前端跨域解決方案（全）

時間 2019-11-30

標籤前端解決方案简体版

原文原文鏈接

首先什麼是跨域？css

是指一個域下的文檔或腳本試圖去請求另外一個域下的資源；html

舉個栗子：前端

一、 資源跳轉： A連接、重定向、表單提交；
二、 資源嵌入： <link>、<script>、<img>、<frame>等dom標籤，還有樣式中background:url()、@font-face()等文件外鏈； 三、 腳本請求： js發起的ajax請求、dom和js對象的跨域操做等；

什麼是同源策略請求？ node

同源策略/SOP（Same origin policy）是一種約定，是瀏覽器最核心也最基本的安全功能，若是缺乏了同源策略，瀏覽器很容易受到XSS、CSFR等攻擊。所謂同源是指"協議+域名+端口"三者相同，即使兩個不一樣的域名指向同一個ip地址，也非同源。跨域就是非同源策略請求。jquery

同源策略限制內容有：nginx

Cookie、LocalStorage、IndexedDB 等存儲性內容web
DOM 節點ajax
AJAX 請求發送後，結果被瀏覽器攔截了express

可是有三個標籤是容許跨域加載資源：json

<img src=XXX>
<link href=XXX>
<script src=XXX>
<iframe src=xxx>

2.常見跨域場景

當協議、子域名、主域名、端口號中任意一個不相同時，都算做不一樣域。不一樣域之間相互請求資源，就算做「跨域」。常見跨域場景以下圖所示：

說明：

一、若是是協議和端口形成的跨域，前端是無能爲力的；

二、跨域是不會根據域名對應的ip地址是否相同來判斷的，就是說協議、域名、端口必需要匹配；

這裏你或許有個疑問：請求跨域了，那麼請求到底發出去沒有？

跨域並非請求發不出去，請求能發出去，服務端能收到請求並正常返回結果，只是結果被瀏覽器攔截了。你可能會疑問明明經過表單的方式能夠發起跨域請求，爲何 Ajax 就不會?由於歸根結底，跨域是爲了阻止用戶讀取到另外一個域名下的內容，Ajax 能夠獲取響應，瀏覽器認爲這不安全，因此攔截了響應。可是表單並不會獲取新的內容，因此能夠發起跨域請求。同時也說明了跨域並不能徹底阻止 CSRF，由於請求畢竟是發出去了。

跨域解決方案：(9種)

經過jsonp跨域

跨域資源共享（CORS）

document.domain + iframe跨域

location.hash + iframe

postMessage跨域

window.name + iframe跨域

WebSocket協議跨域

nginx代理跨域
nodejs中間件代理跨域

1、JSONP

JSONP 原理

利用 script 標籤沒有跨域限制的漏洞，網頁能夠獲得從其餘來源動態產生的 JSON 數據。JSONP 請求必定須要對方的服務器作支持才能夠。

JSONP 和 AJAX 對比

JSONP 和 AJAX 相同，都是客戶端向服務器端發送請求，從服務器端獲取數據的方式。但 AJAX 屬於同源策略，JSONP 屬於非同源策略（跨域請求）

JSONP 優缺點

JSONP 優勢是簡單兼容性好，可用於解決主流瀏覽器的跨域數據訪問的問題。缺點是僅支持 get 方法具備侷限性,不安全可能會遭受 XSS 攻擊。

JSONP 的實現流程

聲明一個回調函數，其函數名(如 show)當作參數值，要傳遞給跨域請求數據的服務器，函數形參爲要獲取目標數據(服務器返回的 data)。
建立一個script標籤，把那個跨域的 API 數據接口地址，賦值給 script 的 src,還要在這個地址中向服務器傳遞該函數名（能夠經過問號傳參:?callback=show）。
服務器接收到請求後，須要進行特殊的處理：把傳遞進來的函數名和它須要給你的數據拼接成一個字符串,例如：傳遞進去的函數名是 show，它準備好的數據是show('我不愛你')。
最後服務器把準備的數據經過 HTTP 協議返回給客戶端，客戶端再調用執行以前聲明的回調函數（show），對返回的數據進行操做。

