web開發的跨域問題

原創 飞不动的笨鸟 2019-01-09 18:00

做過 web 開發的同學,應該都遇到過跨域的問題,當我們從一個域名向另一個域名發送 Ajax 請求的時候,打開瀏覽器控制檯就會看到跨域錯誤,今天我們就來聊聊跨域的問題。

1. 瀏覽器的同源策略

同源的定義是:如果兩個頁面的*協議*端口(如果有指定)和*域名*都相同,則兩個頁面具有相同的。同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

2. 跨域錯誤信息產生的原因

爲了說明問題,我們可以做如下實驗,我們在本地搭建了開發環境, 由客戶端 http://localhost:3001 向服務器 http://localhost:3000 發送兩個請求,一個使用 javascript 異步請求數據,另一個使用 img 標籤請求數據,服務器收到請求後,打印接收到請求的日誌,如下圖所示:

img客戶端發送兩個請求

img服務端打印日誌並處理請求

代開客戶端瀏覽器的控制檯,可以看到發出了兩個請求,並且都收到了狀態碼爲 200 的響應,同時控制檯報了一個錯誤,即 xhr 請求報錯。由此我們可以知道,之所以產生跨域錯誤信息,原因有以下三條:

  • 瀏覽器端的限制(服務端收到了請求並正確返回)
  • 發送的是 XMLHttpRequest 請求(使用 img 標籤發送的請求爲 json 類型,並不會報錯)
  • 請求了不同域的資源

只有同時滿足了這三個條件,瀏覽器纔會產生跨域錯誤。

3. 解決跨域的思路

既然我們知道了跨域錯誤產生的原因,那麼解決思路就很直觀了,針對出錯的三個原因進行相應的處理即可,相應的解決思路也有三個方向:

  • 打破瀏覽器的限制
  • 不發送 XHR 請求
  • 解決跨域

下文將分別進行闡述。

3.1 打破瀏覽器的限制

由上面分析結論可知,之所以出現跨域的錯誤,實際上是客戶端瀏覽器所做的限制,服務器並未進行限制,因此我們可以通過設置瀏覽器,使其不進行跨域檢查。實際上瀏覽器也提供了對應的設置選項。

以 MacOS 下的 Chrome 瀏覽器爲例,在終端中使用命令

open -n /Applications/Google\ Chrome.app/ --args --disable-web-security  --user-data-dir=/Users/your-computer-account/MyChromeDevUserData/

打開瀏覽器,即可禁用 Chrome 瀏覽器的安全檢查功能,同時也會禁用跨域安全檢查功能,這樣再次拿前面的例子進行測試,發現此時不會報錯,同時也可以正確拿到服務端返回的數據。

img禁用瀏覽器安全檢查功能

這種方式雖然可以實現跨域,但是需要每個用戶都對瀏覽器進行設置,同時可能導致潛在的安全隱患,正常情況下不實用。但這個例子充分說明了,跨域錯誤是前端瀏覽器所做的限制,與後臺服務無關。

3.2 JSONP實現跨域

根據思路2,既然跨域問題產生的原因是因爲客戶端發送了 Ajax 請求,那麼我們打破這個條件即可。具體實現方式就是使用 JSONP 來進行跨域請求。

JSONP,是 JSON with Padding 的簡稱,它是 json 的一種補充使用方式,利用 script 標籤來解決跨域問題。JSONP 是非官方協議,他只是前後端一個約定,如果請求參數帶有約定的參數,則後臺返回 javascript 代碼而非 json 數據,返回代碼是函數調用形式,函數名即約定值,函數參數即要返回的數據。

JSONP 的實現原理如下圖所示:

imgJSONP實現原理

首先在客戶端 js 中定義一個函數(假設名爲 handler),然後動態創建一個 script 標籤插入頁面中,script 標籤的 src 屬性即要調用的地址,同時,在調用的 url 中加入一個服務端約定的參數(假設名爲 callback,參數值爲已定義的函數名 handler),服務端收到請求,如果發現請求的 url 中帶有約定的參數,那麼就返回一段函數調用形式的 javascript 代碼,該段代碼的函數名即爲 callback 參數的值 handler,函數的參數即爲待返回的數據。這樣,客戶端拿到返回結果後就會執行 handler 函數,對返回的數據進行處理。

