前端跨域分析及解決辦法

爲什麼有跨域問題

因爲瀏覽器的同源策略，導致了跨域問題的出現。

一. 同源策略

1. 什麼是同源策略

同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

2. 爲什麼需要同源策略

出於安全原因，瀏覽器限制從腳本內發起的跨源HTTP請求。 例如XMLHttpRequest遵循同源策略。 這意味着使用這些API的Web應用程序只能從加載應用程序的同一個域請求HTTP資源，除非使用CORS頭文件或其他跨域方法。

沒有同源策略的兩大安全隱患：

1. 針對接口請求
   常見的場景爲：cookie獲取，CSRF攻擊：(Cross-site request forgery)跨站請求僞造

One Day，當你興致勃勃在某寶上準備雙11的買買買，網購物車裏面各種加，這個時候彈出了你愛豆的新聞，那必須得關注，看一看你家愛豆是不是也要介紹一下另一半，於是就點擊連接進去看了，你看的過程中，也許這個網站暗地裏就做了些什麼不可描述的事情！

比如說由於沒有同源策略的限制，它向某寶發起了請求！因爲你在登錄某寶時“服務端驗證通過後會在響應頭加入Set-Cookie字段，然後下次再發請求的時候，瀏覽器會自動將cookie附加在HTTP請求的頭字段Cookie中”，這樣一來，這個不法網站就相當於登錄了你的賬號，可以爲所欲爲了！

1. 針對Dom
   假設一個場景需要用戶先填寫用戶名密碼等登錄信息進行身份驗證，才能進行接下來的操作，當你輸入用戶名密碼登錄成功後，你的賬號密碼就被盜了，那酸爽~~~
   那這個釣魚網站做了什麼呢？

    // HTML
    <iframe name="qq" src="www.qq.com"></iframe>
    // JS
    // 由於沒有同源策略的限制，釣魚網站可以直接拿到別的網站的Dom
    let iframe = window.frames['qq']
    let userInput = iframe.document.getElementById('賬號輸入框'),
        passInput = iframe.document.getElementById('密碼輸入框');
    
    //dom都拿到了，賬號和密碼不就是一件很容易的事情了麼~~~

因此同源策略確實能規避一些危險，不是說有了同源策略就安全，只是說同源策略是一種瀏覽器最基本的安全機制，畢竟能提高一點攻擊的成本。其實沒有刺不穿的盾，只是攻擊的成本和攻擊成功後獲得的利益成不成正比。

3. 怎麼判斷URL是否同源

如果兩個頁面的協議，端口（如果有指定）和域名都相同，則兩個頁面具有相同的源。

同源的判定：
以http://www.example.com/dir/page.html爲例，以下表格指出了不同形式的鏈接是否與其同源：（原因裏未申明不同的屬性即說明其與例子裏的原鏈接對應的屬性相同）

鏈接	結果	原因
http://www.example.com/dir/page2.html	是	同協議同域名同端口
http://www.example.com/dir2/other.html	是	同協議同域名同端口
http://www.example.com:81/dir/other.html	否	端口不同
https://www.example.com/dir/other.html	否	協議不同端口不同
http://en.example.com/dir/other.html	否	域名不同
http://example.com/dir/other.html	否	域名不同（要求精確匹配）
http://v2.www.example.com/dir/other.html	否	域名不同（要求精確匹配）
http://www.example.com:80/dir/other.html	不確定	取決於瀏覽器的實現方式

tips: 主域名與子域名的區別

主域名：由兩個或兩個以上的字母構成，中間由點號隔開，整個域名只有1個點號，唯一的
子域名：是在主域名之下的域名，域名內容會有多個點號

例如：https://www.baidu.com/
協議：https://
服務器名稱：www
主域名：baidu.com
子域名（子域名包括服務器名稱www + 主域名baidu.com）：www.baidu.com

二. 接口跨域的正確打開方式

目前常用的解決跨域問題的三種方式：

• jsonp：只能發送GET請求
• iframe + form
• CORS:跨域資源共享(Cross-origin resource sharing);

1. JSONP

在HTML標籤裏，一些標籤比如script、img這樣的獲取資源的標籤是沒有跨域限制的，利用這一點，我們可以這樣幹：

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
  </head>
  <body>
    <script type='text/javascript'>
      // 後端返回直接執行的方法，相當於執行這個方法，由於後端把返回的數據放在方法的參數裏，所以這裏能拿到res。
      window.jsonpCb = function (res) {
        console.log(res)
      }
    </script>
    <script src='http://localhost:9871/api/jsonp?msg=helloJsonp&cb=jsonpCb' type='text/javascript'></script>
  </body>
</html>

