什麼是跨域 當一個請求url的協議、功能變數名稱、埠三者之間任意一個與當前頁面url不同即為跨域。 跨域指的是瀏覽器不能執行其它網站的腳本。是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript 施加的安全限制。 有一點必須要註意:跨域並不是請求發不出去,請求能發出去,服務端能收到請求並正常返回結果, ...
什麼是跨域
當一個請求url的協議、功能變數名稱、埠三者之間任意一個與當前頁面url不同即為跨域。
跨域指的是瀏覽器不能執行其它網站的腳本。是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript 施加的安全限制。
有一點必須要註意:跨域並不是請求發不出去,請求能發出去,服務端能收到請求並正常返回結果,只是結果被瀏覽器攔截了。之所以會跨域,是因為受到了同源策略的限制,同源策略要求源相同才能正常進行通信,即協議、功能變數名稱、埠號都完全一致。
什麼是同源策略?
協議號 - 功能變數名稱 - 埠號 ,只有當這三個條件同時滿足相同時,我們就稱之為符合同源策略,同源策略也可以看做是一個協議。
https:// www.baidu.com :8080 /test 協議號 功能變數名稱 埠號 路徑
通常我們導航的url都是由這四部分組成的。
同源策略限制從一個源載入的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的關鍵的安全機制。它的存在可以保護用戶隱私信息,防止身份偽造等(讀取Cookie)。同源策略限制行為:
Cookie、LocalStorage和IndexDB無法讀取;
- 無法獲得非同源網頁的 DOM節點;
AJAX請求不能發送;
<img src=XXX> <link href=XXX> <script src=XXX>
跨域解決方法
1.Proxy代理
webpack本地代理
【前端解決:只適用於本地開發環境,上線瞭解決不了,直接把dist放在後端伺服器中】
Proxy通過服務端介面轉發來實現對於跨域問題的問題,因為HTTP同源策略只在瀏覽器中生效。 這裡介紹幾種不同Proxy代理方法:
在vue.config.js中利用 WebpackDevServer 配置本地代理
// 配置實例: module.exports = { //... devServer: { proxy: { '/api': { target: 'xxx', pathRewrite: { '^/api': '' }, changeOrigin: true } } } };
註意:項目上線需要把打包後的文件放在伺服器上運行,而不是啟動腳手架運行,也就沒有內置web伺服器做代理,所以此方式只適用於開發測試階段
上線時需要使用nginx代理或者伺服器配置cors(每種語言有自己不同的配置方式)
參考:Vue中如何解決跨域問題
Nginx反向代理
server { #nginx監聽所有localhost:8080埠收到的請求 listen 8080; server_name localhost; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; #localhost:8080 會被轉發到這裡 #同時, 後端程式會接收到 "192.168.25.20:8088"這樣的請求url location / { proxy_pass http://192.168.25.20:8088; } #localhost:8080/api/ 會被轉發到這裡 #同時, 後端程式會接收到 "192.168.25.20:9000/api/"這樣的請求url location /api/ { proxy_pass http://192.168.25.20:9000; } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
2.跨域資源共用 CORS
目前最主流、最簡單的方案,直接讓後端設置響應頭,允許資源共用就ok了
CORS 是跨域資源分享(Cross-Origin Resource Sharing)的縮寫。它是 W3C 標準,屬於跨源 AJAX 請求的根本解決方法。
1、普通跨域請求:只需伺服器端設置Access-Control-Allow-Origin
2、帶cookie跨域請求:前後端都需要進行設置
【前端設置】根據xhr.withCredentials欄位判斷是否帶有cookie
vue框架
- vue-resource
Vue.http.options.credentials = true
- axios
axios.defaults.withCredentials = true
【服務端設置】
伺服器端對於CORS的支持,主要是通過設置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應的設置,就可以允許Ajax進行跨域的訪問。若後端設置成功,前端瀏覽器控制台則不會出現跨域報錯信息,反之,說明沒設成功。
Java後臺
/*
* 導入包:import javax.servlet.http.HttpServletResponse;
* 介面參數中定義:HttpServletResponse response
*/
// 允許跨域訪問的功能變數名稱:若有埠需寫全(協議+功能變數名稱+埠),若沒有埠末尾不用加'/'
response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com");
// 允許前端帶認證cookie:啟用此項後,上面的功能變數名稱不能為'*',必須指定具體的功能變數名稱,否則瀏覽器會提示
response.setHeader("Access-Control-Allow-Credentials", "true");
// 提示OPTIONS預檢時,後端需要設置的兩個常用自定義頭
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
3.JSONP
JSONP 是伺服器與客戶端跨源通信的常用方法。最大特點就是簡單適用,相容性好(相容低版本IE),缺點是只支持get請求,不支持post請求。
核心思想:網頁通過添加一個<script>元素,向伺服器請求 JSON 數據,伺服器收到請求後,將數據放在一個指定名字的回調函數的參數位置傳回來。
this.$http.jsonp('http://www.domain2.com:8080/login', { params: {}, jsonp: 'handleCallback' }).then((res) => { console.log(res); })
作者:愛喝酸奶的吃貨出處:http://www.cnblogs.com/yingzi1028/ 本博客文章大多為原創,轉載請請在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利。