在開發中可能會遇到多個 JSONP 請求的回調函數名是相同的，這時候就須要本身封裝一個 JSONP 函數。

// index.html
function jsonp({ url, params, callback }) {
  return new Promise((resolve, reject) ={
    let script = document.createElement('script')
    window[callback] = function(data) {
      resolve(data)
      document.body.removeChild(script)
    }
    params = { ...params, callback } // wd=b&callback=show
    let arrs = []
    for (let key in params) {
      arrs.push(`${key}=${params[key]}`)
    }
    script.src = `${url}?${arrs.join('&')}`
    document.body.appendChild(script)
  })
}
jsonp({
  url: 'http://localhost:3000/say',
  params: { wd: 'Iloveyou' },
  callback: 'show'
}).then(data ={
  console.log(data)
})

上面這段代碼至關於向http://localhost:3000/say?wd=Iloveyou&callback=show這個地址請求數據，而後後臺返回show('我不愛你')，最後會運行 show()這個函數，打印出'我不愛你'

// server.js
let express = require('express')
let app = express()
app.get('/say', function(req, res) {
  let { wd, callback } = req.query
  console.log(wd) // Iloveyou
  console.log(callback) // show
  res.end(`${callback}('我不愛你')`)
})
app.listen(3000)

jQ實現代碼：

$.ajax({
url:"http://crossdomain.com/jsonServerResponse",
dataType:"jsonp",
type:"get",//能夠省略
jsonpCallback:"show",//->自定義傳遞給服務器的函數名，而不是使用jQuery自動生成的，可省略
jsonp:"callback",//->把傳遞函數名的那個形參callback，可省略
success:function (data){
console.log(data);}
});

2、CORS跨域資源共享

CORS 須要瀏覽器和後端同時支持。IE 8 和 9 須要經過 XDomainRequest 來實現。

瀏覽器會自動進行 CORS 通訊，實現 CORS 通訊的關鍵是後端。只要後端實現了 CORS，就實現了跨域。

服務端設置 Access-Control-Allow-Origin 就能夠開啓 CORS。該屬性表示哪些域名能夠訪問資源，若是設置通配符則表示全部網站均可以訪問資源。

雖然設置 CORS 和前端沒什麼關係，可是經過這種方式解決跨域問題的話，會在發送請求時出現兩種狀況，分別爲簡單請求和複雜請求。

缺點：指定一個源，能夠攜帶cookie, 若是想要指定多個源，則寫* 可是不容許攜帶cookie;

1) 簡單請求

只要同時知足如下兩大條件，就屬於簡單請求

條件 1：使用下列方法之一：

GET
HEAD
POST

條件 2：Content-Type 的值僅限於下列三者之一：

text/plain
multipart/form-data
application/x-www-form-urlencoded

請求中的任意 XMLHttpRequestUpload 對象均沒有註冊任何事件監聽器； XMLHttpRequestUpload 對象可使用 XMLHttpRequest.upload 屬性訪問。

2) 複雜請求

不符合以上條件的請求就確定是複雜請求了。
複雜請求的 CORS 請求，會在正式通訊以前，增長一次 HTTP 查詢請求，稱爲"預檢"請求,該請求是 option 方法的，經過該請求來知道服務端是否容許跨域請求。

咱們用PUT向後臺請求時，屬於複雜請求，後臺需作以下配置：

// 容許哪一個方法訪問我
res.setHeader('Access-Control-Allow-Methods', 'PUT')
// 預檢的存活時間
res.setHeader('Access-Control-Max-Age', 6)
// OPTIONS請求不作任何處理
if (req.method === 'OPTIONS') {
  res.end()
}
// 定義後臺返回的內容
app.put('/getData', function(req, res) {
  console.log(req.headers)
  res.end('我不愛你')
})

