平時在開發中總是會遇到各種跨域問題,一直沒有很好地瞭解其中的原理,以及其各種實現方案。今天在這好好總結一下。
本文完整的源代碼請猛戳github博客,建議大家動手敲敲代碼。
1、什麼是跨域?為什麼會有跨域?
一般來説,當一個請求url的協議、域名、端口三者之間任意一個與當前頁面地址不同即為跨域。
之所以會跨域,是因為受到了同源策略的限制,同源策略要求源相同才能正常進行通信,即協議、域名、端口號都完全一致。
為什麼會有同源策略呢?
同源政策的目的,是為了保證用户信息的安全,防止惡意的網站竊取數據。
設想這樣一種情況:A網站是一家銀行,用户登錄以後,又去瀏覽其他網站。如果其他網站可以讀取A網站的 Cookie,會發生什麼?
很顯然,如果 Cookie 包含隱私(比如存款總額),這些信息就會泄漏。更可怕的是,Cookie 往往用來保存用户的登錄狀態,如果用户沒有退出登錄,其他網站就可以冒充用户,為所欲為。因為瀏覽器同時還規定,提交表單不受同源政策的限制。
由此可見,"同源政策"是必需的,否則 Cookie 可以共享,互聯網就毫無安全可言了。
同源策略限制內容有:
- Cookie、LocalStorage、IndexedDB 等存儲性內容
- DOM 節點
- AJAX 請求發送後,結果被瀏覽器攔截了
下面為允許跨域資源嵌入的示例,即一些不受同源策略影響的標籤示例:
<script src="..."></script>標籤嵌入跨域腳本。語法錯誤信息只能在同源腳本中捕捉到。<link rel="stylesheet" href="...">標籤嵌入CSS。由於CSS的鬆散的語法規則,CSS的跨域需要一個設置正確的Content-Type消息頭。不同瀏覽器有不同的限制:IE, Firefox, Chrome, Safari和Opera。<img>嵌入圖片。支持的圖片格式包括PNG,JPEG,GIF,BMP,SVG<video>和<audio>嵌入多媒體資源。<object>,<embed>和<applet>的插件。@font-face引入的字體。一些瀏覽器允許跨域字體( cross-origin fonts),一些需要同源字體(same-origin fonts)。<frame>和<iframe>載入的任何資源。站點可以使用X-Frame-Options消息頭來阻止這種形式的跨域交互。
常見的跨域場景
URL 説明 是否允許通信
http://www.domain.com/a.js
http://www.domain.com/b.js 同一域名,不同文件或路徑 允許
http://www.domain.com/lab/c.js
http://www.domain.com:8000/a.js
http://www.domain.com/b.js 同一域名,不同端口 不允許
http://www.domain.com/a.js
https://www.domain.com/b.js 同一域名,不同協議 不允許
http://www.domain.com/a.js
http://192.168.4.12/b.js 域名和域名對應相同ip 不允許
http://www.domain.com/a.js
http://x.domain.com/b.js 主域相同,子域不同 不允許
http://domain.com/c.js
http://www.domain1.com/a.js
http://www.domain2.com/b.js 不同域名 不允許注意:關於跨域,有兩個誤區:
1、動態請求就會有跨域的問題(錯)。跨域只存在於瀏覽器端,不存在於安卓/ios/Node.js/python/ java等其它環境
2、跨域就是請求發不出去了(錯)。跨域請求能發出去,服務端能收到請求並正常返回結果,只是結果被瀏覽器攔截了
2、跨域的解決方案
2.1、jsonp
jsonp的跨域原理是利用script標籤不受跨域限制而形成的一種方案。
下面我們來簡單看一下代碼實現
<!-- index.html 文件 -->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<script>
var script = document.createElement('script');
script.type = 'text/javascript';
// 傳參並指定回調執行函數為onBack
script.src = 'http://127.0.0.1:3000/login?user=admin&callback=onBack';
document.head.appendChild(script);
// 回調執行函數
function onBack(res) {
alert(JSON.stringify(res));
}
</script>
</body>
</html>node
var qs = require('querystring');
var http = require('http');
var server = http.createServer();
server.on('request', function(req, res) {
console.log(req);
var params = qs.parse(req.url.split('?')[1]);
var fn = params.callback;
// jsonp返回設置
res.writeHead(200, { 'Content-Type': 'text/javascript' });
res.write(fn + '(' + JSON.stringify(params) + ')');
res.end();
});
server.listen('3000');
console.log('Server is running at port 3000...');我們可以看到返回的結果:
- 優點:兼容性好(兼容低版本IE)
- 缺點:1.JSONP只支持GET請求; 2.XMLHttpRequest相對於JSONP有着更好的錯誤處理機制
2.2、postMessage
