前端跨域及其解决方案

8,987 阅读8分钟

前端与服务端数据交互时,涉及到跨域的一些问题。JavaScript出于安全的考虑,禁止了跨域调用其他页面的对象,也即同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。

什么是跨域?

如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin),JavaScript 允许这种同源页面的数据互相通信。

端口协议大家都应该很熟悉,一般生产项目中WEB页面是「看不见」端口号的,其实是缺省端口80,目前网络劫持盛行,因此流行使用安全协议HTTPS来避免劫持,而主机的概念有些初级开发者可能就会搞混淆,我们使用域名来指定一台主机,当然你也可以直接使用IP地址,重点在于不要以为jandou.comwww.jandou.com是同一域名,实际上www.jandou.com是一个二级域名,而jandou.com俗称为裸域,不了解你可以看看:为什么越来越多的网站域名不加「www」前缀?

值得关注的是, 跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但返回结果被浏览器拦截了。 最好的例子是CSRF跨站攻击原理,伪造的请求发送到了后端服务器,无论是否跨域!有些浏览器不允许从HTTPS协议的域 跨域访问 HTTP协议,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例,值得特别关注。

下表给出了相对h5.jd.com/dir/ajax.js:

URL 是否允许通信 原因
h5.jd.com/dir/zepto.j… 允许 同源
h5.jd.com/dir2/react.… 允许 同源
h5.jd.com/jquery.js 不允许 协议
h5.jd.com:8080/vue.js 不允许 端口
m.jd.com/angular.js 不允许 主机

带来的麻烦,以及解决方案

同源策略让JavaScript或Cookie只能访问同域下的内容,但在实际开发项目时会不可避免的要进行跨域操作,因此给前端带来了麻烦,跨域能力也算是前端工程师的基本功之一,对于端口协议的不同,只能通过后台来解决咯,下面主要说说主机不同情况实现跨域。

神器 JSONP

JSONP是比较流行的跨域处理方式,网络上的定义:JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料,原理是HTML的script标签可以加载并执行其他域JS文件。站点B把要提供的数据作为参数传给一个站点A定义的全局函数,站点A引用这个文件就可以跨域获取数据了,A站还可以把少量参数放在script标签的src里提交给B站。外链JS这种方案只支持GET,受IE下url长度不能超过2083个字节的限制和出于安全考虑,一般不用来提交数据

JSONP实际上就是被包含在一个回调函数中的JSON,例如:

callback({"name","zhangsan"});

因此我们可以知道JSONP由两部分组成:回调函数数据。回调函数是当响应到来时应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据,需要注意的是这个回调函数一定要让后端开发人员处理包裹,否者只能获取json数据,不能使用。

在js中,不可以直接用XMLHttpRequest请求不同域上的数据。但我们知道在页面上引入不同域上的js脚本文件却被允许的,JSONP就正是利用这个特性来实现的,是不是恍然大悟。 例如:


js文件载入成功后,会执行我们在url参数中指定的函数(dosomething),并且会把我们需要的json数据(jsondata)作为参数传入。所以再次强调jsonp是需要服务器端的页面进行相应的配合的。


最终,输出结果为:dosomething({'name':'张三',sex:'男',age:'15'});

如果你使用jquery或者zepto,那么通过它封装的方法就能很方便的来进行JSONP操作了。

使用$.ajax

$.ajax({
  type: 'GET',
  url: 'http://jd.com/data',
  // 需要提交给服务端的数据:
  data: { name: '张三' },
  // 指定数据类型:
  dataType: 'jsonp',
  timeout: 300,
  success: function(data){
    // 成功接收到这个JSON:
    // {'project':{'name':'张三',sex:'男',age:'15'}}
    // 把数据插入到HTMl DOM中
    this.append(data.project.html)
  },
  error: function(xhr, type){
    alert('数据获取失败!')
  }
})
// 或者使用$.getJSON
$.getJSON('http://jd.com/data?callback=?,function(data)'){
    //处理获得的json数据
});

或者使用设置了JSON参数的 ajax() 函数的简化版本 $.getJSON

//服务器需要声明这么一条响应头,即可轻松跨域
//PHP中的 hander() 设置,“*”号表示允许任何域向我们的服务端提交请求:
header("Access-Control-Allow-Origin: *")
//也可以设置指定的域名,如域名 http://h5.jd.com ,那么就允许来自这个域名的请求:
header("Access-Control-Allow-Origin: http://h5.jd.com")

jquery/zepto会自动生成一个全局函数来替换callback=?中的问号,之后获取到数据后又会自动销毁,实际上就是起一个临时代理函数的作用。$.getJSON方法会自动判断是否跨域,不跨域的话,就调用普通的ajax方法;跨域的话,则会以异步加载js文件的形式来调用jsonp的回调函数。

