前端跨域
跨域是指一個域下的文檔或腳本試圖去請求另外一個域下的資源。也就是說若是協議,域名,或者端口有一個不一樣就是跨域。javascript
那麼爲何要用跨域?css
實際上是由於瀏覽器出於安全考慮,咱們都知道瀏覽器有同源策略。若是沒有同源策略的狀況下,A網站能夠被任意來源的Ajax訪問到內容,若是當前A網站還處於登陸態,那麼對方就能夠經過Ajax得到A網站的任何消息。固然跨域能夠用來房子CSRF攻擊,可是並不能徹底阻止CSRF。html
爲何跨域並不能徹底阻止CSRF攻擊呢?舉個例子:前端
當請求跨域了,請求是必然發出去的,只是瀏覽器攔截了響應。你可能會疑問明明經過表單的方式能夠發起跨域請求,爲何 Ajax 就不會。由於歸根結底,跨域是爲了阻止用戶讀取到另外一個域名下的內容,Ajax 能夠獲取響應,瀏覽器認爲這不安全,因此攔截了響應。可是表單並不會獲取新的內容,因此能夠發起跨域請求。因此跨域並不能徹底阻止 CSRF,由於請求畢竟是發出去了。vue
上面講到同源策略,那什麼是同源策略呢?html5
同源策略(SOP)是一種約定,它是瀏覽器最核心也是最基本的安全功能。瀏覽器若是缺乏同源策略,就會很容易收到xss,csrf等攻擊。所謂同源是指「協議+域名+端口」三者相同,即使兩個不一樣的域名指向同一個IP地址,也非同源。java
下面來講一下幾種方案來解決跨域問題node
跨域的方案有:jquery
一、經過jsonp跨域;webpack
二、postMessage跨域;
三、跨域資源共享(CORS);
四、nginx代理跨域;
五、nodejs中間件代理跨域;
六、WebSocket協議跨域。
1、經過jsonp跨域
一般爲了減輕web服務器的負載,把js,css,img等靜態資源分離到另外一臺獨立域名的服務器上,而後在html頁面中再經過響應的標籤從不一樣域名下加載靜態資源,而被瀏覽器容許。基於此原理,咱們能夠經過動態建立script,再請求一個帶參網址實現跨域通訊。
一、原生js實現
<script>
var script = document.createElement('script');
script.type = 'text/javascript';
// 傳參並指定回調執行函數爲onBack
script.src = 'http://www.domain2.com:8080/login?user=admin&callback=onBack';
document.head.appendChild(script);
// 回調執行函數
function onBack(res) {
alert(JSON.stringify(res));
}
</script>
二、jquery ajax實現
$.ajax({ url: 'http://www.domain2.com:8080/login', type: 'get', dataType: 'jsonp', // 請求方式爲jsonp jsonpCallback: "onBack", // 自定義回調函數名 data: {} });
三、vue.js實現
this.$http.jsonp('http://www.domain2.com:8080/login', { params: {}, jsonp: 'onBack' }).then((res) => { console.log(res); })
服務端返回以下(返回時即執行全局函數):
onBack({"status": true, "user": "admin"})
後端node.js代碼示例:
var querystring = require('querystring'); var http = require('http'); var server = http.createServer(); server.on('request', function(req, res) { var params = qs.parse(req.url.split('?')[1]); var fn = params.callback; // jsonp返回設置 res.writeHead(200, { 'Content-Type': 'text/javascript' }); res.write(fn + '(' + JSON.stringify(params) + ')'); res.end(); }); server.listen('8080'); console.log('Server is running at port 8080...');
jsonp缺點:只能實現get一種請求。
2、postMessage跨域;
postMessage是HTML5 XMLHttpRequest Level 2 中的API,它是window屬性,可用於解決一下問題:
一、頁面和其打開的新窗口的數據傳遞
二、多窗口之間的消息傳遞
三、頁面與嵌套的iframe消息傳遞
四、上面三個場景的跨域數據傳遞。
用法:postMessage(data,origin)方法接受兩個參數。
data:html5規範支持任意基本類型或者可複製的對象,但部分瀏覽器只支持字符串,因此傳參時最好用JSON.stringify()序列化。
origin:協議+主機+端口號,也能夠設置爲」 * 「,表示能夠傳遞給任意窗口,若是要指定和當前窗口同源的話,設置爲」 / 「。
示例代碼:
a.html
<iframe id="iframe" src="http://www.domain2.com/b.html" style="display:none;"></iframe>
<script>
var iframe = document.getElementById('iframe');
iframe.onload = function() {
var data = {
name: 'aym'
};
// 向domain2傳送跨域數據
iframe.contentWindow.postMessage(JSON.stringify(data), 'http://www.domain2.com');
};
// 接受domain2返回數據
window.addEventListener('message', function(e) {
alert('data from domain2 ---> ' + e.data);
}, false);
</script>
b.html
<script>
// 接收domain1的數據
window.addEventListener('message', function(e) {
alert('data from domain1 ---> ' + e.data);
var data = JSON.parse(e.data);
if (data) {
data.number = 16;
// 處理後再發回domain1
window.parent.postMessage(JSON.stringify(data), 'http://www.domain1.com');
}
}, false);
</script>
3、跨域資源共享(CORS);
普通跨域請求:只服務端設置Access-Control-Allow-Origin便可,前端無須設置,若要帶cookie請求,則先後端都須要設置。須要注意的是,因爲同源策略的限制,所讀取的cookie爲跨域請求接口所在域的cookie,而非當前頁。
前端設置:
一、原生ajax
// 前端設置是否帶cookie xhr.withCredentials = true;
示例代碼
