什么是跨域?
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。
什么是同源策略?
所谓同源是指,域名,协议,端口均相同。
跨域问题分类
接口跨域
前后端分离时,前端为了获取后端数据而跨域。
前端页面通信
- jsonp, 利用 script 标签. 但是仅限于 get 请求。
<script> var script = document.createElement('script'); script.type = 'text/javascript'; // 传参一个回调函数名给后端,方便后端返回时执行这个在前端定义的回调函数 script.src = 'http://www.domain2.com:8080/login?user=admin&callback=getJsonData'; document.head.appendChild(script); // 回调执行函数 function getJsonData(res) { alert(JSON.stringify(res)); } </script> // 服务端返回: getJsonData({"status": true, "user": "admin"})
- 反向代理,通过 Nginx 监听同端口,同域名的访问,不同路径映射到不同的地址。相当于绕过了浏览器端,自然就不存在跨域问题。
server { listen 80; server_name admin.com; #charset koi8-r; #access_log logs/host.access.log main; location /client { #访问客户端路径 proxy_pass http://localhost:8080; proxy_redirect default; } location /apis { #访问服务器路径 rewrite ^/apis/(.*)$ /$1 break; proxy_pass http://localhost:8081; } }
- 跨域资源共享-CORS
不带 cookie,前端无需设置,后端需设置
header('Access-Control-Allow-Credentials', '*');
带 cookie, 前端后端都需设置。
axios.defaults.withCredentials = true
跨域的请求在服务端会不会真正执行?
这个问题看似简单,但是如果对跨域的理解不到位,那么大概率会答不好。
解题思路
- 跨域究竟是谁的策略?
- 在什么时机会拦截请求?
- 究竟什么时候会发预检请求?
- 如果有预检,请求什么时候会被真正执行?
跨域请求的拦截
同源策略是浏览器的策略,服务端默认是没有这种策略的。
所以请求的拦截是浏览器
在什么时候拦截
一般解决跨域问题会使用 CORS
解决,客户端会通过服务端返回的一些 Header
去判断该请求是否允许跨域
Access-Control-Allow-Origin
告诉客户端允许请求在哪些 Origin
下被发送,这些 Header
一般都是我们配在服务器上的。
所以是请求发出后,在返回来的时候被浏览器拦截
什么时候会发预检请求
一旦浏览器把请求判定为 简单请求
,浏览器就不会发送预检请求了。
浏览器判定请求是否为简单请求要同时满足以下四个条件:
使用下列方法之一:
GET
- HEAD
POST
只使用了如下的安全 Header,不得人为设置其他 Header
Accept
- Accept-Language
- Content-Language
Content-Type 的值仅限于下列三者之一:
- text/plain
- multipart/form-data
- application/x-www-form-urlencoded
请求中的任意 XMLHttpRequest 对象均没有注册任何事件监听器;XMLHttpRequest 对象可以使用 XMLHttpRequest.upload 属性访问。
- 请求中没有使用 ReadableStream 对象。
总结
跨域的请求有的时候执行,有的时候不执行。 简单请求的情况下,不管是否跨域,一定会到达服务端并被执行,浏览器会隐藏返回值 复杂请求的情况下,先发预检请求,预检请求不会真正执行业务逻辑,预检请求通过后才会发送真正请求并在服务端执行