JSONP的优点是:

  • 它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;[1]
  • 它的兼容性更好,在老版本的浏览器中可以运行,不需要XMLHttpRequest或ActiveX的支持;
  • 它在请求完毕后可以通过调用callback的方式回传结果,方便调用。

JSONP的缺点则是:

  • 它只支持GET请求而不支持POST等其它类型的HTTP请求,不能提交大量数据;
  • 它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。[2]

先进的 CORS

W3C 推荐了一种更为先进的机制,也就是 CORS(Cross-Origin Resource Sharing) 跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部,让 服务器能声明 哪些来源可以通过浏览器访问该服务器上的资源,从而决定请求或响应是应该成功还是失败,CORS本身并非绝对很安全,可利用OAuth2措施来加强保障。

//服务器需要声明这么一条响应头,即可轻松跨域
//PHP中的 hander() 设置,“*”号表示允许任何域向我们的服务端提交请求:
header("Access-Control-Allow-Origin: *")
//也可以设置指定的域名,如域名 http://h5.jd.com ,那么就允许来自这个域名的请求:
header("Access-Control-Allow-Origin: http://h5.jd.com")

目前绝大多数(除IE8及其以下版本)现代浏览器均支持CORS,移动端则是99%支持,所以在移动端开发时尽情享用吧,另外值得注意的是,对那些会对服务器数据造成破坏性影响的 HTTP 请求方法(特别是 GET 以外的 HTTP 方法,或者搭配某些MIME类型的POST请求),CORS标准强烈要求 浏览器必须先以 OPTIONS 请求方式发送一个预请求(preflight request),从而获知服务器端对跨源请求所支持 HTTP 方法。 在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求。服务器端也可以通知客户端,是不是需要随同请求一起发送信用信息(包括 Cookies 和 HTTP 认证相关数据)。

与JSONP想比较,CORS支持所有类型的HTTP请求,且开发者可以使用原生普通的XMLHttpRequest对象发起请求和获得数据,配合新的JSAPI(fileapi、xhr2等)一起使用,实现强大的新体验功能。

跨子域 document.domain/iframe

同源策略限制了Ajax请求不同源的资源,还限制浏览器中不同域的框架之间的js数据交互。
不同的框架(iframe)之间是可以获取window对象的,font color=”#bf616a”>但并不能获取相应的属性和方法!比如,有一个页面,它的地址是h5.jd.com/a.html , 在这个页面里面有一个iframe,它的src是m.jd.com/b.html, 很显然,这个页面与它里面的iframe框架是不同源的(一级域名一致,但二级域名不一致!),所以我们是无法通过在页面中书写js代码来获取iframe中的东西的:


这个时候,document.domain就可以派上用场了,我们只要把h5.jd.com/a.htmlm.jd.com/b.html 这两个页面的document.domain都设成相同的域名就可以了。但要注意的是,document.domain的设置是有限制的,我们只能把document.domain设置成自身或更高一级的父域,且主域必须相同。

1.在页面 h5.jd.com/a.html 中设置document.domain:


2.在页面 m.jd.com/b.html 中也设置document.domain:


    

其他跨域方案

window.name:

在一个窗口(window)的生命周期内,窗口载入的所有的页面都是共享一个window.name的,每个页面对window.name都有读写的权限,window.name是持久存在一个窗口载入过的所有页面中的。

window.postMessage:

该方法是 HTML5 新引进的特性,可以使用它来向其它的window对象发送消息,无论这个window对象是属于同源或不同源,目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法。

动态创建script

JSONP也就是利用这个原理。

利用iframe和location.hash

淘汰类技术

利用flash

淘汰类技术

参考链接:

segmentfault.com/a/119000000…
www.html5rocks.com/en/tutorial…
imququ.com/post/cross-…
www.cnblogs.com/rainman/arc…
developer.mozilla.org/en-US/docs/…
developer.mozilla.org/en-US/docs/…
ued.ctrip.com/blog/transl…
stackoverflow.com/questions/1…