var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容 // 前端設置是否帶cookie xhr.withCredentials = true; xhr.open('post', 'http://www.domain2.com:8080/login', true); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.send('user=admin'); xhr.onreadystatechange = function() { if (xhr.readyState == 4 && xhr.status == 200) { alert(xhr.responseText); } };
二、jQuery ajax
$.ajax({ ... xhrFields: { withCredentials: true // 前端設置是否帶cookie }, crossDomain: true, // 會讓請求頭中包含跨域的額外信息,但不會含cookie ... });
三、vue框架
a.)axios設置:
axios.defaults.withCredentials = true
b) vue-resource設置:
Vue.http.options.credentials = true
服務端設置:若後端設置成功,前端瀏覽器控制檯則不會出現跨域報錯信息,反之,說明沒設置成功。
java後臺
/* * 導入包:import javax.servlet.http.HttpServletResponse; * 接口參數中定義:HttpServletResponse response */ // 容許跨域訪問的域名:如有端口需寫全(協議+域名+端口),若沒有端口末尾不用加'/' response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com"); // 容許前端帶認證cookie:啓用此項後,上面的域名不能爲'*',必須指定具體的域名,不然瀏覽器會提示 response.setHeader("Access-Control-Allow-Credentials", "true"); // 提示OPTIONS預檢時,後端須要設置的兩個經常使用自定義頭 response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
Node.js
var http = require('http'); var server = http.createServer(); var qs = require('querystring'); server.on('request', function(req, res) { var postData = ''; // 數據塊接收中 req.addListener('data', function(chunk) { postData += chunk; }); // 數據接收完畢 req.addListener('end', function() { postData = qs.parse(postData); // 跨域後臺設置 res.writeHead(200, { 'Access-Control-Allow-Credentials': 'true', // 後端容許發送Cookie 'Access-Control-Allow-Origin': 'http://www.domain1.com', // 容許訪問的域(協議+域名+端口) /* * 此處設置的cookie仍是domain2的而非domain1,由於後端也不能跨域寫cookie(nginx反向代理能夠實現), * 但只要domain2中寫入一次cookie認證,後面的跨域接口都能從domain2中獲取cookie,從而實現全部的接口都能跨域訪問 */ 'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly' // HttpOnly的做用是讓js沒法讀取cookie }); res.write(JSON.stringify(postData)); res.end(); }); }); server.listen('8080'); console.log('Server is running at port 8080...');
4、nginx代理跨域;
一、 nginx配置解決iconfont跨域
瀏覽器跨域訪問js、css、img等常規靜態資源被同源策略許可,但iconfont字體文件(eot|otf|ttf|woff|svg)例外,此時可在nginx的靜態資源服務器中加入如下配置。
location / { add_header Access-Control-Allow-Origin *; }
二、 nginx反向代理接口跨域
跨域原理: 同源策略是瀏覽器的安全策略,不是HTTP協議的一部分。服務器調用HTTP接口只是使用HTTP協議,不會只是JS腳本,不須要同源策略,也就不存在跨域問題。
實現思路:經過nginx配置一個代理服務器(如:域名與domain1相同,端口不一樣)作跳板機,反向代理訪問目標接口(domain2),而且能夠順便修改cookie中的domain信息,方便當前域cookie寫入,實現跨域登陸。
nginx具體配置:
#proxy服務器 server { listen 81; server_name www.domain1.com; location / { proxy_pass http://www.domain2.com:8080; #反向代理 proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie裏域名 index index.html index.htm; # 當用webpack-dev-server等中間件代理接口訪問nignx時,此時無瀏覽器參與,故沒有同源限制,下面的跨域配置可不啓用 add_header Access-Control-Allow-Origin http://www.domain1.com; #當前端只跨域不帶cookie時,可爲* add_header Access-Control-Allow-Credentials true; } }
前端示例代碼:
var xhr = new XMLHttpRequest(); // 前端開關:瀏覽器是否讀寫cookie xhr.withCredentials = true; // 訪問nginx中的代理服務器 xhr.open('get', 'http://www.domain1.com:81/?user=admin', true); xhr.send();
Node.js後臺實例代碼
var http = require('http'); var server = http.createServer(); var qs = require('querystring'); server.on('request', function(req, res) { var params = qs.parse(req.url.substring(2)); // 向前臺寫cookie res.writeHead(200, { 'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly' // HttpOnly:腳本沒法讀取 }); res.write(JSON.stringify(params)); res.end(); }); server.listen('8080'); console.log('Server is running at port 8080...');
5、nodejs中間件代理跨域
