html
同源或者不一樣源說的是兩個地址之間的關係,不一樣源地址之間請求咱們稱之爲跨域請求。node
http://www.baidu.com:80和ftp://www.baidu.com:80 不一樣域,協議不同ajax
http://www.baidu.com:80和http://www.xiaomi.com:80 不一樣域,主機名不同express
http://www.baidu.com:80和ftp://www.baidu.com:8080 不一樣域,端口號不同json
http://www.baidu.com:80/a.html和ftp://www.baidu.com:80/b.js 同域跨域
爲何瀏覽器要限制跨域請求,其中最主要的緣由就是安全性問題,好比CSRF攻擊。可是,既然不安全,爲何咱們又要跨域請求呢?爲了服務器便於管理和減輕服務器壓力,公司會把不一樣的資源放在不一樣的服務器上,這樣就存在不少子域,這時好比A子域的html資源要去訪問B子域的圖片資源就會出現跨域請求了。(能夠注意下京東網站就是個很好的例子)瀏覽器
ajax請求不一樣域會出現跨域請求,無訪問權限緩存
//報錯CORS header ‘Access-Control-Allow-Origin’ missing $.get("http://locally.uieee.com/categories", {}, function (data, textStatus, jqXHR) { console.log(data) }, );
但平時在HTML頁面寫的<script>、<link>這些標籤的src屬性是不受跨域請求限制的。安全
var script = document.createElement('script') script.src = 'http://locally.uieee.com/categories'//返回的是json document.body.appendChild(script)
JSONP的策略就是服務器端能夠動態生成JSON文件,把客戶端須要的數據放到這個文件中,讓客戶端經過<script>標籤的src屬性來請求這個文件,這樣,一種解決方案就出來了。服務器
在nodejs的express框架裏的public寫一個js文件,靜態資源都放在這裏。
雙擊打開.html文件可看結果
Access-Control-Allow-Origin
如需容許全部資源均可以訪問您
的資源,能夠如此設置:
Access-Control-Allow-Origin: *
如需容許https://developer.mozilla.org
訪問您的資源,能夠設置:
Access-Control-Allow-Origin: https://developer.mozilla.org
Node.js 設置header解決跨域問題
//也可單獨於某個請求中設置相應頭 app.all('*', function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Methods", "GET,HEAD,OPTIONS,POST,PUT"); res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, Authorization"); next(); });
若是服務器未使用「*
」,而是指定了一個域,那麼爲了向客戶端代表服務器的返回會根據Origin
請求頭而有所不一樣,必須在Vary
響應頭中包含Origin
。
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin