前端跨域分析及解決辦法

爲何有跨域問題

由於瀏覽器的同源策略，致使了跨域問題的出現。

一. 同源策略

1. 什麼是同源策略

同源策略限制了從同一個源加載的文檔或腳本如何與來自另外一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

2. 爲何須要同源策略

出於安全緣由，瀏覽器限制從腳本內發起的跨源HTTP請求。 例如XMLHttpRequest遵循同源策略。 這意味着使用這些API的Web應用程序只能從加載應用程序的同一個域請求HTTP資源，除非使用CORS頭文件或其餘跨域方法。

沒有同源策略的兩大安全隱患：

1. 針對接口請求
   常見的場景爲：cookie獲取，CSRF攻擊：(Cross-site request forgery)跨站請求僞造

One Day，當你興致勃勃在某寶上準備雙11的買買買，網購物車裏面各類加，這個時候彈出了你愛豆的新聞，那必須得關注，看一看你家愛豆是否是也要介紹一下另外一半，因而就點擊鏈接進去看了，你看的過程當中，也許這個網站暗地裏就作了些什麼不可描述的事情！

好比說因爲沒有同源策略的限制，它向某寶發起了請求！由於你在登陸某寶時「服務端驗證經過後會在響應頭加入Set-Cookie字段，而後下次再發請求的時候，瀏覽器會自動將cookie附加在HTTP請求的頭字段Cookie中」，這樣一來，這個不法網站就至關於登陸了你的帳號，能夠隨心所欲了！

1. 針對Dom
   假設一個場景須要用戶先填寫用戶名密碼等登陸信息進行身份驗證，才能進行接下來的操做，當你輸入用戶名密碼登陸成功後，你的帳號密碼就被盜了，那酸爽~~~
   那這個釣魚網站作了什麼呢？

// HTML
    <iframe name="qq" src="www.qq.com"></iframe>
    // JS
    // 因爲沒有同源策略的限制，釣魚網站能夠直接拿到別的網站的Dom
    let iframe = window.frames['qq']
    let userInput = iframe.document.getElementById('帳號輸入框'),
        passInput = iframe.document.getElementById('密碼輸入框');
    
    //dom都拿到了，帳號和密碼不就是一件很容易的事情了麼~~~

所以同源策略確實能規避一些危險，不是說有了同源策略就安全，只是說同源策略是一種瀏覽器最基本的安全機制，畢竟能提升一點攻擊的成本。其實沒有刺不穿的盾，只是攻擊的成本和攻擊成功後得到的利益成不成正比。

3. 怎麼判斷URL是否同源

若是兩個頁面的協議，端口（若是有指定）和域名都相同，則兩個頁面具備相同的源。

同源的斷定：
以http://www.example.com/dir/page.html爲例，如下表格指出了不一樣形式的連接是否與其同源：（緣由裏未申明不一樣的屬性即說明其與例子裏的原連接對應的屬性相同）

連接	結果	緣由
http://www.example.com/dir/page2.html	是	同協議同域名同端口
http://www.example.com/dir2/other.html	是	同協議同域名同端口
http://www.example.com:81/dir/other.html	否	端口不一樣
https://www.example.com/dir/other.html	否	協議不一樣端口不一樣
http://en.example.com/dir/other.html	否	域名不一樣
http://example.com/dir/other.html	否	域名不一樣（要求精確匹配）
http://v2.www.example.com/dir/other.html	否	域名不一樣（要求精確匹配）
http://www.example.com:80/dir/other.html	不肯定	取決於瀏覽器的實現方式

tips: 主域名與子域名的區別

主域名：由兩個或兩個以上的字母構成，中間由點號隔開，整個域名只有1個點號，惟一的
子域名：是在主域名之下的域名，域名內容會有多個點號

例如： https://www.baidu.com/
協議： https://
服務器名稱： www
主域名： baidu.com
子域名（子域名包括服務器名稱 www + 主域名 baidu.com）： www.baidu.com