我們使用 jquery 向服務端發送一個 JSONP 格式的請求,從瀏覽器控制檯可以看到請求和對應的響應,如下圖所示:

imgJSONP請求

imgJSONP請求的響應

由上圖可以看到,發送JSONP請求時,請求的 Type 爲 script 類型而非 xhr 類型,這樣就打破了跨域報錯的三個必要條件,不會產生跨域錯誤,同時也驗證了服務端返回的數據格式爲 javascript 代碼調用的形式,其中 Jquery331045** 這一長串函數名是 jquery 自動生成的。

由於 JSONP 的原理是使用 script 標籤來加載數據,所以它的兼容性很好,但是使用 JSONP 來解決跨域問題存在以下缺陷:

  1. 只能發送 GET 請求
  2. 發送的不是 XHR 請求,這樣導致 XHR 請求中的很多事件都無法進行處理
  3. 服務端需要改動

3.3 跨域資源共享CORS

CORS 是一個 W3C 標準,全稱是”跨域資源共享”(Cross-origin resource sharing)。它允許瀏覽器向跨源服務器,發出 XMLHttpRequest 請求,從而克服了 AJAX 只能同源使用的限制。CORS 基於 http 協議關於跨域方面的規定,使用時,客戶端瀏覽器直接異步請求被調用端服務端,在響應頭增加響應的字段,告訴瀏覽器後臺允許跨域。

img跨域錯誤

回到文章開始的這個跨域錯誤信息,可以看到錯誤的具體信息是:服務端沒有設置Access-Control-Allow-Origin 這個響應頭從而導致報錯,通過設置 Access-Control-Allow-Origin: * 這個響應頭,我們可以解決問題。但是,這種設置能滿足所有情況嗎? 更進一步,使用 CORS 時瀏覽器如何檢查跨域錯誤? 前面我們有講到,雖然瀏覽器報錯,但是在這之前服務端已經接受了請求,那麼,瀏覽器總是先發出請求後再進行判斷嗎?下面我們一一討論。

3.3.1 瀏覽器如何檢查跨域錯誤

瀏覽器檢查跨域錯誤的基本原理是:

瀏覽器檢測到 ajax 請求的域與當前域不一致,會在請求頭中增加 Origin 字段,然後檢查服務端響應頭 Access-Control-Allow-Origin,如果不存在或不匹配,則報跨域錯誤。

img瀏覽器檢查跨域錯誤原理

3.3.2 瀏覽器總是先發出請求,然後根據是否有 Access-Control-Allow-Origin 響應頭來判斷嗎

答案是,對於簡單請求,是;而對於非簡單請求,不是。非簡單請求的情況下,瀏覽器並不是直接請求所需資源,而是會先發出一個預檢請求,預檢請求通過後纔會對所需資源進行請求。

img非簡單請求預檢請求

這裏涉及到的簡單請求和非簡單請求的概念,那麼簡單請求和非簡單請求有什麼區別呢?MDN 對非簡單請求進行了定義,滿足下列條件之一,即爲非簡單請求:

  1. 使用了下列 HTTP 方法:PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH
  2. 使用了除以下首部之外的其他首部:Accept、Accept-Language、Content-Language、Content-Type
  3. Content-Type首部的值不屬於下列其中一個: application/x-www-form-urlencoded、 multipart/form-data、 text/plain
  4. 請求中的 XMLHttpRequestUpload 對象註冊了任意多個事件監聽器
  5. 請求中使用了ReadableStream對象

簡單來說,除了我們平時使用最多的 GET 和 POST 方法,以及最常使用的 Accept、Accept-Language、Content-Language 和 類型爲 application/x-www-form-urlencoded、 multipart/form-data、 text/plain 的 Content-Type 請求頭,其他基本都是非簡單請求。對於這些非簡單請求,瀏覽器會發出兩個請求,第一個爲 OPTIONS 遇見請求,遇見請求的響應檢查通過後纔會發出對資源的請求。

img非簡單請求過程

生產環境下,如果需要發送非簡單跨域請求,每次兩個請求會增加響應時間,爲此,W3C 標準中增加了另一個響應頭 Access-Control-Max-Age 參數,該響應頭表明了對於非簡單請求的預檢請求瀏覽器的緩存時間,在緩存有效期內,非簡單請求可以不發送預檢請求,另外,實際開發中,可以在服務端設置接收到的請求方法是 OPTIONS 時,直接返回 200,這樣也能加快響應。

3.3.3 設置 Access-Control-Allow-Origin: * 就行嗎

img帶cookie的跨域

當我們需要發送帶 cookie 的請求時,Access-Control-Allow-Origin 直接設置爲通配符 * 時是無法通過瀏覽器的檢查的,此時該響應頭的值必須與發出請求的域完全匹配才行,另外,還需要設置 Access-Control-Allow-Credentials 響應頭的值爲 true,表示支持帶 cookie 的跨域請求。

3.3.4 CORS請求頭和響應頭總結

請求頭:

  • Origin: 瀏覽器發出 Ajax 跨域請求之前會添加此頭部,值爲發送請求的域
  • Access-Control-Request-Method:使用了除 GET、POST 請求方法之外的方法,瀏覽器會添加此頭部,值爲當前請求方法
  • Access-Control-Request-Headers:使用了自定義頭部或除了Accept、Accept-Language、Content-Language、Content-Type 之外的頭部,瀏覽器會添加此頭部,值爲當前的請求方法

響應頭:

  • Access-Control-Allow-Origin: 表示服務端允許哪些域請求資源
  • Access-Control-Allow-Methods: 當客戶端包含 Access-Control-Request-Method 請求頭時,服務端需要響應該頭部,值通常由 Reauest 的 header 中 Access-Control-Request-Method 取得
  • Access-Control-Allow-Headers: 當客戶端包含 Access-Control-Request-Headers 請求頭時,服務端需要響應該頭部,值通常由 Reauest 的 header 中 Access-Control-Request-Headers 取得
  • Access-Control-Expose-Headers: 指出客戶端通過 XHR 對象的 getResponseHeaders 方法可以獲取的響應頭有哪些
  • Access-Control-Allow-Credentials: 允許帶 cookie 的跨域請求
  • Access-Control-Max-Age: 預檢請求的緩存時間

4. 總結

本文介紹了跨域的原因,重點介紹了使用 JSONP 和 CORS 解決跨域問題的方法。除此之外,實際開發中還其他各種解決跨域問題的思路,本質上,這些方法都是打破跨域錯誤的三個條件,大家可以自行查資料瞭解一下。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

HTML頁面關於高分屏的設置

記錄一個HTML頁面關於高分屏的踩到的坑。 所謂高分屏,就是在同樣大小的屏幕面積上顯示更多的像素點,這樣可以呈現更好的可視效果的屏幕。例如,我的筆記本是15.6寸,理論上它的屏幕分辨率應該是1920 x 1080像素,但實際上我的筆記本屏幕

harlee44 2024-05-04 14:31:10

DAPPER 事務 TRANSACTION

https://www.cnblogs.com/friend/p/16754184.html\   public async Task<int> Save(long moldProducedProductId, List<MoldStan

老飛飛 2024-05-04 14:29:20

[MDP.AspNetCore] 實作OAuth協定SSO Server/Client專案範例

團隊負責的系統變多的時候,使用SSO Server提供統一身分驗證,讓團隊只需要維護一份用戶資料及一個身分驗證服務。除了減少團隊維護成本之外,也讓使用者不用記憶多個站臺的帳號密碼,提供更好的使用者體驗。 本篇文章,介紹使用MDP.AspNe

