JSONP跨域
jsonp的原理是利用<script>标签没有跨域限制,通过<script>标签src属性,发送带有callback参数的GET请求,服务端将接口返回数据拼凑到callback函数中,返回给浏览器,浏览器解析执行,从而前端拿到callback函数返回的数据。
原生JS实现
1
2
3
4
5
6
7
8
9
10
11
| var script = document.createElement('script')
script.type = 'text/javascript'
script.src = 'http://www.test.com:8080/login?user=admin&callback=handleCallback'
document.head.appendChild(script)
function handleCallback(res) {
alert(JSON.stringify(res))
}
|
服务端返回如下(返回时即执行全局函数):
1
| handleCallback({"success": true, "user": "admin"})
|
jquery Ajax实现
1
2
3
4
5
6
7
| $.ajax({
url: 'http://www.test.com:8080/login',
type: 'get',
dataType: 'jsonp',
jsonpCallback: 'handleCallback',
data: {},
})
|
Vue axios实现
1
2
3
4
5
6
7
8
| this.$http = axios
this.$http.jsonp('http://www.test.com:8080/login', {
params: {},
jsonp: 'handleCallback',
})
.then(res => {
console.log(res)
})
|
后端node.js实现
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| var querystring = require('querystring')
var http = require('http')
var server = http.createServer()
server.on('request', function (req, res) {
var params = querystring.parse(req.url.split('?')[1])
var fn = params.callback
res.writeHead(200, { 'Content-Type': 'text/javascript' })
res.write(fn + '(' + JSON.stringify(params) + ')')
res.end()
})
server.listen('8080')
console.log('Server is running at port 8080...')
|
JSONP优点是简单兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点是仅支持get方法具有局限性,不安全可能会遭受XSS攻击。
跨域资源共享(CORS)
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。
浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。
服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。
虽然设置 CORS 和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。
简单请求
只要同时满足以下两大条件,就属于简单请求
条件1:使用下列方法之一:
条件2:Content-Type 的值仅限于下列三者之一:
- text/plain
- multipart/form-data
- application/x-www-form-urlencoded
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器; XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
1
2
3
4
5
6
| GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
|
上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
CORS请求设置的响应头字段,都以 Access-Control-开头:
Access-Control-Allow-Origin:必选
- 它的值要么是请求时
Origin字段的值,要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Credentials:可选
- 它的值是一个布尔值,表示是否允许发送
Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
Access-Control-Expose-Headers:可选
- CORS请求时,
XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值。
复杂请求
复杂请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)。
预检请求
预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。请求头信息里面,关键字段是Origin,表示请求来自哪个源。除了Origin字段,”预检”请求的头信息包括两个特殊字段。
1
2
3
4
5
6
7
8
| OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0..
|
Access-Control-Request-Method:必选
- 用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是
PUT。
Access-Control-Request-Headers:可选
- 该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是
X-Custom-Header。
预检请求的回应
服务器收到”预检”请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
HTTP回应中,除了关键的是Access-Control-Allow-Origin字段,其他CORS相关字段如下:
Access-Control-Allow-Methods:必选
- 它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求。
Access-Control-Allow-Headers
- 如果浏览器请求包括
Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在”预检”中请求的字段。
Access-Control-Allow-Credentials:可选
Access-Control-Max-Age:可选
CORS跨域示例
前端设置:
原生ajax:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| var xhr = new XMLHttpRequest()
xhr.withCredentials = true
xhr.open('post', 'http://www.test2.com:8080/login', true)
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
xhr.send('user=admin')
xhr.onreadystatechange = function () {
if (xhr.readyState == 4 && xhr.status == 200) {
alert(xhr.responseText)
}
}
|
jquery ajax:
1
2
3
4
5
6
7
8
| $.ajax({
...
xhrFields: {
withCredentials: true
},
crossDomain: true,
...
})
|
服务端设置:
nodejs代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| var http = require('http')
var server = http.createServer()
var qs = require('querystring')
server.on('request', function (req, res) {
var postData = ''
req.addListener('data', function (chunk) {
postData += chunk
})
req.addListener('end', function () {
postData = qs.parse(postData)
res.writeHead(200, {
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'http://www.test1.com',
'Set-Cookie': 'l=a123456;Path=/;Domain=www.test2.com;HttpOnly',
})
res.write(JSON.stringify(postData))
res.end()
})
})
server.listen('8080')
console.log('Server is running at port 8080...')