postMessage是HTML5 XMLHttpRequest Level 2中的API,且是為數不多可以跨域操作的window屬性之一。
語法:otherWindow.postMessage(message, targetOrigin, [transfer]);
otherWindow:指目標窗口,也就是給哪個window發消息,是 window.frames 屬性的成員或者由 window.open 方法創建的窗口;-
message屬性是要發送的消息,類型為 String、Object (IE8、9 不支持);data屬性為 window.postMessage 的第一個參數;origin屬性表示調用window.postMessage() 方法時調用頁面的當前狀態;source屬性記錄調用 window.postMessage() 方法的窗口信息;
targetOrigin:屬性來指定哪些窗口能接收到消息事件,其值可以是字符串"*"(表示無限制)或者一個URI。transfer:是一串和message 同時傳遞的 Transferable 對象. 這些對象的所有權將被轉移給消息的接收方,而發送一方將不再保有所有權。
看一下簡單的demo
<!-- index.html 文件 -->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<h1>AAAAAAAAAAAA</h1>
<iframe src="http://localhost:4000/b.html" id="frame" onload="load()"></iframe>
<script>
function load(params){
let iframe = document.getElementById('frame');
iframe.onload = function() {
const data = {
name: 'aym'
};
//獲取iframe中的窗口,給iframe裏嵌入的window發消息
iframe.contentWindow.postMessage(JSON.stringify(data), 'http://localhost:4000');
};
// 接收b.html回過來的消息
window.onmessage = function(e){
console.log(e.data)
}
}
</script>
</body>
</html>
<!-- b.html 文件 -->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<h1>BBBBBBBBB</h1>
<script>
window.addEventListener('message', function(e) {
console.log('data from domain1 ---> ' + e.data);
let data = JSON.parse(e.data);
if (data) {
data.number = 16;
// 處理後再發回domain1
window.parent.postMessage(JSON.stringify(data), 'http://127.0.0.1:8080');
}
}, false);
</script>
</body>
</html>
2.3、websocket
WebSocket protocol是HTML5一種新的協議。它實現了瀏覽器與服務器全雙工通信,同時允許跨域通訊,是server push技術的一種很好的實現。
原生WebSocket API使用起來不太方便,我們使用Socket.io,它很好地封裝了webSocket接口,提供了更簡單、靈活的接口,也對不支持webSocket的瀏覽器提供了向下兼容。
<!-- index.html 文件 -->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<div>user input:<input type="text"></div>
<script src="https://cdnjs.cloudflare.com/ajax/libs/socket.io/2.2.0/socket.io.dev.js"></script>
<script>
var socket = io('http://127.0.0.1:8080');
// 連接成功處理
socket.on('connect', function() {
// 監聽服務端消息
socket.on('message', function(msg) {
console.log('data from server: ---> ' + msg);
});
// 監聽服務端關閉
socket.on('disconnect', function() {
console.log('Server socket has closed.');
});
});
document.getElementsByTagName('input')[0].onblur = function() {
socket.send(this.value);
};
</script>
</body>
</html>node服務端文件
var http = require('http');
var socket = require('socket.io');
// 啓http服務
var server = http.createServer(function(req, res) {
res.writeHead(200, {
'Content-type': 'text/html'
});
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
// 監聽socket連接
socket.listen(server).on('connection', function(client) {
// 接收信息
client.on('message', function(msg) {