二. 接口跨域的正確打開方式

目前經常使用的解決跨域問題的三種方式：

• jsonp：只能發送GET請求
• iframe + form
• CORS:跨域資源共享(Cross-origin resource sharing);

1. JSONP

在HTML標籤裏，一些標籤好比script、img這樣的獲取資源的標籤是沒有跨域限制的，利用這一點，咱們能夠這樣幹：

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
  </head>
  <body>
    <script type='text/javascript'>
      // 後端返回直接執行的方法，至關於執行這個方法，因爲後端把返回的數據放在方法的參數裏，因此這裏能拿到res。
      window.jsonpCb = function (res) {
        console.log(res)
      }
    </script>
    <script src='http://localhost:9871/api/jsonp?msg=helloJsonp&cb=jsonpCb' type='text/javascript'></script>
  </body>
</html>

由上可知JSNOP只能發送GET請求，不能發送POST，本質上經過script標籤去加載資源就是GET

2. Iframe + Form

看代碼

const requestPost = ({url, data}) => {
  // 首先建立一個用來發送數據的iframe.
  const iframe = document.createElement('iframe')
  iframe.name = 'iframePost'
  iframe.style.display = 'none'
  document.body.appendChild(iframe)
  const form = document.createElement('form')
  const node = document.createElement('input')
  // 註冊iframe的load事件處理程序,若是你須要在響應返回時執行一些操做的話.
  iframe.addEventListener('load', function () {
    console.log('post success')
  })

  form.action = url
  // 在指定的iframe中執行form的action url
  form.target = iframe.name
  form.method = 'post'
  for (let name in data) {
    node.name = name
    node.value = data[name].toString()
    form.appendChild(node.cloneNode())
  }
  // 表單元素須要添加到主文檔中.
  form.style.display = 'none'
  document.body.appendChild(form)
  form.submit()

  // 表單提交後,就能夠刪除這個表單,不影響下次的數據發送.
  document.body.removeChild(form)
}
// 使用方式
requestPost({
  url: 'http://localhost:9871/api/iframePost',
  data: {
    msg: 'helloIframePost'
  }
})

3. CORS

CORS全稱跨域資源共享(Cross-origin resource sharing)，該機制容許Web應用服務器進行跨域訪問控制，從而使跨域數據傳輸得以安全進行。瀏覽器支持在API容器中（例如XMLHttpRequest或Fetch）使用CORS，以下降跨域HTTP請求所帶來的風險。CORS須要客戶端和服務器同時支持，目前，全部瀏覽器都支持該機制（微企即採用這種方式）。

IE 10+ 提供了對規範的完整支持，但在較早版本（8 和 9）中， CORS機制是藉由 XDomainRequest 對象完成的。

CORS規範要求，對那些可能對服務器數據產生反作用的HTTP請求方法（特別是GET之外的HTTP請求，或者搭配某些 MIME 類型的POST請求），瀏覽器必須首先使用OPTIONS方法發起一個預檢請求（preflight request），從而獲知服務端是否容許該跨域請求。服務器確認容許以後，才發起實際的HTTP請求。在預檢請求的返回中，服務器端也能夠通知客戶端，是否須要攜帶身份憑證（包括Cookies和HTTP認證相關數據）。

整個CORS通訊過程，都是瀏覽器自動完成，不須要用戶參與。對於開發者來講，CORS通訊與同源的AJAX通訊沒有差異，代碼徹底同樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感受。

所以，實現CORS通訊的關鍵是服務器。只要服務器實現了CORS接口，就能夠跨源通訊。

CORS標準容許在下列場景中使用跨域http請求：

• 由 XMLHttpRequest 或 Fetch 發起的跨域 HTTP 請求。
• Web 字體 (CSS 中經過 @font-face 使用跨域字體資源), 所以，網站就能夠發佈 TrueType
• 字體資源，並只容許已受權網站進行跨站調用。
• WebGL 貼圖
• 使用 drawImage 將 Images/video 畫面繪製到 canvas
• 樣式表（使用 CSSOM）
• Scripts (未處理的異常)