|
nginx代理跨域
nginx代理跨域,实质和CORS跨域原理一样,通过配置文件设置请求响应头Access-Control-Allow-Origin…等字段。
nginx配置解决iconfont跨域
浏览器跨域访问js、css、img等常规静态资源被同源策略许可,但iconfont字体文件(eot|otf|ttf|woff|svg)例外,此时可在nginx的静态资源服务器中加入以下配置。
1
2
3
| location / {
add_header Access-Control-Allow-Origin *;
}
|
nginx反向代理接口跨域
跨域问题:同源策略仅是针对浏览器的安全策略。服务器端调用HTTP接口只是使用HTTP协议,不需要同源策略,也就不存在跨域问题。
实现思路:通过Nginx配置一个代理服务器域名与test1相同,端口不同)做跳板机,反向代理访问test2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域访问。
nginx具体配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
server {
listen 81;
server_name www.test1.com;
location / {
proxy_pass http://www.test2.com:8080;
proxy_cookie_domain www.test2.com www.test1.com;
index index.html index.htm;
add_header Access-Control-Allow-Origin http://www.test1.com;
add_header Access-Control-Allow-Credentials true;
}
}
|
nodejs中间件代理跨域
node中间件实现跨域代理,原理大致与nginx相同,都是通过启一个代理服务器,实现数据的转发,也可以通过设置cookieDomainRewrite参数修改响应头中cookie中域名,实现当前域的cookie写入,方便接口登录认证。
非vue框架的跨域
使用node + express + http-proxy-middleware搭建一个proxy服务器。
前端代码:
1
2
3
4
5
6
7
8
| var xhr = new XMLHttpRequest()
xhr.withCredentials = true
xhr.open('get', 'http://www.test1.com:3000/login?user=admin', true)
xhr.send()
|
中间件服务器代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| var express = require('express')
var proxy = require('http-proxy-middleware')
var app = express()
app.use(
'/',
proxy({
target: 'http://www.test2.com:8080',
changeOrigin: true,
onProxyRes: function (proxyRes, req, res) {
res.header('Access-Control-Allow-Origin', 'http://www.test1.com')
res.header('Access-Control-Allow-Credentials', 'true')
},
cookieDomainRewrite: 'www.test1.com',
})
)
app.listen(3000)
console.log('Proxy server is listen at port 3000...')
|
vue框架的跨域
node + vue + webpack + webpack-dev-server搭建的项目,跨域请求接口,直接修改webpack.config.js配置。开发环境下,vue渲染服务和接口代理服务都是webpack-dev-server同一个,所以页面与代理接口之间不再跨域。
webpack.config.js部分配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| module.exports = {
entry: {},
module: {},
...
devServer: {
historyApiFallback: true,
proxy: [{
context: '/login',
target: 'http://www.test2.com:8080',
changeOrigin: true,
secure: false,
cookieDomainRewrite: 'www.test1.com'
}],
noInfo: true
}
}
|
document.domain + iframe跨域
此方案仅限主域相同,子域不同的跨域应用场景。实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。
父窗口:(a.test.com)
1
2
3
4
5
| <iframe id="iframe" src="http://b.test.com"></iframe>
<script>
document.domain = 'test.com';
var user = 'admin';
</script>
|
子窗口:(b.test.com)
1
2
3
4
5
| <script>
document.domain = 'test.com';
console.log('get js data from parent ---> ' + window.parent.user);
</script>
|
location.hash + iframe跨域
实现原理: a欲与b跨域相互通信,通过中间页c来实现。 三个页面,不同域之间利用iframe的location.hash传值,相同域之间直接js访问来通信。
具体实现:A域:a.html -> B域:b.html -> A域:c.html,a与b不同域只能通过hash值单向通信,b与c也不同域也只能单向通信,但c与a同域,所以c可通过parent.parent访问a页面所有对象。
a.html:(www.test1.com/a.html)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| <iframe id="iframe" src="http://www.test2.com/b.html" style="display: none"></iframe>
<script>
var iframe = document.getElementById('iframe')
setTimeout(function () {
iframe.src = iframe.src + '#user=admin'
}, 1000)
function onCallback(res) {
alert('data from c.html ---> ' + res)
}
</script>
|
b.html:(www.test2.com/b.html)
1
2
3
4
5
6
7
8
9
| <iframe id="iframe" src="http://www.test1.com/c.html" style="display: none"></iframe>
<script>
var iframe = document.getElementById('iframe')
window.onhashchange = function () {
iframe.src = iframe.src + location.hash
}
</script>
|
c.html:(www.test1.com/c.html)
1
2
3
4
5
6
7
| <script>
window.onhashchange = function () {
window.parent.parent.onCallback('hello: ' + location.hash.replace('#user=', ''))
}
</script>
|
window.name + iframe跨域
window.name属性的独特之处:name值在不同的页面(甚至不同域名)加载后依旧存在,并且可以支持非常长的 name 值(2MB)。
