1、概述

前后端数据交互经常会碰到请求跨域，什么是跨域，为什么需要跨域，以及常用有哪几种跨域方式，这是本文要探讨的内容。

同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

同源策略是一种约定，它是浏览器最核心也是最基本的安全功能。出于安全考虑，浏览器限制从JS脚本发起的跨源HTTP请求。

通俗的理解：浏览器规定，A 网站的 JavaScript，不允许和非同源的网站 C 之间，进行资源的交互，例如：

①无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。

②无法接触非同源网页的 DOM。

③无法向非同源地址发送 Ajax 请求。

同源指的是两个 URL 的协议、域名、端口一致，反之，则是跨域。出现跨域的根本原因：浏览器的同源策略不允许非同源的 URL 之间进行资源的交互。

例如网页(
http://www.test.com/index.html)和接口(
http://www.api.com/userlist)，非同源的URL，浏览器允许发起跨域请求，但是，跨域请求回来的数据，会被浏览器拦截，无法被页面获取到。

2、为什么要跨域？

跨域是浏览器受同源（协议、域名、端口）策略的限制，不允许不同源的站点之间进行某些操作（如发送ajax请求，操作dom，读取cookie），如果不进行特殊配置是不能操作成功的，并且控制台会报如下跨域错误：

`No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'xxxxxx' is therefore not allowed access

跨域的根本原因是浏览器的“同源策略”，同源 就是【协议+域名+端口号】相同，即为同源，只能向同源的服务发起AJAX请求。

可通过location.origin、window.origin获取当前文档的源

为什么要同源呢？

这是浏览器故意设计的，是浏览器的基本安全策略，否则会很容易受到XSS、CSRF攻击。只能向同源的服务发起AJAX请求，不可跨域请求，会被浏览器拦截。

有哪些限制规则呢？

• ? 访问其他源的图片、CSS、JS是可以的，允许、、

  JSONP的实现：

  function jsonp(url, args, cbName) {
    return new Promise((resolve, reject) => {
      const ele = document.createElement('script');
      window[cbName] = (data) => {
        resolve(data);
        document.body.removeChild(ele);
      }
      args = { ...args, callback: cbName };
      ele.src = `${url}?${Object.keys(args).map(k => `${k}=${args[k]}`).join('&')}`;
      document.body.appendChild(ele);
    });
  }
  //使用，api为360的公开接口
  jsonp('https://sug.so.360.cn/suggest', { format: 'jsonp', word: 'china' }, 'search')
    .then(function (data) {
      console.log(data)
    });

  3.2、CORS跨域

  CORS是什么？—— 跨域资源共享 （cross-origin resource sharing），让AJAX可以跨域访问数据。这是为了满足跨域请求的需求，W3C新增加的特性，需要服务端的支持，不支持IE8/9。

  当浏览器发送一个跨域请求时，它会首先发送一个预检请求（OPTIONS请求），检查后端是否支持跨域请求。这个预检请求会包含一些CORS相关的HTTP头，如Origin、
  Access-Control-Request-Method和
  Access-Control-Request-Headers。后端收到预检请求后，会检查请求中的Origin头，与自己在CORS配置中设置的allowedOrigins进行对比，如果匹配成功，就会在响应中设置相应的CORS头，如
  Access-Control-Allow-Origin、
  Access-Control-Allow-Methods和
  Access-Control-Allow-Headers等。

  一旦预检请求通过，浏览器就会发送实际的跨域请求。在接收到实际请求的响应后，浏览器会再次检查响应中的CORS头，确保它们与预检请求中的设置一致。如果一切正常，浏览器就会允许前端JavaScript代码访问响应中的数据。

  通过这种方式，后端通过显式配置CORS参数，告知浏览器哪些源有权访问其资源，从而实现了跨域访问的功能。这既保证了安全性（只允许指定的源进行访问），又提供了灵活性（可以根据需要配置不同的CORS策略）。

  根据请求方式，浏览器将CORS分为两种情况：

  • 简单请求（安全请求）：只支持GET、POST、HEAD，Header只支持部分字段。
  • 复杂请求（其他请求）：简单请求以外的其他跨域请求。

  简单请求

  基本原理就是在请求头加入一个身份来源标识，服务端根据这个标识来判等是否允许访问，如果允许则给一个允许的标记并返回响应。

  • 只支持GET、POST、HEAD。
  • header —— 我们仅能设置基础的安全字段：
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type 的值为 application/x-www-form-urlencoded，multipart/form-data 或 text/plain。

  具体过程比较简单，前端只要在Header加入“Origin”即可：

  • 请求头Header加入要跨域的源：origin:http://www.main.com

  GET /api HTTP/1.1
  Origin: http://www.main.com             //本次请求来自哪个源
  Host: http://www.third.com              //请求的第三方API
  Accept-Language: en-US
  Connection: keep-alive
  User-Agent: Mozilla/5.0
  ...