Clark159 2024-05-04 14:23:49

Redis官方開源的可視化管理工具 - RedisInsight

前言 今天大姚給大家推薦一款Redis官方開源的可視化管理工具:RedisInsight。 Redis介紹 Redis (Remote Dictionary Server) 是一個使用 C 語言編寫的,開源的 (遵守 BSD 協議) 高性

追逐時光 2024-05-04 14:21:49

Python 潮流週刊#49:谷歌裁員 Python 團隊,微軟開源 MS-DOS 4.0

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期週刊分享了 12

豌豆花下貓 2024-05-04 14:19:09

HarmonyOS 垂直方向內容滾動條實現

概述 Swiper組件是一個用戶界面元素,用於在垂直方向上滾動內容。它通過遍歷一個數據集合,爲每一項創建一個可滾動的文本項。 代碼實現 以下是Swiper組件的實現代碼: Swiper(){ ForEach(searchSwiper,

西北野狼 2024-05-04 14:05:08

基於SSM的倉庫進銷存系統畢業設計論文【範文】

摘要 隨着信息技術的不斷髮展,企業對於倉儲管理的要求日益提高。爲了提升倉庫管理的自動化和智能化水平,本研究設計並實現了一個基於Spring、Spring MVC和MyBatis (SSM) 框架的在倉庫進銷存系統。該系統旨在爲企業提供一個高

Lucky帥小武 2024-05-04 14:03:17

基於SSM的在線考試系統畢業設計論文【範文】

摘要 隨着信息技術的飛速發展,網絡教學逐漸成爲教育行業的重要組成部分。在線考試系統作爲網絡教學平臺的關鍵模塊之一,其便捷性、高效性和公正性受到廣泛關注,基於SSM框架的在線考試系統旨在提供一個穩定、可靠並且易於維護的在線考試環境,以滿足現代

Lucky帥小武 2024-05-04 14:03:17

CSS & JS Effect – 用 wheel 模擬 scroll

前言 在 用 JavaScript 實現 position sticky 文章中,我提到了用 wheel 來模擬 scroll 效果。 這篇來說說具體怎麼實現,挺簡單的哦。   Preparation table.html <div c

興傑 2024-05-04 13:59:16

python包:torchsummary

利用torchsummary觀察每一層的情況   1)按照方式    pip install torchsummary     2)

wenluderen 2024-05-04 13:56:56

Windows使用WSL2及docker(Ubuntu22.04 LTS)

WSL2初始化 1.換源 #1 cp /etc/apt/sources.list /etc/apt/sources.list.bak #2 vim /etc/apt/sources.list # 清空原源並替換成以下源 # deb-src

臨冬城城主 2024-05-04 13:52:56

學習Mysql 你應該懂得

  1、日誌系統:平時在設計系統時可以借鑑一下 參考下面文章 https://www.cnblogs.com/ScarecrowAnBird/p/18163444 2、索引:提高性能利器   3、鎖:提高併發能力小絕招 https://ww

落葉已歸根 2024-05-04 13:45:25

mysql 鎖,和加鎖機制

背景間隙鎖是MySQL在RR可重複讀隔離級別下用來修復幻讀才引入的一種鎖,間隙鎖也只有在RR可重複讀隔離級別下才會存在,如果是在RC讀已提交隔離級別下,是沒有間隙鎖的存在的。另外,我們也知道,幻讀這種現象也只有在當前讀的時候纔會發生,在一致

落葉已歸根 2024-05-04 13:45:25

深入 Django 模型層:數據庫設計與 ORM 實踐指南

title: 深入 Django 模型層:數據庫設計與 ORM 實踐指南 date: 2024/5/3 18:25:33 updated: 2024/5/3 18:25:33 categories: 後端開發 tags: Djang

Mifen 2024-05-04 13:38:24

[轉帖]Introducing Exadata Cloud@Customer X10M

https://blogs.oracle.com/database/post/introducing-exadata-cloudcustomer-x10m     Extreme Scale with Dramatically

濟南小老虎 2024-05-04 13:29:33