client.send('hello:' + msg);
console.log('data from client: ---> ' + msg);
});
// 斷開處理
client.on('disconnect', function() {
console.log('Client socket has closed.');
});
});
2.4、Node中間件代理
實現原理:同源策略是瀏覽器需要遵循的標準,而如果是服務器向服務器請求就無需遵循同源策略。
主要訪問路徑
- 客户端發出請求
- 代理服務接受客户端請求 。
- 大理服務將請求 轉發給應用服務器。
- 應用服務器接收到請求代理服務器求情 ,響應數據。
- 代理服務器將響應數據轉發給客户端。
實現代碼:
前端代碼示例:
<!-- index.html 文件 -->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<h1>1111</h1>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script>
$.ajax({
url: 'http://127.0.0.1:3000/login?user=admin&password=123',
success: function(result) {
console.log(result)
},
error: function(msg) {
console.log(msg)
}
})
</script>
</body>
</html>代理服務器
var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();
var options = {
dotfiles: 'ignore',
etag: false,
extensions: ['htm', 'html'],
index: false,
maxAge: '1d',
redirect: false,
setHeaders: function (res, path, stat) {
res.set('x-timestamp', Date.now())
}
}
app.use(express.static('public', options))
app.use('/', proxy({
// 代理跨域目標接口
target: 'http://127.0.0.1:4000',
changeOrigin: true,
// 修改響應頭信息,實現跨域並允許帶cookie
onProxyRes: function(proxyRes, req, res) {
res.header('Access-Control-Allow-Origin', 'http://127.0.0.1');
res.header('Access-Control-Allow-Credentials', 'true');
},
// 修改響應信息中的cookie域名
cookieDomainRewrite: '127.0.0.1' // 可以為false,表示不修改
}));
app.listen(3000);
console.log('Proxy server is listen at port 3000...');應用服務器
// 服務器
const http = require("http");
const server = http.createServer();
const qs = require("querystring");
server.on("request", function(req, res) {
var params = qs.parse(req.url.split('?')[1]);
console.log(req.url, params);
// 向前台寫 cookie
res.writeHead(200, {
"Set-Cookie": "l=a123456;Path=/;Domain=127.0.0.1;HttpOnly" // HttpOnly:腳本無法讀取
});
res.write(JSON.stringify({ data: 'I LOVE YOU', ...params }));
res.end();
});
server.listen("4000");
console.log('listen 4000...')最終效果
2.5、nginx反向代理
跨域原理: 同源策略是瀏覽器的安全策略,不是HTTP協議的一部分。服務器端調用HTTP接口只是使用HTTP協議,不會執行JS腳本,不需要同源策略,也就不存在跨越問題。
實現思路:通過nginx配置一個代理服務器(域名與domain1相同,端口不同)做跳板機,反向代理訪問domain2接口,並且可以順便修改cookie中domain信息,方便當前域cookie寫入,實現跨域登錄。:通過nginx配置一個代理服務器(域名與domain1相同,端口不同)做跳板機,反向代理訪問domain2接口,並且可以順便修改cookie中domain信息,方便當前域cookie寫入,實現跨域登錄。
nginx具體配置:
#proxy服務器
server {
listen 81;
server_name www.domain1.com;
location / {
proxy_pass http://www.domain2.com:8080; #反向代理
proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie裏域名
index index.html index.htm;
# 當用webpack-dev-server等中間件代理接口訪問nignx時,此時無瀏覽器參與,故沒有同源限制,下面的跨域配置可不啓用
add_header Access-Control-Allow-Origin http://www.domain1.com; #當前端只跨域不帶cookie時,可為*
add_header Access-Control-Allow-Credentials true;