瀏覽器將CORS請求分紅兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

使用下列方法之一：

GET
HEAD
POST

Fetch 規範定義了對 CORS安全的首部字段集合，不得人爲設置該集合以外的其餘首部字段。該集合爲：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type （須要注意額外的限制）

• Content-Type 的值僅限於下列三者之一：

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded
    只要同時知足如下兩大條件，就屬於簡單請求。

凡是不一樣時知足上面兩個條件，就屬於非簡單請求。
瀏覽器對這兩種請求的處理，是不同的。

1. 簡單請求

對於簡單請求，瀏覽器直接發出CORS請求。具體來講，就是在頭信息之中，增長一個Origin字段。
下面是一個例子，瀏覽器發現此次跨源AJAX請求是簡單請求，就自動在頭信息之中，添加一個Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中，Origin字段用來講明，本次請求來自哪一個源（協議 + 域名 + 端口）。服務器根據這個值，決定是否贊成此次請求。

若是Origin指定的源，不在許可範圍內，服務器會返回一個正常的HTTP迴應。瀏覽器發現，這個迴應的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文），就知道出錯了，從而拋出一個錯誤，被XMLHttpRequest的onerror回調函數捕獲。注意，這種錯誤沒法經過狀態碼識別，由於HTTP迴應的狀態碼有多是200。

若是Origin指定的域名在許可範圍內，服務器返回的響應，會多出幾個頭信息字段。

Access-Control-Allow-Origin: http://api.bob.com //必填
Access-Control-Allow-Credentials: true //非必填
Access-Control-Expose-Headers: FooBar //非必填
Content-Type: text/html; charset=utf-8

上面的頭信息之中，有三個與CORS請求相關的字段，都以Access-Control-開頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要麼是請求時Origin字段的值，要麼是一個*，表示接受任意域名的請求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個布爾值，表示是否容許發送Cookie。默認狀況下，Cookie不包括在CORS請求之中。設爲true，即表示服務器明確許可，Cookie能夠包含在請求中，一塊兒發給服務器。這個值也只能設爲true，若是服務器不要瀏覽器發送Cookie，刪除該字段便可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。若是想拿到其餘字段，就必須在Access-Control-Expose-Headers裏面指定。上面的例子指定，getResponseHeader('FooBar')能夠返回FooBar字段的值。

withCredentials 屬性
上面說到，CORS請求默認不發送Cookie和HTTP認證信息。若是要把Cookie發到服務器，一方面要服務器贊成，指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另外一方面，開發者必須在AJAX請求中打開withCredentials屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

不然，即便服務器贊成發送Cookie，瀏覽器也不會發送。或者，服務器要求設置Cookie，瀏覽器也不會處理。

可是，若是省略withCredentials設置，有的瀏覽器仍是會一塊兒發送Cookie。這時，能夠顯式關閉withCredentials。

xhr.withCredentials = false;

須要注意的是，若是要發送Cookie，Access-Control-Allow-Origin就不能設爲星號，必須指定明確的、與請求網頁一致的域名。同時，Cookie依然遵循同源政策，只有用服務器域名設置的Cookie纔會上傳，其餘域名的Cookie並不會上傳，且（跨源）原網頁代碼中的document.cookie也沒法讀取服務器域名下的Cookie。

2. 非簡單請求(預檢請求)

2.1 預檢請求

非簡單請求是那種對服務器有特殊要求的請求，好比請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求，會在正式通訊以前，增長一次HTTP查詢請求，稱爲"預檢"請求（preflight）。

瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可使用哪些HTTP動詞和頭信息字段。只有獲得確定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，不然就報錯。

下面是一段瀏覽器的JavaScript腳本。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代碼中，HTTP請求的方法是PUT，而且發送一個自定義頭信息X-Custom-Header。

