截方法,不限于apply、ownKeys、deleteProperty、has等等 是Object.defineProperty不具备的; 4. Proxy返回的是一个新对象,我们可以只操作新的对象达到目的,而Object.defineProperty只能遍历对象属性直接修改; 5. Proxy作为新标准将受到浏览器厂商重点持续的性能优化,也就是传说中的新
前端解决跨域问题的几重方法
04-25
前端解决跨域问题的几种方法包括: 1. JSONP:使用标签向服务器请求数据,服务器返回一个JSON格式的数据,并且把数据包裹在一个函数调用中,前端利用回调函数来处理返回的数据。 2. CORS:在服务端进行设置,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值