}
}Nodejs後台示例:
var http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var params = qs.parse(req.url.split('?')[1]);
// 向前台寫cookie
res.writeHead(200, {
'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly' // HttpOnly:腳本無法讀取
});
res.write(JSON.stringify(params));
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');前端代碼示例:
var xhr = new XMLHttpRequest();
// 前端開關:瀏覽器是否讀寫cookie
xhr.withCredentials = true;
// 訪問nginx中的代理服務器
xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);
xhr.send();2.6、CORS
普通跨域請求:只服務端設置Access-Control-Allow-Origin即可,前端無須設置,若要帶cookie請求:前後端都需要設置。
雖然設置 CORS 和前端沒什麼關係,但是通過這種方式解決跨域問題的話,會在發送請求時出現兩種情況,分別為簡單請求和複雜請求。
簡單請求
只要同時滿足以下兩大條件,就屬於簡單請求
- 1:使用下列方法之一:
GET、HEAD、POST - 2:Content-Type 的值僅限於下列三者之一:
text/plain、multipart/form-data、application/x-www-form-urlencoded
複雜請求
凡是不同時滿足上面兩個條件,就屬於複雜請求。
複雜請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求,該請求是 option 方法的,通過該請求來知道服務端是否允許跨域請求。
我們用PUT向後台請求時,屬於複雜請求,後台需做如下配置:
// 允許哪個方法訪問我
res.setHeader('Access-Control-Allow-Methods', 'PUT')
// 預檢的存活時間
res.setHeader('Access-Control-Max-Age', 6)
// OPTIONS請求不做任何處理
if (req.method === 'OPTIONS') {
res.end()
}
// 定義後台返回的內容
app.put('/getData', function(req, res) {
console.log(req.headers)
res.end('我不愛你')
})
接下來我們看下一個完整複雜請求的例子,並且介紹下CORS請求相關的字段
// index.html
let xhr = new XMLHttpRequest()
document.cookie = 'name=xiamen' // cookie不能跨域
xhr.withCredentials = true // 前端設置是否帶cookie
xhr.open('PUT', 'http://localhost:4000/getData', true)
xhr.setRequestHeader('name', 'xiamen')
xhr.onreadystatechange = function() {
if (xhr.readyState === 4) {
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status === 304) {
console.log(xhr.response)
//得到響應頭,後台需設置Access-Control-Expose-Headers
console.log(xhr.getResponseHeader('name'))
}
}
}
xhr.send()//server1.js
let express = require('express');
let app = express();
app.use(express.static(__dirname));
app.listen(3000);
//server2.js
let express = require('express')
let app = express()
let whitList = ['http://localhost:3000'] //設置白名單
app.use(function(req, res, next) {
let origin = req.headers.origin
if (whitList.includes(origin)) {
// 設置哪個源可以訪問我
res.setHeader('Access-Control-Allow-Origin', origin)
// 允許攜帶哪個頭訪問我
res.setHeader('Access-Control-Allow-Headers', 'name')
// 允許哪個方法訪問我
res.setHeader('Access-Control-Allow-Methods', 'PUT')
// 允許攜帶cookie
res.setHeader('Access-Control-Allow-Credentials', true)
// 預檢的存活時間
res.setHeader('Access-Control-Max-Age', 6)
// 允許返回的頭
res.setHeader('Access-Control-Expose-Headers', 'name')
if (req.method === 'OPTIONS') {
res.end() // OPTIONS請求不做任何處理
}
}
next()
})
app.put('/getData', function(req, res) {
console.log(req.headers)