瀏覽器發現，這是一個非簡單請求，就自動發出一個"預檢"請求，要求服務器確承認以這樣請求。下面是這個"預檢"請求的HTTP頭信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預檢"請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。頭信息裏面，關鍵字段是Origin，表示請求來自哪一個源。

除了Origin字段，"預檢"請求的頭信息包括兩個特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。

（2）Access-Control-Request-Headers

該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發送的頭信息字段，上例是X-Custom-Header。

2.2 預檢請求的迴應

服務器收到"預檢"請求之後，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段之後，確認容許跨源請求，就能夠作出迴應。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP迴應中，關鍵的是Access-Control-Allow-Origin字段，表示http://api.bob.com能夠請求數據。該字段也能夠設爲星號，表示贊成任意跨源請求。

Access-Control-Allow-Origin: *

若是瀏覽器否認了"預檢"請求，會返回一個正常的HTTP迴應，可是沒有任何CORS相關的頭信息字段。這時，瀏覽器就會認定，服務器不一樣意預檢請求，所以觸發一個錯誤，被XMLHttpRequest對象的onerror回調函數捕獲。控制檯會打印出以下的報錯信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務器迴應的其餘CORS相關字段以下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗號分隔的一個字符串，代表服務器支持的全部跨域請求的方法。注意，返回的是全部支持的方法，而不單是瀏覽器請求的那個方法。這是爲了不屢次"預檢"請求。

（2）Access-Control-Allow-Headers

若是瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串，代表服務器支持的全部頭信息字段，不限於瀏覽器在"預檢"中請求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預檢請求的有效期，單位爲秒。上面結果中，有效期是20天（1728000秒），即容許緩存該條迴應1728000秒（即20天），在此期間，不用發出另外一條預檢請求。

2.3 瀏覽器的正常請求和迴應

一旦服務器經過了"預檢"請求，之後每次瀏覽器正常的CORS請求，就都跟簡單請求同樣，會有一個Origin頭信息字段。服務器的迴應，也都會有一個Access-Control-Allow-Origin頭信息字段。

下面是"預檢"請求以後，瀏覽器的正常CORS請求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動添加的。

下面是服務器正常的迴應。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中，Access-Control-Allow-Origin字段是每次迴應都一定包含的。

HTTP 響應首部字段

1. Access-Control-Allow-Origin

響應首部中能夠攜帶一個 Access-Control-Allow-Origin 字段，其語法以下:

Access-Control-Allow-Origin: <origin> | *

其中，origin 參數的值指定了容許訪問該資源的外域URI。對於不須要攜帶身份憑證的請求，服務器能夠指定該字段的值爲通配符，表示容許來自全部域的請求。

例如，下面的字段值將容許來自 http://mozilla.com 的請求：

Access-Control-Allow-Origin: http://mozilla.com

若是服務端指定了具體的域名而非「*」，那麼響應首部中的 Vary 字段的值必須包含 Origin。這將告訴客戶端：服務器對不一樣的源站返回不一樣的內容。

JSONP只支持GET請求，CORS支持全部類型的HTTP請求。JSONP的優點在於支持老式瀏覽器，以及能夠向不支持CORS的網站請求數據。

DOM級別跨域

document.domain

頁面可能會因某些限制而改變他的源。腳本能夠將document.domain的值設置爲其當前域或其當前域的超級域。若是將其設置爲其當前域的超級域，則較短的域將用於後續源檢查。
假設http://store.company.com/dir/other.html文檔中的一個腳本執行如下語句：

document.domain = "company.com";

這條語句執行以後，頁面將會成功地經過對http://company.com/dir/page.html的同源檢測（假設http://company.com/dir/page.html將其document.domain設置爲company.com，以代表它但願容許這樣作 - 更多有關信息，請參閱 document.domain）。然而，company.com不能設置document.domain爲othercompany.com，由於它不是 company.com 的超級域

canvas中getImageData,toDataURL跨域

經過添加cross-origin屬性便可解決getImageData，toDataURL跨域問題，具體參見canvas跨域