关键词:
什么是同源策略
如果你进行过前端开发,肯定或多或少会听说过、接触过所谓的同源策略。那么什么是同源策略呢?
要了解同源策略,首先得理解“源”。在这个语境下,源(origin)其实就是指的URL。所以,我们需要先理解URL的组成。看看这个URL:
http://www.jianshu.com/p/bc7b8d542dcd
我们可以将它拆解为下面几个部分协议、域名和路径:
http :// www.jianshu.com /p/bc7b8d542dcd
$protocol:// $hostname $pathname
而对于一个更为完整的URLhttp://www.jianshu.com:80/p/bc7b8d542dcd#sample?query=text
| protocol | host | port | pathname | hash | query string |
|---|---|---|---|---|---|
| http | www.jianshu.com | 80 | /p/bc7b8d542dcd | sample | query=text |
location.protocol |
location.host |
location.port |
location.pathname |
location.hash |
location.search |
而同源就是指URL中protocol协议、host域名、port端口这三个部分相同。
下表是各个URL相对于http://www.jianshu.com/p/bc7b8d542dcd的同源检测结果
| URL | 是否同源 | 非同源原因 |
|---|---|---|
http://www.jianshu.com/p/0b2acb50f321 |
是 | |
https://www.jianshu.com/p/0b2acb50f321 |
否 | 不同协议 |
http://www.jianshu.com:8080/p/0b2acb50f321 |
否 | 不同端口 |
http://www.jianshu2.com/p/0b2acb50f321 |
否 | 不同域名 |
为什么实际开发中会有跨域ajax请求
根据上文的内容我们可以知道,由于浏览器同源政策的影响,跨域的ajax请求是不被允许。那么在实际的开发、应用中,是否有跨域ajax的场景呢?
答案是肯定的。
那么有哪些场景会有跨域ajax的需求呢?
-
当你调用一个现有的API或公开API:想象一下,你接到了一个新需求,需要在当前开发的新闻详细页
http://www.yournews.com/p/123展示该新闻的相关推荐。令人欣慰的是,推荐的接口已经在你们公司的其他产品线里实现了,你只需要给该接口一个query即可:http://www.mynews.com/recommend?query=123。然而问题来了——你发起了一个跨域请求。 -
前后端分离的开发模式下,在本地进行接口联调时:也许在你的项目里,你想尝试前后端分离的开发模式。你在本地开发时,mock了一些假数据来帮助自己本地开发。而有一天,你希望在本地和后端同学进行联调。此时,后端rd的接口地址和你发生了跨域问题。这阻止了你们的联调,你只能继续使用你mock的假数据。ps:前端访问自己的html可能时自己的ip端口,而需要跨域去获取后端数据到本地来支持联调
跨域的一些方案
了解了上面的内容后,下面就来介绍一下在实践中常用的三种ajax跨域方案。这部分的实例代码可以在这里看到:cross-domain-demo
假设这样一个跨域场景:目前有两个项目
- myweb,这个就是我们目前开发的项目,是一个独立的站点。
- thirdparty,表示我们需要调用到的第三方(third-party)后端服务,myweb项目就是需要调用它的接口。
为了简化不必要的代码编写过程,示例使用express-generator来快速生成myweb与thirdparty这两个应用,其中thirdparty我们只需要用到后端接口部分。
npm install express-generator -g
express --view=pug myweb
express --view=pug thirdparty
在myweb中,index页面 http://127.0.0.1:8085需要跨域访问server中的http://127.0.0.1:3000/info/normal这个接口的信息。前端操作是:当点击button时就会去获取info,并alert出来。
跨域访问的接口http://127.0.0.1:3000/info/normal代码如下:
const express = require(‘express‘);
const router = express.Router();
const data =
name: ‘alienzhou‘,
desc: ‘a developer‘
;
router.get(‘/normal‘, (req, res, next) =>
res.json(data);
);
然后是http://127.0.0.1:8085index页面的部分的javascript
// http://127.0.0.1:8085 -- index.js
document.getElementById(‘btn-1‘).addEventListener(‘click‘, function()
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function()
if (xhr.readyState === 4 && xhr.status === 200)
alert(xhr.responseText);
xhr.open(‘get‘, ‘http://127.0.0.1:3000/info/normal‘);
xhr.send(null);
);
点击btn-1,在控制台中就会出现如下错误,这个跨域ajax请求受到了同源策略的限制。
[Error] Origin http://127.0.0.1:8085 is not allowed by Access-Control-Allow-Origin.