res.setHeader('name', 'jw') //返回一個響應頭,後台需設置
res.end('我不愛你')
})
app.get('/getData', function(req, res) {
console.log(req.headers)
res.end('我不愛你')
})
app.use(express.static(__dirname))
app.listen(4000)
2.7、location name +iframe
原理:window.name屬性的獨特之處:name值在不同的頁面(甚至不同域名)加載後依舊存在。
下面a.html和b.html是同域的,都是http://localhost:3000;而c.html是http://localhost:4000
// a.html(http://localhost:3000/b.html)
<iframe src="http://localhost:4000/c.html" frameborder="0" onload="load()" id="iframe"></iframe>
<script>
let first = true
// onload事件會觸發2次,第1次加載跨域頁,並留存數據於window.name
function load() {
if(first){
// 第1次onload(跨域頁)成功後,切換到同域代理頁面
let iframe = document.getElementById('iframe');
iframe.src = 'http://localhost:3000/b.html';
first = false;
}else{
// 第2次onload(同域b.html頁)成功後,讀取同域window.name中數據
console.log(iframe.contentWindow.name);
}
}
</script>b.html為中間代理頁,與a.html同域,內容為空。
c頁面
// c.html(http://localhost:4000/c.html)
<script>
window.name = '我不愛你'
</script>總結:通過iframe的src屬性由外域轉向本地域,跨域數據即由iframe的window.name從外域傳遞到本地域。這個就巧妙地繞過了瀏覽器的跨域訪問限制,但同時它又是安全操作。
2.8、document. hash + iframe
實現原理: a.html欲與c.html跨域相互通信,通過中間頁b.html來實現。 三個頁面,不同域之間利用iframe的location.hash傳值,相同域之間直接js訪問來通信。
具體實現步驟:一開始a.html給c.html傳一個hash值,然後c.html收到hash值後,再把hash值傳遞給b.html,最後b.html將結果放到a.html的hash值中。
同樣的,a.html和b.html是同域的,都是http://localhost:3000;而c.html是http://localhost:4000
// a.html
<iframe src="http://localhost:4000/c.html#iloveyou"></iframe>
<script>
window.onhashchange = function () { //檢測hash的變化
console.log(location.hash);
}
</script> // b.html
<script>
window.parent.parent.location.hash = location.hash
//b.html將結果放到a.html的hash值中,b.html可通過parent.parent訪問a.html頁面
</script> // c.html
console.log(location.hash);
let iframe = document.createElement('iframe');
iframe.src = 'http://localhost:3000/b.html#idontloveyou';
document.body.appendChild(iframe);2.9、 document.domain + iframe
實現原理:兩個頁面都通過js強制設置document.domain為基礎主域,就實現了同域。
該方式只能用於二級域名相同的情況下,比如 a.test.com 和 b.test.com 適用於該方式。 只需要給頁面添加 document.domain ='test.com' 表示二級域名都相同就可以實現跨域。
我們看個例子:頁面a.zf1.cn:3000/a.html獲取頁面b.zf1.cn:3000/b.html中a的值
// a.html
<body>
helloa
<iframe src="http://b.zf1.cn:3000/b.html" frameborder="0" onload="load()" id="frame"></iframe>
<script>
document.domain = 'zf1.cn'
function load() {
console.log(frame.contentWindow.a);
}
</script>
</body>// b.html
<body>
hellob
<script>
document.domain = 'zf1.cn'
var a = 100;
</script>
</body>3、總結
- 日常工作中,用得比較多的跨域方案是cors和nginx反向代理
- CORS支持所有類型的HTTP請求,是跨域HTTP請求的根本解決方案
- 不管是Node中間件代理還是nginx反向代理,主要是通過同源策略對服務器不加限制。
- SONP只支持GET請求,JSONP的優勢在於支持老式瀏覽器,以及可以向不支持CORS的網站請求數據。
後續更多文章將在我的github第一時間發佈,歡迎關注。
參考
瀏覽器同源政策及其規避方法
跨域資源共享 CORS 詳解
前端常見跨域解決方案(全)