  • 服务端收到请求后检查Origin，如果同意请求则正常响应，同时在响应的Header中加入特殊的“Access-Control-Allow-Origin”字段，申明支持的源，也可以用“*”表示支持任何源访问。
  • 浏览器收到响应后会检查“Access-Control-Allow-Origin”，和当前源对比，如果不合法则会报错——跨域。

  Access-Control-Allow-Origin: http://www.main.com        //请求允许的源
  Access-Control-Allow-Credentials: true                          //是否允许cookie，cors默认不发送cookie，如果要发送，还需AJAX中设置withCredentials
  Access-Control-Expose-Headers: Content-Length,API-Key   //如果客户端想要访问其他非安全字段，则需要服务端明确定义哪些Header字段暴露出来
  Content-Type: text/html; charset=utf-8

  复杂请求

  不是简单请求的都称为复杂请求（非简单请求），如请求方法是PUT、DELETE，或Content-Type=application/json。相比于简单请求，复杂请求多了一次预请求。

  预请求：

  • 正式发送请求前，浏览器会自动发送一个预请求，问问服务端是否允许本次请求，如果回应允许才正式发送请求，后面就和简单请求相同了。
  • 预请求及其响应都没有body，采用OPTIONS方法。

  JSONP 与`CORS 的对比

  JSONP 是很早很成熟的解决方案，但是，只能进行 GET 请求，无法实现上传数据等操作。

  反观：CORS 虽然分 预请求 和 非预请求 ，但是，无疑支持的功能是非常强大的 ！！！

  3.3、Nginx反向代理

  跨域是浏览器的保护机制，如果绕过浏览器，使用代理服务器去请求目标服务器上的数据，就不会受跨域影响。因此前端可以通过脚手架或webpack配置devSever下的proxy选项，将/api开头的请求转发到真实服务器上。

  在生产环境下也可以使用nginx配置反向代理来解决跨域。

  Nginx 则是通过反向代理的方式，（这里也需要自定义一个域名）这里就是保证我当前域，能获取到静态资源和接口，不关心是怎么获取的。

  配置下 hosts

  127.0.0.1 local.test

  配置 nginx

  server {
          listen 80;
          server_name local.test;
          location /api {
              proxy_pass http://localhost:8080;
          }
          location / {
              proxy_pass http://localhost:8000;
          }
  }