[Error] Failed to load resource: Origin http://127.0.0.1:8085 is not allowed by Access-Control-Allow-Origin. (normal, line 0)
[Error] XMLHttpRequest cannot load http://127.0.0.1:3000/info/normal due to access control checks.
下面来讲具体的三种解决方案:
使用代理(proxy)
这种方法本质上仍然遵循了同源政策,只是换了一个请求的思路,将请求移至了后端。
我们知道,同源政策是浏览器层面的限制。那么,如果我们不在前端跨域,而将“跨域”的任务交给后端服务,是否就规避了同源政策呢?是的。
这就是“代理”。这个代理可以将我们的请求转发,而后端并不会有所谓的同源政策限制。这个“代理”也可以理解为一个同域的后端服务。
由于我们的myweb是一个完整的web项目(包括前端部分和后端服务部分),因此,我们可以在myweb项目的后端添加一个proxy接口,专门处理跨域ajax请求的转发。
const express = require(‘express‘);
const router = express.Router();
const request = require(‘request‘);
router.get(‘*‘, (req, res, next) =>
let path = req.path.replace(/^/proxy/, ‘‘);
request.get(`http://127.0.0.1:3000$path`, (err, response) =>
res.json(JSON.parse(response.body));
);
);
module.exports = router;
这样,我们在前端访问/proxy/info/normal后,就会自动转发到http://127.0.0.1:3000/proxy/info/normal。
前端ajax部分如下:
document.getElementById(‘btn-1‘).addEventListener(‘click‘, function()
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function()
if (xhr.readyState === 4 && xhr.status === 200)
alert(xhr.responseText);
xhr.open(‘get‘, ‘/proxy/info/normal‘);
xhr.send(null);
);
该方法的优点很明显:不需要第三方服务http://127.0.0.1:3000/info/normal进行任何改造。
当然,该方法也有一些缺点:
- 首先,需要你有一个自己的后端服务能够接收并转发请求。如果你进行本地的纯静态页面开发,则需要一些浏览器插件或自动化工具中集成的本地服务器来实现。
- 此外,如果请求包含一些特殊的请求头(例如cookie等等),需要在转发时特殊处理。
下面两种方法则需要第三方服务端或多或少进行配合改造。
CORS
同源策略往往过于严格了,为了解决浏览器的这个问题,w3c提出了CORS(Cross-Origin Resource Sharing)标准。CORS通过相应的请求头与响应头来实现跨域资源访问。
如果我们打开控制台,可以在请求头中发现一个叫origin的头信息,它表明了请求的来源。这是浏览器自动添加的。
Referer: http://127.0.0.1:8085/
Origin: http://127.0.0.1:8085 <============ origin
Accept: */*
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/603.3.8 (KHTML, like Gecko) Version/10.1.2 Safari/603.3.8
Pragma: no-cache
与之对应的,服务器端的响应头中一个头信息为Access-Control-Allow-Origin,表明接受的跨域请求来源。显而易见,这两个信息如果一致,则这个请求就会被接受。
router.get(‘/cors‘, (req, res, next) =>
res.setHeader(‘Access-Control-Allow-Origin‘, ‘http://127.0.0.1:8085‘);
res.json(data);
);
如果将Access-Control-Allow-Origin的值设置为*,则会接受所有域的请求。这时的客户端不需要任何配置即可进行跨域访问。
然而,还有一个问题,CORS默认是不会发送cookie,但是如果我希望这次的请求也能够带上对方服务所需的cookie怎么办?那就需要再进行一定的改造。
与Access-Control-Allow-Origin相配套的,还有一个叫Access-Control-Allow-Credentials的响应头,如果设置为true则表明服务器允许该请求内包含cookie信息。
router.get(‘/cors‘, (req, res, next) =>
res.setHeader(‘Access-Control-Allow-Origin‘, ‘http://127.0.0.1:8085‘);