接下來咱們看下一個完整複雜請求的例子，而且介紹下 CORS 請求相關的字段

// index.html
let xhr = new XMLHttpRequest()
document.cookie = 'name=xiamen' // cookie不能跨域
xhr.withCredentials = true // 前端設置是否帶cookie
xhr.open('PUT', 'http://localhost:4000/getData', true)
xhr.setRequestHeader('name', 'xiamen')
xhr.onreadystatechange = function() {
  if (xhr.readyState === 4) {
    if ((xhr.status >= 200 && xhr.status < 300) || xhr.status === 304) {
      console.log(xhr.response)
      //獲得響應頭，後臺需設置Access-Control-Expose-Headers
      console.log(xhr.getResponseHeader('name'))
    }
  }
}
xhr.send()

//server1.js
let express = require('express');
let app = express();
app.use(express.static(__dirname));
app.listen(3000);

//server2.js
let express = require('express')
let app = express()
let whitList = ['http://localhost:3000'] //設置白名單
app.use(function(req, res, next) {
  let origin = req.headers.origin
  if (whitList.includes(origin)) {
    // 設置哪一個源能夠訪問我
    res.setHeader('Access-Control-Allow-Origin', origin)
    // 容許攜帶哪一個頭訪問我
    res.setHeader('Access-Control-Allow-Headers', 'name')
    // 容許哪一個方法訪問我
    res.setHeader('Access-Control-Allow-Methods', 'PUT')
    // 容許攜帶cookie
    res.setHeader('Access-Control-Allow-Credentials', true)
    // 預檢的存活時間
    res.setHeader('Access-Control-Max-Age', 6)
    // 容許返回的頭
    res.setHeader('Access-Control-Expose-Headers', 'name')
    if (req.method === 'OPTIONS') {
      res.end() // OPTIONS請求不作任何處理
    }
  }
  next()
})
app.put('/getData', function(req, res) {
  console.log(req.headers)
  res.setHeader('name', 'jw') //返回一個響應頭，後臺需設置
  res.end('我不愛你')
})
app.get('/getData', function(req, res) {
  console.log(req.headers)
  res.end('我不愛你')
})
app.use(express.static(__dirname))
app.listen(4000)

上述代碼由http://localhost:3000/index.html向http://localhost:4000/跨域請求，正如咱們上面所說的，後端是實現 CORS 通訊的關鍵。


3、基於http proxy實現跨域請求

Node 中間件代理(兩次跨域)

實現原理：同源策略是瀏覽器須要遵循的標準，而若是是服務器向服務器請求就無需遵循同源策略。
代理服務器，須要作如下幾個步驟：

接受客戶端請求。
將請求轉發給服務器。
拿到服務器響應數據。
將響應轉發給客戶端。

咱們先來看個例子：本地文件 index.html 文件，經過代理服務器http://localhost:3000向目標服務器http://localhost:4000請求數據。

// index.html(http://127.0.0.1:5500)
 <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
    <script>
      $.ajax({
        url: 'http://localhost:3000',
        type: 'post',
        data: { name: 'xiamen', password: '123456' },
        contentType: 'application/json;charset=utf-8',
        success: function(result) {
          console.log(result) // {"title":"fontend","password":"123456"}
        },
        error: function(msg) {
          console.log(msg)
        }
      })
     </script>

// server1.js 代理服務器(http://localhost:3000)
const http = require('http')
// 第一步：接受客戶端請求
const server = http.createServer((request, response) ={
  // 代理服務器，直接和瀏覽器直接交互，須要設置CORS 的首部字段
  response.writeHead(200, {
    'Access-Control-Allow-Origin': '*',
    'Access-Control-Allow-Methods': '*',
    'Access-Control-Allow-Headers': 'Content-Type'
  })
  // 第二步：將請求轉發給服務器
  const proxyRequest = http
    .request(
      {
        host: '127.0.0.1',
        port: 4000,
        url: '/',
        method: request.method,
        headers: request.headers
      },
      serverResponse ={
        // 第三步：收到服務器的響應
        var body = ''
        serverResponse.on('data', chunk ={
          body += chunk
        })
        serverResponse.on('end', () ={
          console.log('The data is ' + body)
          // 第四步：將響應結果轉發給瀏覽器
          response.end(body)
        })
      }
    )
    .end()
})
server.listen(3000, () ={
  console.log('The proxyServer is running at http://localhost:3000')
})

