前端跨域问题的几种解决方案

前端跨域问题

一:同源策略
  1.what‘s this
    所谓同源是指,域名,协议,端口相同。当浏览器运行一个JS脚本时会进行同源检测,如果不同源是不能执行的。
  2.源继承
    来自about:blank,javascript:和data:URLs中的内容,继承了将其载入的文档所指定的源,因为它们的URL本身未指定任何关于自身源的信息。
  3.变更源
    变更源可以实现基础域相同的不同页面的跨域问题。
    如:a.baidu.com/index.html 通过 iframe 引入 b.baidu.com/index.html ,但是a中的JS是不可以操作b中的内容的,但是可以通过修改源来实现。需要在a和b中都修改domain,即 document.domain = ‘baicu.com‘
    注意:document.doamin的修改必须是当前域或者当前域的基础域,如在a中document.domain = ‘b.baidu.com‘是报错的
二:跨域方案

  共有几种解决方案:

  (1)document.domain + iframe

  (2)动态创建script

  (3)window.name + iframe

  (4)window.postMessage

  (5)CORS

  (6)JSONP

  (7)nginx代理

  1.document.domain + iframe

    这种方式就是上面说的变更源
    在a.name.com/a.html中

document.domain = ‘a.com‘;

var ifr = document.createElement(‘iframe‘);
ifr.src = ‘http://b.name.com/b.html‘;
ifr.display = none;
document.body.appendChild(ifr);

ifr.onload = function(){
    var doc = ifr.contentDocument || ifr.contentWindow.document;
    //在这里操作doc,也就是b.html
    ifr.onload = null;
};

    在b.name.com/b.html中

document.domain = ‘name.com‘;

  2.动态创建script

  因为script标签不受同源策略的限制

function loadScript(url, func) {
  var head = document.head || document.getElementByTagName(‘head‘)[0];
  var script = document.createElement(‘script‘);
  script.src = url;

  script.onload = script.onreadystatechange = function(){
    if(!this.readyState || this.readyState==‘loaded‘ || this.readyState==‘complete‘){
      func();
      script.onload = script.onreadystatechange = null;
    }
  };

  head.insertBefore(script, script[0]);
}
window.baidu = {
  sug: function(data){
    console.log(data);
  }
}
loadScript(‘https://www.baidu.com‘,function(){console.log(‘loaded‘)});

  3.window.name + iframe

  window对象有个name属性,该属性有个特征:即在一个窗口(window)的生命周期内,窗口载入的所有的页面都是共享一个window.name的,每个页面对window.name都有读写的权限,window.name是持久存在一个窗口载入过的所有页面中的,并不会因新页面的载入而进行重置

  a.com/a.html

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title></title>
        <script>
            function getData(){
                //此时window.name已被修改为b.com/b.html页面设置的数据
                var iframe = document.getElementById(‘proxy‘);
                iframe.onload = function(){
                    var data = iframe.contentWindow.name;//获取iframe中window.name,也就是b.com/b.html页面设置的数据
                    alert(data);
                }
                iframe.src = ‘about:block‘; //赊着src的目的是为了让iframe与当前页面同源。src被修改后会重新load然后触发上面的onload
            }
        </script>
    </head>
    <body>
        <iframe id="proxy" src="b.com/b.html" ></iframe>
    </body>
</html>

  4.postMessage(HTML5中的XMLHttpRequest Level 2中的API)

  window.postMessage(message,targetOrigin)  方法是html5新引进的特性,可以使用它来向其它的window对象发送消息,无论这个window对象是属于同源或不同源,目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法。

  调用postMessage方法的window对象是指要接收消息的那一个window对象,该方法的第一个参数message为要发送的消息,类型只能为字符串;第二个参数targetOrigin用来限定接收消息的那个window对象所在的域,如果不想限定域,可以使用通配符 *  。

  需要接收消息的window对象,可是通过监听自身的message事件来获取传过来的消息,消息内容储存在该事件对象的data属性中。

  上面所说的向其他window对象发送消息,其实就是指一个页面有几个框架的那种情况,因为每一个框架都有一个window对象。在讨论第二种方法的时候,我们说过,不同域的框架间是可以获取到对方的window对象的,而且也可以使用window.postMessage这个方法。下面看一个简单的示例,有两个页面

  a.com/index.html

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title></title>
        <script>
            var iframe = document.getElementById(‘iframe‘);
            iframe.contentWindow.postMessage(‘我是a.com/index.hmtl的消息‘, ‘*‘);
        </script>
    </head>
    <body>
        <iframe id="iframe" src="b.com/index.html"></iframe>
    </body>
</html>

  b.com/index.html

<script>
    window.onmessage = function(e){
        e = e || event;
        alert(e.data)
    }
</script>

  5.CORS(Cross-Origin Resource Sharing)

  跨源资源共享(CORS)是通过客户端+服务端协作声明的方式来确保请求安全的。服务端会在HTTP请求头中增加一系列HTTP请求参数(例如Access-Control-Allow-Origin等),来限制哪些域的请求和哪些请求类型可以接受,而客户端在发起请求时必须声明自己的源(Orgin),否则服务器将不予处理,如果客户端不作声明,请求甚至会被浏览器直接拦截都到不了服务端。