res.setHeader(‘Access-Control-Allow-Credentials‘, true);
res.json(data);
);
同时,在客户端,还需要在ajax请求中设置withCredentials属性为true。
document.getElementById(‘btn-1‘).addEventListener(‘click‘, function()
var xhr = new XMLHttpRequest();
xhr.withCredentials = true; // 设置withCredentials以便发送cookie
xhr.onreadystatechange = function()
if (xhr.readyState === 4 && xhr.status === 200)
alert(xhr.responseText);
xhr.open(‘get‘, ‘http://127.0.0.1:3000/info/cors‘); // 跨域请求
xhr.send(null);
);
可以看到,CORS方法有如下优点:
- 简单,几乎不需要什么开发量,只需要简单配置相应的请求与响应头信息即可。
- 支持各种类型的请求(
get,post,put等等)。
但缺点是:
- 需要对跨域的服务接口进行一定的改造。如果该服务因为某些原因无法改造,则无法实现。但这种改造还是相对较小的。
- 不兼容一些“古董”浏览器。
jsonp
jsonp是跨域领域中历史非常传统的一种方法。如果你还记得第一部分中我们提到过的内容,一些跨域请求是不会受到同源政策的限制的。其中,script标签就是一个。
在script标签中我们可以引用其他服务上的脚本,最常见的场景就是CDN。因此,有人想到,当有跨域请求到来时,如果我们可以把客户端需要的数据写到javascript脚本文件中并返回给客户端,那么客户端就可以拿到这些数据并使用了。具体是怎样一个流程呢?
- 首先,在myweb端,我们可以预先定义一个处理函数,叫它
callback; - 然后,在myweb端,我们动态创建一个script标签,并将该标签的
src属性指向跨域的接口,并将callback函数名作为请求的参数; - 跨域的thirdparty端接受到该请求后,返回一个javascript脚本文件,用
callback函数包裹住数据; - 这时候,前端收到响应数据会自动执行该脚本,这样便会自动执行预先定义的
callback函数。
将上面这个方法具体成下面的代码:
// myweb 部分
// 1. 创建回调函数callback
function myCallback(res)
alert(JSON.stringify(res, null , 2));
document.getElementById(‘btn-4‘).addEventListener(‘click‘, function()
// 2. 动态创建script标签,并设置src属性,注意参数cb=myCallback
var script = document.createElement(‘script‘);
script.src = ‘http://127.0.0.1:3000/info/jsonp?cb=myCallback‘;
document.getElementsByTagName(‘head‘)[0].appendChild(script);
);
// thirdparty
router.get(‘/jsonp‘, (req, res, next) =>
var str = JSON.stringify(data);
// 3. 创建script脚本内容,用`callback`函数包裹住数据
// 形式:callback(data)
var script = `$req.query.cb($str)`;
res.send(script);
);
// 4. 前端收到响应数据会自动执行该脚本
当然,如果你是用类似jquery这样的库,其中的$.ajax本身是封装了JSONP方式的:
$.ajax(
url: ‘http://127.0.0.1:3000/info/jsonp?cb=myCallback‘,
dataType: ‘jsonp‘, // 注意,此处dataType的值表示请求使用JSONP
jsonp: ‘cb‘, // 请求query中callback函数的键名
).done(function (res)
alert(JSON.stringify(res, null , 2));
);
JSONP作为一个久远的方法,其最大的优点就是兼容性非常好。
但是其缺点也很明显,由于是通过script标签发起的请求,因此只支持get请求。同时可以看到,较之CORS,其前后端改造开发量要稍高一些。如果跨域服务端不支持改造,那么也无法使用该方法。
上面三个方案的实例代码可以在这里(cross-domain-demo)clone到本地并运行。git clone [email protected]:alienzhou/cross-domain-demo.git
总结
同源策略作为浏览器的安全策略之一,在保证请求的安全性之外,也对我们的一些合理与期望的请求进行了控制。幸好,在面对跨域ajax请求时,我们还有一些方法可以应对它,包括使用代理、CORS和JSONP。在不同场景下合理运用各种方法,可以帮助我们有效解决ajax跨域问题。
作者:AlienZHOU
链接:https://www.jianshu.com/p/438183ddcea8