// server2.js(http://localhost:4000)
const http = require('http')
const data = { title: 'fontend', password: '123456' }
const server = http.createServer((request, response) ={
  if (request.url === '/') {
    response.end(JSON.stringify(data))
  }
})
server.listen(4000, () ={
  console.log('The server is running at http://localhost:4000')
})

上述代碼通過兩次跨域，值得注意的是瀏覽器向代理服務器發送請求，也遵循同源策略，最後在 index.html 文件打印出{"title":"fontend","password":"123456"}

4、基於postMessage實現跨域處理

postMessage 是 HTML5 XMLHttpRequest Level 2 中的 API，且是爲數很少能夠跨域操做的 window 屬性之一，它可用於解決如下方面的問題：

頁面和其打開的新窗口的數據傳遞
多窗口之間消息傳遞
頁面與嵌套的 iframe 消息傳遞
上面三個場景的跨域數據傳遞

postMessage()方法容許來自不一樣源的腳本採用異步方式進行有限的通訊，能夠實現跨文本檔、多窗口、跨域消息傳遞。

otherWindow.postMessage(message, targetOrigin, [transfer]);

message: 將要發送到其餘 window 的數據。
targetOrigin:經過窗口的 origin 屬性來指定哪些窗口能接收到消息事件，其值能夠是字符串"*"（表示無限制）或者一個 URI。在發送消息的時候，若是目標窗口的協議、主機地址或端口這三者的任意一項不匹配 targetOrigin 提供的值，那麼消息就不會被髮送；只有三者徹底匹配，消息纔會被髮送。
transfer(可選)：是一串和 message 同時傳遞的 Transferable 對象. 這些對象的全部權將被轉移給消息的接收方，而發送一方將再也不保有全部權。

接下來咱們看個例子： http://localhost:3000/a.html頁面向http://localhost:4000/b.html傳遞「123」,而後後者傳回"456"。

// a.html
  <iframe src="http://localhost:4000/b.html" frameborder="0" id="frame" onload="load()"></iframe//等它加載完觸發一個事件
  //內嵌在http://localhost:3000/a.html
    <script>
      function load() {
        let frame = document.getElementById('frame')
        frame.contentWindow.postMessage('123', 'http://localhost:4000') //發送數據
        window.onmessage = function(e) { //接受返回數據
          console.log(e.data) //456
        }
      }
    </script>

// b.html
  window.onmessage = function(e) {
    console.log(e.data) //123
    e.source.postMessage('456', e.origin) //e.source 是目標頁面1
 }

5.websocket

Websocket 是 HTML5 的一個持久化的協議，它實現了瀏覽器與服務器的全雙工通訊，同時也是跨域的一種解決方案。WebSocket 和 HTTP 都是應用層協議，都基於 TCP 協議。可是 WebSocket 是一種雙向通訊協議，在創建鏈接以後，WebSocket 的 server 與 client 都能主動向對方發送或接收數據。同時，WebSocket 在創建鏈接時須要藉助 HTTP 協議，鏈接創建好了以後 client 與 server 之間的雙向通訊就與 HTTP 無關了。

原生 WebSocket API 使用起來不太方便，咱們使用Socket.io，它很好地封裝了 webSocket 接口，提供了更簡單、靈活的接口，也對不支持 webSocket 的瀏覽器提供了向下兼容。

咱們先來看個例子：本地文件 socket.html 向localhost:3000發生數據和接受數據

// socket.html
<script>
    let socket = new WebSocket('ws://localhost:3000');
    socket.onopen = function () {
      socket.send('123');//向服務器發送數據
    }
    socket.onmessage = function (e) {
      console.log(e.data);//接收服務器返回的數據
    }
</script>

// server.js
let express = require('express');
let app = express();
let WebSocket = require('ws');//記得安裝ws
let wss = new WebSocket.Server({port:3000});
wss.on('connection',function(ws) {
  ws.on('message', function (data) {
    console.log(data);
    ws.send('456')
  });
})