web開發的跨域問題詳解

来源:https://www.cnblogs.com/qcloud1001/archive/2018/12/28/10191996.html
-Advertisement-
Play Games

本文由雲+社區發表 做過 web 開發的同學,應該都遇到過跨域的問題,當我們從一個功能變數名稱向另一個功能變數名稱發送 Ajax 請求的時候,打開瀏覽器控制台就會看到跨域錯誤,今天我們就來聊聊跨域的問題。 1. 瀏覽器的同源策略 同源的定義是:如果兩個頁面的 \ 協議 , \ 埠 (如果有指定)和 \ 功能變數名稱 都相 ...


本文由雲+社區發表

做過 web 開發的同學,應該都遇到過跨域的問題,當我們從一個功能變數名稱向另一個功能變數名稱發送 Ajax 請求的時候,打開瀏覽器控制台就會看到跨域錯誤,今天我們就來聊聊跨域的問題。

1. 瀏覽器的同源策略

同源的定義是:如果兩個頁面的*協議*埠(如果有指定)和*功能變數名稱*都相同,則兩個頁面具有相同的。同源策略限制了從同一個源載入的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

2. 跨域錯誤信息產生的原因

為了說明問題,我們可以做如下實驗,我們在本地搭建了開發環境, 由客戶端 http://localhost:3001 向伺服器 http://localhost:3000 發送兩個請求,一個使用 javascript 非同步請求數據,另一個使用 img 標簽請求數據,伺服器收到請求後,列印接收到請求的日誌,如下圖所示:

img客戶端發送兩個請求

img服務端列印日誌並處理請求

代開客戶端瀏覽器的控制台,可以看到發出了兩個請求,並且都收到了狀態碼為 200 的響應,同時控制台報了一個錯誤,即 xhr 請求報錯。由此我們可以知道,之所以產生跨域錯誤信息,原因有以下三條:

  • 瀏覽器端的限制(服務端收到了請求並正確返回)
  • 發送的是 XMLHttpRequest 請求(使用 img 標簽發送的請求為 json 類型,並不會報錯)
  • 請求了不同域的資源

只有同時滿足了這三個條件,瀏覽器才會產生跨域錯誤。

3. 解決跨域的思路

既然我們知道了跨域錯誤產生的原因,那麼解決思路就很直觀了,針對出錯的三個原因進行相應的處理即可,相應的解決思路也有三個方向:

  • 打破瀏覽器的限制
  • 不發送 XHR 請求
  • 解決跨域

下文將分別進行闡述。

3.1 打破瀏覽器的限制

由上面分析結論可知,之所以出現跨域的錯誤,實際上是客戶端瀏覽器所做的限制,伺服器並未進行限制,因此我們可以通過設置瀏覽器,使其不進行跨域檢查。實際上瀏覽器也提供了對應的設置選項。

以 MacOS 下的 Chrome 瀏覽器為例,在終端中使用命令

open -n /Applications/Google\ Chrome.app/ --args --disable-web-security  --user-data-dir=/Users/your-computer-account/MyChromeDevUserData/

打開瀏覽器,即可禁用 Chrome 瀏覽器的安全檢查功能,同時也會禁用跨域安全檢查功能,這樣再次拿前面的例子進行測試,發現此時不會報錯,同時也可以正確拿到服務端返回的數據。

img禁用瀏覽器安全檢查功能

這種方式雖然可以實現跨域,但是需要每個用戶都對瀏覽器進行設置,同時可能導致潛在的安全隱患,正常情況下不實用。但這個例子充分說明瞭,跨域錯誤是前端瀏覽器所做的限制,與後臺服務無關。

3.2 JSONP實現跨域

根據思路2,既然跨域問題產生的原因是因為客戶端發送了 Ajax 請求,那麼我們打破這個條件即可。具體實現方式就是使用 JSONP 來進行跨域請求。

JSONP,是 JSON with Padding 的簡稱,它是 json 的一種補充使用方式,利用 script 標簽來解決跨域問題。JSONP 是非官方協議,他只是前後端一個約定,如果請求參數帶有約定的參數,則後臺返回 javascript 代碼而非 json 數據,返回代碼是函數調用形式,函數名即約定值,函數參數即要返回的數據。

JSONP 的實現原理如下圖所示:

imgJSONP實現原理

首先在客戶端 js 中定義一個函數(假設名為 handler),然後動態創建一個 script 標簽插入頁面中,script 標簽的 src 屬性即要調用的地址,同時,在調用的 url 中加入一個服務端約定的參數(假設名為 callback,參數值為已定義的函數名 handler),服務端收到請求,如果發現請求的 url 中帶有約定的參數,那麼就返回一段函數調用形式的 javascript 代碼,該段代碼的函數名即為 callback 參數的值 handler,函數的參數即為待返回的數據。這樣,客戶端拿到返回結果後就會執行 handler 函數,對返回的數據進行處理。