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
同源策略与cors(代码片段)
同源策略同源策略是浏览器保护用户安全上网的重要措施,协议、域名、端口号三者相同即为同源。不同源下,浏览器不允许js操作Cookie、LocalStorage、DOM等数据或页面元素,也不允许发送ajax请求,同源下则不受影响。下图是在Chr... 查看详情
同源策略与跨域问题(代码片段)
...方式详细说明 为什么会有跨域问题? 答:是由于浏览器的同源策略。什么是同源策略? 答:同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能。同源策略限制了从一个源加载的文件或脚... 查看详情
ajax跨域--同源策略&什么是跨域(代码片段)
...略同源策略(Same-OriginPolicy)最早由Netscape公司提出,是浏览器的一种安全策略。同源:协议、域名、端口号必须完全相同(说白了就是来自于同一个服务)。违背同源策略就是跨域ajax默认遵循同源策略2.同源策略演示2.1请求前... 查看详情
同源策略与跨域请求(代码片段)
...、同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一... 查看详情
同源策略与跨域请求(代码片段)
...、同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一... 查看详情
django中同源策略和跨域解决方案(代码片段)
...ge.html同源检测的示例: 1.2什么是同源策略?同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策... 查看详情
跨域请求剖析(代码片段)
同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种... 查看详情
浏览器的同源策略与跨域处理(代码片段)
一、 同源策略如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。下表给出了相对http://store.company.com/dir/page.html同源检测的示例:同源策略限制了从同一个源加载的文档或脚本如何与来自另一... 查看详情
跨域与防止表单重复提交(代码片段)
...象的跨域操作等其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景。什么是同源策略?同源策略/SOP(Sameoriginpolicy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能... 查看详情
前端通信跨域(代码片段)
...LHttpRequest的工作原理2、兼容性处理XMLHttpRequest只有在高级浏览器中才支持。在回答问题时,这个兼容性问题不要忽略。3、事件的出发条件4、事件的触发顺序XMLHttpRequest有很多触发事件,每个事件是怎么触发的。发送Ajax请求的五... 查看详情
django框架之跨域请求伪造(代码片段)
...Jsonp同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一... 查看详情
django框架之跨域请求伪造(代码片段)
...Jsonp同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一... 查看详情
同源与跨域jsonp(函数封装)cors(代码片段)
...限制:Ajax只能向自己的服务器发送请求。同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。比如现在有一个A网站、有一个B网站,A网站中的HTML文件只能向A网... 查看详情
前端跨域(代码片段)
...有一个不同就是跨域。那么为什么要用跨域?其实是因为浏览器出于安全考虑,我们都知道浏览器有同源策略。如果没有同源策略的情况下,A网站可以被任意来源的Ajax访问到内容,如果当前A网站还处于登录态,那么对方就可以... 查看详情
跨域请求(代码片段)
...一同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一... 查看详情
springboot如何优雅的解决ajax+自定义headers的跨域请求[转](代码片段)
1、什么是跨域由于浏览器同源策略(同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。),凡是发送请求url的协议、域名、端口三... 查看详情
ajax基础4--什么是跨域以及如何解决跨域(代码片段)
...⭐⭐)什么是同源什么是同源策略跨域(⭐⭐⭐)什么是跨域浏览器对跨域请求的拦截如何实现跨域数据请求`JSONP`什么是`JSONP`(⭐⭐⭐)`JSONP`的实现原理(⭐⭐⭐)自己实现一个简单的`JSONP``JSONP`的缺点`... 查看详情
同源策略&跨域(代码片段)
同源策略浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。这是浏览器的安全策略。“同源”指的是“三个相同”:协议相同:如都是http或https域名... 查看详情