常见的跨域方法(九种解决办法)

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。

广义的跨域:

  1. 资源跳转: A链接、重定向、表单提交
  2. 资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@font-face()等文件外链
  3. 脚本请求: js发起的ajax请求、dom和js对象的跨域操作等

其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景。

同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

同源策略限制以下几种行为:

  1. Cookie、LocalStorage 和 IndexDB 无法读取
  2. DOM 和 Js对象无法获得
  3. AJAX 请求不能发送

跨域解决方案:

  1. 通过jsonp跨域
  2. document.domain + iframe跨域
  3. location.hash + iframe
  4. window.name + iframe跨域
  5. postMessage跨域
  6. 跨域资源共享(CORS)
  7. nginx代理跨域
  8. nodejs中间件代理跨域
  9. WebSocket协议跨域

一、 通过jsonp跨域

通常为了减轻web服务器的负载,我们把js、css,img等静态资源分离到另一*立域名的服务器上,在html页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许,基于此原理,我们可以通过动态创建script,再请求一个带参网址实现跨域通信。

原生实现:

 1  <script>
 2     var script = document.createElement(‘script‘);
 3     script.type = ‘text/javascript‘;
 4 
 5     // 传参一个回调函数名给后端,方便后端返回时执行这个在前端定义的回调函数
 6     script.src = ‘http://www.domain2.com:8080/login?user=admin&callback=handleCallback‘;
 7     document.head.appendChild(script);
 8 
 9     // 回调执行函数
10     function handleCallback(res) {
11         alert(JSON.stringify(res));
12     }
13  </script>

服务端返回如下(返回时即执行全局函数):

1 handleCallback({"status": true, "user": "admin"})

jquery ajax:

1 $.ajax({
2     url: ‘http://www.domain2.com:8080/login‘,
3     type: ‘get‘,
4     dataType: ‘jsonp‘,  // 请求方式为jsonp
5     jsonpCallback: "handleCallback",    // 自定义回调函数名
6     data: {}
7 });

vue.js:

1 this.$http.jsonp(‘http://www.domain2.com:8080/login‘, {
2     params: {},
3     jsonp: ‘handleCallback‘
4 }).then((res) => {
5     console.log(res); 
6 })

后端node.js代码示例:

 1 var querystring = require(‘querystring‘);
 2 var http = require(‘http‘);
 3 var server = http.createServer();
 4 
 5 server.on(‘request‘, function(req, res) {
 6     var params = qs.parse(req.url.split(‘?‘)[1]);
 7     var fn = params.callback;
 8 
 9     // jsonp返回设置
10     res.writeHead(200, { ‘Content-Type‘: ‘text/javascript‘ });
11     res.write(fn + ‘(‘ + JSON.stringify(params) + ‘)‘);
12 
13     res.end();
14 });
15 
16 server.listen(‘8080‘);
17 console.log(‘Server is running at port 8080...‘);

jsonp缺点:只能实现get一种请求。

二、 document.domain + iframe跨域

此方案仅限主域相同,子域不同的跨域应用场景。

实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。

父窗口:

1 <iframe id="iframe" src="http://child.domain.com/b.html"></iframe>
2 <script>
3     document.domain = domain.com;
4     var user = admin;
5 </script>

子窗口:

1 <script>
2     document.domain = domain.com;
3     // 获取父窗口中变量
4     alert(get js data from parent --->  + window.parent.user);
5 </script>

常见的跨域方法(九种解决办法)

上一篇:RabbitMQ - 常用队列之Worker模式(一对多模式)


下一篇:CLASStorch.utils.data.TensorDataset(*tensors)