我們使用 jquery 向服務端發送一個 JSONP 格式的請求,從瀏覽器控制台可以看到請求和對應的響應,如下圖所示:

imgJSONP請求

imgJSONP請求的響應

由上圖可以看到,發送JSONP請求時,請求的 Type 為 script 類型而非 xhr 類型,這樣就打破了跨域報錯的三個必要條件,不會產生跨域錯誤,同時也驗證了服務端返回的數據格式為 javascript 代碼調用的形式,其中 Jquery331045** 這一長串函數名是 jquery 自動生成的。

由於 JSONP 的原理是使用 script 標簽來載入數據,所以它的相容性很好,但是使用 JSONP 來解決跨域問題存在以下缺陷:

  1. 只能發送 GET 請求
  2. 發送的不是 XHR 請求,這樣導致 XHR 請求中的很多事件都無法進行處理
  3. 服務端需要改動

3.3 跨域資源共用CORS

CORS 是一個 W3C 標準,全稱是"跨域資源共用"(Cross-origin resource sharing)。它允許瀏覽器向跨源伺服器,發出 XMLHttpRequest 請求,從而剋服了 AJAX 只能同源使用的限制。CORS 基於 http 協議關於跨域方面的規定,使用時,客戶端瀏覽器直接非同步請求被調用端服務端,在響應頭增加響應的欄位,告訴瀏覽器後臺允許跨域。

img跨域錯誤

回到文章開始的這個跨域錯誤信息,可以看到錯誤的具體信息是:服務端沒有設置Access-Control-Allow-Origin 這個響應頭從而導致報錯,通過設置 Access-Control-Allow-Origin: * 這個響應頭,我們可以解決問題。但是,這種設置能滿足所有情況嗎? 更進一步,使用 CORS 時瀏覽器如何檢查跨域錯誤? 前面我們有講到,雖然瀏覽器報錯,但是在這之前服務端已經接受了請求,那麼,瀏覽器總是先發出請求後再進行判斷嗎?下麵我們一一討論。

3.3.1 瀏覽器如何檢查跨域錯誤

瀏覽器檢查跨域錯誤的基本原理是:

瀏覽器檢測到 ajax 請求的域與當前域不一致,會在請求頭中增加 Origin 欄位,然後檢查服務端響應頭 Access-Control-Allow-Origin,如果不存在或不匹配,則報跨域錯誤。

img瀏覽器檢查跨域錯誤原理

3.3.2 瀏覽器總是先發出請求,然後根據是否有 Access-Control-Allow-Origin 響應頭來判斷嗎

答案是,對於簡單請求,是;而對於非簡單請求,不是。非簡單請求的情況下,瀏覽器並不是直接請求所需資源,而是會先發出一個預檢請求,預檢請求通過後才會對所需資源進行請求。

img非簡單請求預檢請求

這裡涉及到的簡單請求和非簡單請求的概念,那麼簡單請求和非簡單請求有什麼區別呢?MDN 對非簡單請求進行了定義,滿足下列條件之一,即為非簡單請求:

  1. 使用了下列 HTTP 方法:PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH
  2. 使用了除以下首部之外的其他首部:Accept、Accept-Language、Content-Language、Content-Type
  3. Content-Type首部的值不屬於下列其中一個: application/x-www-form-urlencoded、 multipart/form-data、 text/plain
  4. 請求中的 XMLHttpRequestUpload 對象註冊了任意多個事件監聽器
  5. 請求中使用了ReadableStream對象

簡單來說,除了我們平時使用最多的 GET 和 POST 方法,以及最常使用的 Accept、Accept-Language、Content-Language 和 類型為 application/x-www-form-urlencoded、 multipart/form-data、 text/plain 的 Content-Type 請求頭,其他基本都是非簡單請求。對於這些非簡單請求,瀏覽器會發出兩個請求,第一個為 OPTIONS 遇見請求,遇見請求的響應檢查通過後才會發出對資源的請求。

img非簡單請求過程

生產環境下,如果需要發送非簡單跨域請求,每次兩個請求會增加響應時間,為此,W3C 標準中增加了另一個響應頭 Access-Control-Max-Age 參數,該響應頭表明瞭對於非簡單請求的預檢請求瀏覽器的緩存時間,在緩存有效期內,非簡單請求可以不發送預檢請求,另外,實際開發中,可以在服務端設置接收到的請求方法是 OPTIONS 時,直接返回 200,這樣也能加快響應。

3.3.3 設置 Access-Control-Allow-Origin: * 就行嗎

img帶cookie的跨域

當我們需要發送帶 cookie 的請求時,Access-Control-Allow-Origin 直接設置為通配符 * 時是無法通過瀏覽器的檢查的,此時該響應頭的值必須與發出請求的域完全匹配才行,另外,還需要設置 Access-Control-Allow-Credentials 響應頭的值為 true,表示支持帶 cookie 的跨域請求。