  对于前端开发而言，大部分的跨域问题，都是通过代理解决的

  代理适用的场景是：生产环境不发生跨域，但开发环境发生跨域

  4、小结

  因为同源是浏览器的限制，跨域的方法无非就是绕过，或采用CORS。

  跨域方案	基本原理	是否需要服务端支持
  JSONP	借助 header content type 上一篇：怎么将deepseek接入word 下一篇：nginx中配置固定的JSON响应 相关推荐 墨尔本一华裔男子与亚裔男子分别失踪数日 警方寻人 中新网5月15日电据澳洲新快网报道，据澳大利亚维州警察局网站消息，22岁的华裔男子邓跃(Yue‘Peter’Deng，音译)失踪已6天，维州警方于当地时间13日发布寻人通告，寻求公众协助寻找邓跃。华... 网络交友须谨慎!美国犹他州一男子因涉嫌杀害女网友被捕 伊森·洪克斯克（图源网络，侵删）据美国广播公司（ABC）25日报道，美国犹他州一名男子于24日因涉嫌谋杀被捕。警方表示，这名男子主动告知警局，称其杀害了一名在网络交友软件上认识的25岁女子。雷顿警... 一课译词:来龙去脉（来龙去脉 的意思解释） Mountainranges[Photo/SIPA]“来龙去脉”，汉语成语，本指山脉的走势和去向，现比喻一件事的前因后果（causeandeffectofanevent），可以翻译为“i... 高考重要考点:range（range高考用法） range可以用作动词，也可以用作名词，含义特别多，在阅读理解中出现的频率很高，还经常作为完形填空的选项，而且在作文中使用是非常好的高级词汇。... C++20 Ranges:现代范围操作（现代c++白皮书） 1.引言：C++20Ranges库简介C++20引入的Ranges库是C++标准库的重要更新，旨在提供更现代化、表达力更强的方式来处理数据序列（范围，range）。Ranges库基于... 学习VBA，报表做到飞 第二章 数组 2.4 Filter函数 第二章数组2.4Filter函数Filter函数功能与autofilter函数类似，它对一个一维数组进行筛选，返回一个从0开始的数组。... VBA学习笔记:数组:数组相关函数—Split，Join Split拆分字符串函数，语法Split（expression，字符，Limit，compare），第1参数为必写，后面3个参数都是可选项。Expression为需要拆分的数据，“字符”就是以哪个字... VBA如何自定义序列，学会这些方法，让你工作更轻松 No.1在Excel中，自定义序列是一种快速填表机制，如何有效地利用这个方法，可以大大增加工作效率。通常在操作工作表的时候，可能会输入一些很有序的序列，如果一一录入就显得十分笨拙。Excel给出了一种... Excel VBA入门教程1.3 数组基础（vba数组详解） 1.3数组使用数组和对象时，也要声明，这里说下数组的声明：'确定范围的数组，可以存储b-a+1个数，a、b为整数Dim数组名称(aTob)As数据类型Dimarr... 远程网络调试工具百宝箱-MobaXterm MobaXterm是一个功能强大的远程网络工具百宝箱，它将所有重要的远程网络工具（SSH、Telnet、X11、RDP、VNC、FTP、MOSH、Serial等）和Unix命令（bash、ls、cat... AREX:携程新一代自动化回归测试工具的设计与实现 一、背景随着携程机票BU业务规模的不断提高，业务系统日趋复杂，各种问题和挑战也随之而来。对于研发测试团队，面临着各种效能困境，包括业务复杂度高、数据构造工作量大、回归测试全量回归、沟通成本高、测试用例... Windows、Android、IOS、Web自动化工具选择策略 Windows平台中应用UI自动化测试解决方案AutoIT是开源工具，该工具识别windows的标准控件效果不错，但是当它遇到应用中非标准控件定义的UI元素时往往就无能为力了，这个时候选择silkte... python自动化工具:pywinauto（python快速上手 自动化） 简介Pywinauto是完全由Python构建的一个模块，可以用于自动化Windows上的GUI应用程序。同时，它支持鼠标、键盘操作，在元素控件树较复杂的界面，可以辅助我们完成自动化操作。我在... 时下最火的 Airtest 如何测试手机 APP? 引言Airtest是网易出品的一款基于图像识别的自动化测试工具，主要应用在手机APP和游戏的测试。一旦使用了这个工具进行APP的自动化，你就会发现自动化测试原来是如此简单！！连接手机要进行... 【推荐】7个最强Appium替代工具，移动App自动化测试必备! 在移动应用开发日益火爆的今天，自动化测试成为了确保应用质量和用户体验的关键环节。Appium作为一款广泛应用的移动应用自动化测试工具，为测试人员所熟知。然而，在不同的测试场景和需求下，还有许多其他优... 取消回复欢迎 你 发表评论: 一周热门 前端面试:iframe 的优缺点? iframe有那些缺点 蓝导航是一个功能齐全、简洁便捷的导航网站 带斜线的表头制作好了，如何填充内容?这几种方法你更喜欢哪个? 漫学笔记之PHP.ini常用的配置信息 推荐7个模板代码和其他游戏源码下载的网址 其实模版网站在开发工作中很重要，推荐几个参考站给大家 [干货] JAVA - JVM - 2 内存两分 [干货]+java+-+jvm+-+2+内存两分吗 setuphost.exe占用较高的CPU，可以这样修复它 【开源分享】2024PHP在线客服系统源码(搭建教程+终身使用) 正在学习使用python搭建自动化测试框架?这个系统包你可能会用到 最近发表 墨尔本一华裔男子与亚裔男子分别失踪数日 警方寻人 网络交友须谨慎!美国犹他州一男子因涉嫌杀害女网友被捕 一课译词:来龙去脉（来龙去脉 的意思解释） 高考重要考点:range（range高考用法） C++20 Ranges:现代范围操作（现代c++白皮书） 学习VBA，报表做到飞 第二章 数组 2.4 Filter函数 VBA学习笔记:数组:数组相关函数—Split，Join VBA如何自定义序列，学会这些方法，让你工作更轻松 Excel VBA入门教程1.3 数组基础（vba数组详解） 远程网络调试工具百宝箱-MobaXterm 标签列表 mybatis plus (70) scheduledtask (71) css滚动条 (60) java学生成绩管理系统 (59) 结构体数组 (69) databasemetadata (64) javastatic (68) jsp实用教程 (53) fontawesome (57) widget开发 (57) vb net教程 (62) hibernate 教程 (63) case语句 (57) svn连接 (74) directoryindex (69) session timeout (58) textbox换行 (67) extension_dir (64) linearlayout (58) vba高级教程 (75) iframe用法 (58) sqlparameter (59) trim函数 (59) flex布局 (63) contextloaderlistener (56) 首页 收录 顶部