由上可知JSNOP只能發送GET請求，不能發送POST，本質上通過script標籤去加載資源就是GET

2. Iframe + Form

看代碼

const requestPost = ({url, data}) => {
  // 首先創建一個用來發送數據的iframe.
  const iframe = document.createElement('iframe')
  iframe.name = 'iframePost'
  iframe.style.display = 'none'
  document.body.appendChild(iframe)
  const form = document.createElement('form')
  const node = document.createElement('input')
  // 註冊iframe的load事件處理程序,如果你需要在響應返回時執行一些操作的話.
  iframe.addEventListener('load', function () {
    console.log('post success')
  })

  form.action = url
  // 在指定的iframe中執行form的action url
  form.target = iframe.name
  form.method = 'post'
  for (let name in data) {
    node.name = name
    node.value = data[name].toString()
    form.appendChild(node.cloneNode())
  }
  // 表單元素需要添加到主文檔中.
  form.style.display = 'none'
  document.body.appendChild(form)
  form.submit()

  // 表單提交後,就可以刪除這個表單,不影響下次的數據發送.
  document.body.removeChild(form)
}
// 使用方式
requestPost({
  url: 'http://localhost:9871/api/iframePost',
  data: {
    msg: 'helloIframePost'
  }
})

3. CORS

CORS全稱跨域資源共享(Cross-origin resource sharing)，該機制允許Web應用服務器進行跨域訪問控制，從而使跨域數據傳輸得以安全進行。瀏覽器支持在API容器中（例如XMLHttpRequest或Fetch）使用CORS，以降低跨域HTTP請求所帶來的風險。CORS需要客戶端和服務器同時支持，目前，所有瀏覽器都支持該機制（微企即採用這種方式）。

IE 10+ 提供了對規範的完整支持，但在較早版本（8 和 9）中，CORS機制是藉由 XDomainRequest 對象完成的。

CORS規範要求，對那些可能對服務器數據產生副作用的HTTP請求方法（特別是GET以外的HTTP請求，或者搭配某些 MIME 類型的POST請求），瀏覽器必須首先使用OPTIONS方法發起一個預檢請求（preflight request），從而獲知服務端是否允許該跨域請求。服務器確認允許之後，才發起實際的HTTP請求。在預檢請求的返回中，服務器端也可以通知客戶端，是否需要攜帶身份憑證（包括Cookies和HTTP認證相關數據）。

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。對於開發者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口，就可以跨源通信。

CORS標準允許在下列場景中使用跨域http請求：

• 由 XMLHttpRequest 或 Fetch 發起的跨域 HTTP 請求。
• Web 字體 (CSS 中通過 @font-face 使用跨域字體資源), 因此，網站就可以發佈 TrueType
• 字體資源，並只允許已授權網站進行跨站調用。
• WebGL 貼圖
• 使用 drawImage 將 Images/video 畫面繪製到 canvas
• 樣式表（使用 CSSOM）
• Scripts (未處理的異常)

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

使用下列方法之一：

GET
HEAD
POST 

Fetch 規範定義了對 CORS安全的首部字段集合，不得人爲設置該集合之外的其他首部字段。該集合爲：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type （需要注意額外的限制）

• Content-Type 的值僅限於下列三者之一：

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded
    只要同時滿足以下兩大條件，就屬於簡單請求。

凡是不同時滿足上面兩個條件，就屬於非簡單請求。
瀏覽器對這兩種請求的處理，是不一樣的。

1. 簡單請求

對於簡單請求，瀏覽器直接發出CORS請求。具體來說，就是在頭信息之中，增加一個Origin字段。
下面是一個例子，瀏覽器發現這次跨源AJAX請求是簡單請求，就自動在頭信息之中，添加一個Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中，Origin字段用來說明，本次請求來自哪個源（協議 + 域名 + 端口）。服務器根據這個值，決定是否同意這次請求。

如果Origin指定的源，不在許可範圍內，服務器會返回一個正常的HTTP迴應。瀏覽器發現，這個迴應的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文），就知道出錯了，從而拋出一個錯誤，被XMLHttpRequest的onerror回調函數捕獲。注意，這種錯誤無法通過狀態碼識別，因爲HTTP迴應的狀態碼有可能是200。

如果Origin指定的域名在許可範圍內，服務器返回的響應，會多出幾個頭信息字段。

Access-Control-Allow-Origin: http://api.bob.com //必填
Access-Control-Allow-Credentials: true //非必填
Access-Control-Expose-Headers: FooBar //非必填
Content-Type: text/html; charset=utf-8

上面的頭信息之中，有三個與CORS請求相關的字段，都以Access-Control-開頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要麼是請求時Origin字段的值，要麼是一個*，表示接受任意域名的請求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個布爾值，表示是否允許發送Cookie。默認情況下，Cookie不包括在CORS請求之中。設爲true，即表示服務器明確許可，Cookie可以包含在請求中，一起發給服務器。這個值也只能設爲true，如果服務器不要瀏覽器發送Cookie，刪除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers裏面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值。

withCredentials 屬性
上面說到，CORS請求默認不發送Cookie和HTTP認證信息。如果要把Cookie發到服務器，一方面要服務器同意，指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另一方面，開發者必須在AJAX請求中打開withCredentials屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則，即使服務器同意發送Cookie，瀏覽器也不會發送。或者，服務器要求設置Cookie，瀏覽器也不會處理。