node中間件實現跨域代理,原理大體和nginx相同,都是經過配置一個代理服務器,實現數據的轉發,也能夠經過設置cookieDommainRewrite參數修改響應頭中cookie中的域名,實現當前域的cookie寫入,方便接口登陸認證。
一、非VUE框架跨域(2次跨域)
利用 nodejs+express+http-proxy-middleware搭建一個proxy服務器。
a). 前端代理示例
var xhr = new XMLHttpRequest(); // 前端開關:瀏覽器是否讀寫cookie xhr.withCredentials = true; // 訪問http-proxy-middleware代理服務器 xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true); xhr.send();
b). 中間件服務器
var express = require('express'); var proxy = require('http-proxy-middleware'); var app = express(); app.use('/', proxy({ // 代理跨域目標接口 target: 'http://www.domain2.com:8080', changeOrigin: true, // 修改響應頭信息,實現跨域並容許帶cookie onProxyRes: function(proxyRes, req, res) { res.header('Access-Control-Allow-Origin', 'http://www.domain1.com'); res.header('Access-Control-Allow-Credentials', 'true'); }, // 修改響應信息中的cookie域名 cookieDomainRewrite: 'www.domain1.com' // 能夠爲false,表示不修改 })); app.listen(3000); console.log('Proxy server is listen at port 3000...');
c.)Nodejs後臺(同nginx)
2.VUE框架跨域(1吃跨域)
利用node + webpack + webpack-dev-server代理接口跨域。在開發環境下,因爲vue渲染服務和接口代理服務都是webpack-dev-server同一個,因此頁面和代理接口之間再也不跨域,無須設置headers跨域信息了。
webpack.config.js部分配置
module.exports = { entry: {}, module: {}, ... devServer: { historyApiFallback: true, proxy: [{ context: '/login', target: 'http://www.domain2.com:8080', // 代理跨域目標接口 changeOrigin: true, secure: false, // 當代理某些https服務報錯時用 cookieDomainRewrite: 'www.domain1.com' // 能夠爲false,表示不修改 }], noInfo: true } }
6、WebSocket協議跨域
WebSocket-protocol是H5一種新的協議,他實現了瀏覽器和服務器全工雙通訊,同時容許跨域通信,是server push技術的一種很好實現。原生webSocket API使用起來不太方便,咱們使用Socket.io,它很好地封裝了webSocket接口,提供了更簡單、靈活的接口,也對不支持WebSocket的瀏覽器提供了向下兼容。
a).前端代碼
<div>user input:<input type="text"></div> <script src="./socket.io.js"></script> <script> var socket = io('http://www.domain2.com:8080'); // 鏈接成功處理 socket.on('connect', function() { // 監聽服務端消息 socket.on('message', function(msg) { console.log('data from server: ---> ' + msg); }); // 監聽服務端關閉 socket.on('disconnect', function() { console.log('Server socket has closed.'); }); }); document.getElementsByTagName('input')[0].onblur = function() { socket.send(this.value); }; </script>
b.)Nodejs socket後臺
var http = require('http'); var socket = require('socket.io'); // 啓http服務 var server = http.createServer(function(req, res) { res.writeHead(200, { 'Content-type': 'text/html' }); res.end(); }); server.listen('8080'); console.log('Server is running at port 8080...'); // 監聽socket鏈接 socket.listen(server).on('connection', function(client) { // 接收信息 client.on('message', function(msg) { client.send('hello:' + msg); console.log('data from client: ---> ' + msg); }); // 斷開處理 client.on('disconnect', function() { console.log('Client socket has closed.'); }); });
- 1. 前端-跨域
- 2. 前端跨域
- 3. vue——前端跨域
- 4. 前端:何爲跨域,如何跨域
- 5. [跨域]前端解決跨域問題
- 6. postMessage前端跨域並前端監聽
- 7. 前端跨域問題
- 8. 前端跨域與代理
- 9. 前端跨域經驗
- 10. 前端跨域安全
- 更多相關文章...
- • 網站 域名 - 網站主機教程
- • XSL-FO 區域 - XSL-FO 教程
- • PHP Ajax 跨域問題最佳解決方案
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 字節跳動21屆秋招運營兩輪面試經驗分享
- 2. Java 3 年,25K 多嗎?
- 3. mysql安裝部署
- 4. web前端開發中父鏈和子鏈方式實現通信
- 5. 3.1.6 spark體系之分佈式計算-scala編程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在線
- 8. 在線畫圖
- 9. devtools熱部署
- 10. 編譯和鏈接
- 1. 前端-跨域
- 2. 前端跨域
- 3. vue——前端跨域
- 4. 前端:何爲跨域,如何跨域
- 5. [跨域]前端解決跨域問題
- 6. postMessage前端跨域並前端監聽
- 7. 前端跨域問題
- 8. 前端跨域與代理
- 9. 前端跨域經驗
- 10. 前端跨域安全