一、跨域?
1、什么是跨域?
跨域,指的是从一个域下访问另一个域的资源。
注:只要协议、域名、端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作。
2、跨域的原因?
浏览器的同源策略会导致跨域,这里同源策略又分为以下两种;
- DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的;
- XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求;
3、为什么需要限制跨域?
安全,安全,安全。
cookie安全;
假如你登录了银行网站后,又访问了某恶意网站,它便可以拿到你银行登录的一系列cookie,然后对银行发起各种恶意操作,细思极恐;DOM安全;
假如有个恶意网站嵌套了一个指向某银行网站的iframe,并且与窗口等宽高,那么你在iframe里面的所有操作节点,外层恶意网站都能够获取到,从而发起攻击;资源安全。
假如你项目的AJAX接口,项目资源全都暴露在外,那么一个普通的本地HTML页面都可以随意请求你的项目资源,这样当然是极度不安全的;
注:<script>、<img>、<iframe>等标签则不受跨域限制。
二、解决方案
1、JSONP
JSONP(JSON with Padding),是JSON的一种使用模式。服务端返回的不是JSON,而是一段任意可执行的JavaScript代码。是利用script标签的src属性,将返回的内容采用JavaScript直译器执行,从而解决跨域请求资源的问题。
假设接口http://api.cjt.com/users返回[{"name": "曹建涛", "age": 18}],直接跨域访问当然是不行的那么,我们修改server端,返回的格式为:
callback(
[{
name: "曹建涛",
age: 18
}]
)
然后在client端编写callback方法,并添加script标签,src指向http://api.cjt.com/users,即可解决;
实际开发中接口请求回调的处理方法都是独立的,因而是请求后在当前页面动态地添加script节点和回调方法,请求处理完成再行销毁掉保证一致性。
var url = "http://api.cjt.com/users?callback=handle";
var obj = $('<script><\/script>');
obj.attr("src",url);
// 添加handle的具体实现
$("body").append(obj);
伟大的jQuery已经为我们进行了完美的封装,具体使用请查阅jQuery ajax。
由于实现原理的限制,JSONP只支持GET请求。
2、CORS
CORS(Cross-Origin Resource Sharing),直译便是跨域资源共享,也是W3C正式推荐的标准。
跨域请求会出现著名的error提示:No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'xxx' is therefore not allowed access.也就是说服务端response header没有对应的Access-Controll-Allow-Origin,因而xxx被拒绝访问。
修改server端,添加对应的响应头部:
response.setHeader("Access-Control-Allow-Origin", "*");
*代表允许所有来源,也可指定域名或IP。类似还有Access-Control-Allow-Methods、Access-Control-Allow-Headers,具体作用一看便知。然后便可直接正常使用ajax请求,无异。
注意复杂请求的preflight预检请求,预检请求必须通过才能发起后续真正的接口请求。
3、服务器代理
跨域限制是对于浏览器而言的,服务器不存在任何跨域问题。换句话说,可以手动实现一个server端用作代理,后台获取到所需域的资源,然后再返回给客户端。
例如Java中的servlet,采用HttpURLConnection获取到它域的资源,然后返回给client调用方即可。