但是，如果省略withCredentials設置，有的瀏覽器還是會一起發送Cookie。這時，可以顯式關閉withCredentials。

xhr.withCredentials = false;

需要注意的是，如果要發送Cookie，Access-Control-Allow-Origin就不能設爲星號，必須指定明確的、與請求網頁一致的域名。同時，Cookie依然遵循同源政策，只有用服務器域名設置的Cookie纔會上傳，其他域名的Cookie並不會上傳，且（跨源）原網頁代碼中的document.cookie也無法讀取服務器域名下的Cookie。

2. 非簡單請求(預檢請求)

2.1 預檢請求

非簡單請求是那種對服務器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱爲"預檢"請求（preflight）。

瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，否則就報錯。

下面是一段瀏覽器的JavaScript腳本。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代碼中，HTTP請求的方法是PUT，並且發送一個自定義頭信息X-Custom-Header。

瀏覽器發現，這是一個非簡單請求，就自動發出一個"預檢"請求，要求服務器確認可以這樣請求。下面是這個"預檢"請求的HTTP頭信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預檢"請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。頭信息裏面，關鍵字段是Origin，表示請求來自哪個源。

除了Origin字段，"預檢"請求的頭信息包括兩個特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。

（2）Access-Control-Request-Headers

該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發送的頭信息字段，上例是X-Custom-Header。

2.2 預檢請求的迴應

服務器收到"預檢"請求以後，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以後，確認允許跨源請求，就可以做出迴應。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP迴應中，關鍵的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以請求數據。該字段也可以設爲星號，表示同意任意跨源請求。

Access-Control-Allow-Origin: *

如果瀏覽器否定了"預檢"請求，會返回一個正常的HTTP迴應，但是沒有任何CORS相關的頭信息字段。這時，瀏覽器就會認定，服務器不同意預檢請求，因此觸發一個錯誤，被XMLHttpRequest對象的onerror回調函數捕獲。控制檯會打印出如下的報錯信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務器迴應的其他CORS相關字段如下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗號分隔的一個字符串，表明服務器支持的所有跨域請求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請求的那個方法。這是爲了避免多次"預檢"請求。

（2）Access-Control-Allow-Headers

如果瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串，表明服務器支持的所有頭信息字段，不限於瀏覽器在"預檢"中請求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預檢請求的有效期，單位爲秒。上面結果中，有效期是20天（1728000秒），即允許緩存該條迴應1728000秒（即20天），在此期間，不用發出另一條預檢請求。

2.3 瀏覽器的正常請求和迴應

一旦服務器通過了"預檢"請求，以後每次瀏覽器正常的CORS請求，就都跟簡單請求一樣，會有一個Origin頭信息字段。服務器的迴應，也都會有一個Access-Control-Allow-Origin頭信息字段。

下面是"預檢"請求之後，瀏覽器的正常CORS請求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動添加的。

下面是服務器正常的迴應。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中，Access-Control-Allow-Origin字段是每次迴應都必定包含的。

HTTP 響應首部字段

1. Access-Control-Allow-Origin

響應首部中可以攜帶一個 Access-Control-Allow-Origin 字段，其語法如下:

Access-Control-Allow-Origin: <origin> | *

其中，origin 參數的值指定了允許訪問該資源的外域URI。對於不需要攜帶身份憑證的請求，服務器可以指定該字段的值爲通配符，表示允許來自所有域的請求。

例如，下面的字段值將允許來自 http://mozilla.com 的請求：

Access-Control-Allow-Origin: http://mozilla.com

如果服務端指定了具體的域名而非“*”，那麼響應首部中的 Vary 字段的值必須包含 Origin。這將告訴客戶端：服務器對不同的源站返回不同的內容。

JSONP只支持GET請求，CORS支持所有類型的HTTP請求。JSONP的優勢在於支持老式瀏覽器，以及可以向不支持CORS的網站請求數據。

DOM級別跨域

document.domain

頁面可能會因某些限制而改變他的源。腳本可以將document.domain的值設置爲其當前域或其當前域的超級域。如果將其設置爲其當前域的超級域，則較短的域將用於後續源檢查。
假設http://store.company.com/dir/other.html文檔中的一個腳本執行以下語句：

document.domain = "company.com";

這條語句執行之後，頁面將會成功地通過對http://company.com/dir/page.html的同源檢測（假設http://company.com/dir/page.html將其document.domain設置爲company.com，以表明它希望允許這樣做 - 更多有關信息，請參閱 document.domain）。然而，company.com不能設置document.domain爲othercompany.com，因爲它不是 company.com 的超級域

canvas中getImageData,toDataURL跨域

通過添加cross-origin屬性即可解決getImageData，toDataURL跨域問題，具體參見canvas跨域