a.html:(www.test1.com/a.html)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| var proxy = function (url, callback) {
var state = 0
var iframe = document.createElement('iframe')
iframe.src = url
iframe.onload = function () {
if (state === 1) {
callback(iframe.contentWindow.name)
destoryFrame()
} else if (state === 0) {
iframe.contentWindow.location = 'http://www.test1.com/proxy.html'
state = 1
}
}
document.body.appendChild(iframe)
function destoryFrame() {
iframe.contentWindow.document.write('')
iframe.contentWindow.close()
document.body.removeChild(iframe)
}
}
proxy('http://www.test2.com/b.html', function (data) {
alert(data)
})
|
proxy.html:(www.test1.com/proxy.html)
中间代理页,与a.html同域,内容为空即可。
b.html:(www.test2.com/b.html)
1
2
3
| <script>
window.name = 'This is test2 data!';
</script>
|
通过iframe的src属性由外域转向本地域,跨域数据即由iframe的window.name从外域传递到本地域。这个就巧妙地绕过了浏览器的跨域访问限制,但同时它又是安全操作。
postMessage跨域
postMessage是HTML5 XMLHttpRequest Level 2中的API,且是为数不多可以跨域操作的window属性之一,它可用于解决以下方面的问题:
- 页面和其打开的新窗口的数据传递
- 多窗口之间消息传递
- 页面与嵌套的iframe消息传递
- 上面三个场景的跨域数据传递
用法:postMessage(data,origin)方法接受两个参数:
- data: html5规范支持任意基本类型或可复制的对象,但部分浏览器只支持字符串,所以传参时最好用JSON.stringify()序列化。
- origin: 协议+主机+端口号,也可以设置为”*”,表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为”/“。
a.html:(www.test1.com/a.html)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| <iframe id="iframe" src="http://www.test2.com/b.html" style="display: none"></iframe>
<script>
var iframe = document.getElementById('iframe')
iframe.onload = function () {
var data = {
name: 'aym',
}
iframe.contentWindow.postMessage(JSON.stringify(data), 'http://www.test2.com')
}
window.addEventListener(
'message',
function (e) {
alert('data from test2 ---> ' + e.data)
},
false
)
</script>
|
b.html:(www.test2.com/b.html)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| <script>
window.addEventListener(
'message',
function (e) {
alert('data from test1 ---> ' + e.data)
var data = JSON.parse(e.data)
if (data) {
data.number = 16
window.parent.postMessage(JSON.stringify(data), 'http://www.test1.com')
}
},
false
)
</script>
|
WebSocket协议跨域
WebSocket protocol是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很好的实现。 原生WebSocket API使用起来不太方便,我们使用Socket.io,它很好地封装了webSocket接口,提供了更简单、灵活的接口,也对不支持webSocket的浏览器提供了向下兼容。
前端代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| <div>user input:<input type="text" /></div>
<script src="https://cdn.bootcss.com/socket.io/2.2.0/socket.io.js"></script>
<script>
var socket = io('http://www.test2.com:8080')
socket.on('connect', function () {
socket.on('message', function (msg) {
console.log('data from server: ---> ' + msg)
})
socket.on('disconnect', function () {
console.log('Server socket has closed.')
})
})
document.getElementsByTagName('input')[0].onblur = function () {
socket.send(this.value)
}
</script>
|
Nodejs socket后台:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| var http = require('http')
var socket = require('socket.io')
var server = http.createServer(function (req, res) {
res.writeHead(200, {
'Content-type': 'text/html',
})
res.end()
})
server.listen('8080')
console.log('Server is running at port 8080...')
socket.listen(server).on('connection', function (client) {
client.on('message', function (msg) {
client.send('hello:' + msg)
console.log('data from client: ---> ' + msg)
})
client.on('disconnect', function () {
console.log('Client socket has closed.')
})
})
|
总结
- jsonp(只支持get请求,支持老的IE浏览器)适合加载不同域名的js、css,img等静态资源
- CORS(支持所有类型的HTTP请求,但浏览器IE10以下不支持)适合做ajax各种跨域请求
- Nginx代理跨域和nodejs中间件跨域原理都相似,都是搭建一个服务器,直接在服务器端请求HTTP接口,这适合前后端分离的前端项目调后端接口
- document.domain+iframe适合主域名相同,子域名不同的跨域请求
- postMessage、websocket都是HTML5新特性,兼容性不是很好,只适用于主流浏览器和IE10+
微信