  前端:

function getHello() {
    var xhr = new XMLHttpRequest();
    xhr.open("post", "https://b.example.com/Test.ashx", true);
    xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");    

    xhr.onreadystatechange = function () {
        if (xhr.readyState == 4 && xhr.status == 200) {
            var responseText = xhr.responseText;
            console.info(responseText);
        }
    }
    xhr.send();
}

  服务端:(https://b.example.com/Test.ashx)

header(‘Access-Control-Allow-Origin:*‘)

  *也可以指定具体的来源

  6.JSONP

function handleResponse(response){
    console.log(‘The responsed data is: ‘+response.data);
}
var script = document.createElement(‘script‘);
script.src = ‘http://www.baidu.com/json/?callback=handleResponse‘;
document.body.insertBefore(script, document.body.firstChild);

  7.Nginx反向代理

  前端调用的服务 /apis/xxxx/xxxx  和当前页是同源的,nginx来做一个代理到想要的地方,来实现跨域

  nginx.conf 配置一个反向代理路径

location /apis {
    rewrite ^.+apis/?(.*)$ /$1 break;
    include uwsgi_params;
    proxy_pass http://www.baicu.com/xxxx
}

  

  好了,就总结这么多,慢慢消化。

时间: 2024-08-04 10:18:15

前端跨域问题的几种解决方案的相关文章

解决前端跨域请求的几种方式

利用 JSONP 实现跨域调用 说道跨域调用,可能大家首先想到的或者听说过的就是 JSONP 了. 1.1 什么是JSONP JSONP 是 JSON 的一种使用模式,可以解决主流浏览器的跨域数据访问问题.其原理是根据 XmlHttpRequest 对象受到同源策略的影响,而 <script> 标签元素却不受同源策略影响,可以加载跨域服务器上的脚本,网页可以从其他来源动态产生 JSON 资料.用 JSONP 获取的不是 JSON 数据,而是可以直接运行的 JavaScript 语句. 1.2

跨域的另一种解决方案CORS(CrossOrigin Resource Sharing)跨域资源共享

在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求.浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本.但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染.主要原因还是出于安全考虑,浏览器会限制脚本中发起的跨站请求.(同源策略, 即JavaScript或Cookie只能访问同域下的内容).跨域的解决方案有多重JSONP.Flash.Iframe等,当然还有COR

跨域的另一种解决方案——CORS(Cross-Origin Resource Sharing)跨域资源共享

在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求.浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本.但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染.主要原因还是出于安全考虑,浏览器会限制脚本中发起的跨站请求.(同源策略, 即JavaScript或Cookie只能访问同域下的内容).跨域的解决方案有多重JSONP.Flash.Iframe等,当然还有COR

(转)跨域的另一种解决方案——CORS(Cross-Origin Resource Sharing)跨域资源共享

在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求.浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本.但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染.主要原因还是出于安全考虑,浏览器会限制脚本中发起的跨站请求.(同源策略, 即JavaScript或Cookie只能访问同域下的内容).跨域的解决方案有多重JSONP.Flash.Iframe等,当然还有COR

解决ajax跨域问题【5种解决方案】

什么是跨域问题?跨域问题来源于JavaScript的"同源策略",即只有 协议+主机名+端口号 (如存在)相同,则允许相互访问.也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源.跨域问题是针对JS和ajax的,html本身没有跨域问题. 查看浏览器开发者工具Console报错: Failed to load http://a.a.com:8080/A/FromServlet?userName=123: No 'Access-Control-Allo

关于跨域问题的几种解决方案

1.什么是跨域? 跨域:指的是浏览器不能执行其他网站的脚本.它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制. 例如:a页面想获取b页面资源,如果a.b页面的协议.域名.端口.子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源.注意:跨域限制访问,其实是浏览器的限制.理解这一点很重要!!! 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域: 跨域原因产生:在当前域名请求网站中,默认不允许通过aja

前端跨域问题的解决

1.为什么会出现跨域问题 web浏览器中包含JavaScript解释器,也就是说,一旦载入Web页面,就可以任意的JavaScript代码在计算机里执行.安全隐患也就随之而来,所以由Netscape提出了一个著名的安全策略--同源策略,即JavaScript脚本不能读取从不同服务器载入的文档的内容. 2.同源策略的具体情况 一个完整的url地址包括: 协议名://域名:端口号/资源路径 URL 说明 是否允许通信 http://www.a.com/index.html ftp://www.a.c

前端跨域几种方式

跨域问题的直接原因是浏览器存在同源策略,浏览器同源指的是:两个页面的协议.端口和主机相同,则两个页面具有相同的源.IE下满足协议.主机相同,就认为是同源. 想象一下,如果没有同源策略,谁都可以修改你站点上的内容,读取你的cookie,后果难以想象 前端跨域的几种方式 修改document.domain document.domain 用来获取当前网页的域名,document.domain可以被赋值 document.domain只能修改成当前域名的主域名或者基础域名,如当前域名是b.360.cn

html5的postmessage实现js前端跨域访问及调用解决方案

关于跨域访问,使用JSONP的方法,我前面已经demo过了,具体见http://supercharles888.blog.51cto.com/609344/856886,HTML5提供了一个非常强大的API,叫postMessage,它其实就是以前iframe的进化版本,使用起来极其方便,这里举个实验例子: 我们依旧按照与上文相同的设定,假定我们有2个Domain Domain1: http://localhost:8080  它上面有个应用叫HTMLDomain1,并且有个页面叫sender.