3.3.4 CORS請求頭和響應頭總結

請求頭:

  • Origin: 瀏覽器發出 Ajax 跨域請求之前會添加此頭部,值為發送請求的域
  • Access-Control-Request-Method:使用了除 GET、POST 請求方法之外的方法,瀏覽器會添加此頭部,值為當前請求方法
  • Access-Control-Request-Headers:使用了自定義頭部或除了Accept、Accept-Language、Content-Language、Content-Type 之外的頭部,瀏覽器會添加此頭部,值為當前的請求方法

響應頭:

  • Access-Control-Allow-Origin: 表示服務端允許哪些域請求資源
  • Access-Control-Allow-Methods: 當客戶端包含 Access-Control-Request-Method 請求頭時,服務端需要響應該頭部,值通常由 Reauest 的 header 中 Access-Control-Request-Method 取得
  • Access-Control-Allow-Headers: 當客戶端包含 Access-Control-Request-Headers 請求頭時,服務端需要響應該頭部,值通常由 Reauest 的 header 中 Access-Control-Request-Headers 取得
  • Access-Control-Expose-Headers: 指出客戶端通過 XHR 對象的 getResponseHeaders 方法可以獲取的響應頭有哪些
  • Access-Control-Allow-Credentials: 允許帶 cookie 的跨域請求
  • Access-Control-Max-Age: 預檢請求的緩存時間

4. 總結

本文介紹了跨域的原因,重點介紹了使用 JSONP 和 CORS 解決跨域問題的方法。除此之外,實際開發中還其他各種解決跨域問題的思路,本質上,這些方法都是打破跨域錯誤的三個條件,大家可以自行查資料瞭解一下。

此文已由作者授權騰訊雲+社區在各渠道發佈

搜索關註公眾號「雲加社區」,第一時間獲取技術乾貨,關註後回覆1024 送你一份技術課程大禮包!


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 對於面向對象編程語言(如java,.net,php,python等)來說,其最大的特點在於“面向對象”,而"面向對象"較為顯著的特征便是:封裝,繼承,多態。藉助”面向對象“的這些特征,通常地,一個類大致包括三大部分:屬性,方法和索引器,下麵定義的一個類就包括這三大部分(.Net 語言)。 我們知道, ...
  • Node.js安裝及環境配置之Windows篇 一、安裝環境 1、本機系統:Windows 10 Pro(64位)2、Node.js:v6.9.2LTS(64位) 二、安裝Node.js步驟 1、下載對應你系統的Node.js版本:https://nodejs.org/en/download/2、選 ...
  • ES6 實現了類的概念 ES5使用函數模擬 ES6中的 class定義一個類, 其內部包含 構造函數, 除了在構造函數顯示的定義一些屬性, 其餘的預設都添加到這個類的原型對象上。 在一個類中定義一個讀取名字的函數: 如果我們把 sayName 這個函數拿出來運行會是什麼結果呢? 繼以上代碼 以上報錯 ...
  • 在小程式後臺,微信已經提供了強大的數據分析功能,包括實時統計、訪問分析、來源分析和用戶畫像功能,可以說對一般的數據分析已經完全足夠了,但有時應用需要做一些更加精準的數據分析,比如具體到某一個頁面的分享,頁面中某一個button的點擊等,這時候就需要用到自定義分析功能。 什麼是自定義分析? 引用下官方 ...
  • . 本文是 "Rxjs 響應式編程 第三章: 構建併發程式" 這篇文章的學習筆記。 示例代碼托管在: "http://www.github.com/dashnowords/blogs" 更多博文: "《大史住在大前端》原創博文目錄" [TOC] 一. 劃重點 儘量避免外部狀態 在基本的函數式編程中, ...
  • 本文是在 centos7 下利用 nexus 搭建 npm 私服的整理 一、安裝 JDK 二、安裝 nexus 1、下載 nexus 2、解壓 3、修改配置文件(可選) 4、增加用戶(可選) 如果使用的 root 用戶運行會有警告信息 5、設置啟動用戶(可選) 添加一行 6、修改 ulimit(可選 ...
  • 定義按鈕 定義圖片按鈕 定義重置和提交按鈕 定義輸入框預設值 定義單選框 定義多選框 輸入框與文字綁定聚焦 定義下拉列表 給下拉列表的數據分類 ...
  • class 的前世今生 在 es6 之前,雖然 JS 和 Java 同樣都是 OOP (面向對象)語言,但是在 JS 中,只有對象而沒有類的概念。 在 JS 中,生成實例對象的傳統方法是通過構造函數,如下所示: 對比傳統 OOP 語言中的類寫法,這種寫法讓許多學過其他 OOP 語言的 JS 初學者感 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...