一篇文章理清跨域解决方案

只要你做过前端项目,你就一定听过跨域。如果跨域都有没听说过的,还说自己是做前端的,那你肯定还停留在十年前的项目吧,JSP,PHP,ASP后端连着前端页面一手梭哈,那个时候到是真的不存在说跨域的问题,毕竟都是在后端,哪有什么跨域。虽然都听说过跨域,那你真的对跨域了解么,你又知道解决跨域常见的几种方案以及背后的原理么,接下来就让我们来一起看一看。

什么是跨域?

为什么说后端是不存在跨域的呢,因为跨域产生的原因是出于浏览器同源策略的限制,如果你想对同源策略有更加深的了解,可以点击下面的链接看一下https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy
不想看或没完全看懂也不要紧,你只要知道,浏览器的同源策略导致了当你的URL中协议+主机+端口号有任何不同的时候,你都无法直接发送AJAX请求数据。当你这样做的时候,浏览器就会给你报下面的错误:

XMLHttpRequest cannot load http://localhost:8080/spring01/user/test. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:36813' is therefore not allowed access. The response had HTTP status code 405.

你说,那这个问题好解决,我直接把浏览器的同源策略给关闭不就行了么,有这样想法的人,直接”拉出去枪毙吧“,别人浏览器厂商辛辛苦苦折腾出来的这个东西保护自己的,你给它关了,那不搞事情么。比如你将谷歌浏览器的给关掉,就会给你下面的提示:

您使用的是不受支持的命令行标记: -disable web -security.稳定性和安全性会有所下降。

如果,你说我只是想把它先关掉,这样就能在自己电脑上做项目测试自己做的项目,等上线后,跨域的问题再交给后端来做不就好了么。那你如果非要这样做,也不是不行,只是你要承担一定的不安全因素,那还不如使用下面的一些方法来解决。

还有一些人会问,既然这样会有跨域,那我将我的web服务和数据服务器放在一起不就好了,在一个服务器上开一个端口,将静态html页面和后台api接口放在一起,不也就没有跨域的问题了么,其实,如果你做的是一个很小很小的项目的话,可以这样做。但是我相信现在的公司都不会这样做,都是会将web服务器和数据服务器分开的,甚至,有的还会分出来图片服务器和音视频服务器等,这样做的好处当然是很明显的,大大降低了服务器的压力,而且不同的服务器还能根据自身的特点进行不同的部署,比如一些html,js,图片等静态资源,就可以通过cdn部署到全国各地,根据用户的位置,请求最近的服务器,分散压力的同时速度上也会有一定的提升。

那既然,同源策略产生的跨域问题是无法直接给消除的,我们就看一看目前常规的一些解决方案吧!

jsonp

首先我们就要说一说jsonp的方式了,相信也有很多人用过,前面我们说了,同源策略导致无法直接发送AJAX请求数据,但是,我们知道网页里script标签内部请求资源是不受跨域的影响的(你没有说在用script标签请求js文件的时候遇到什么跨域的问题的吧,只要你路径对,就可以请求的到)。所以,解决方案就来了,在我们需要请求数据的时候,利用js动态的创建一个script标签,里面的src属性设置为你要请求的接口地址,同时传过去一个callback函数,后台将数据拼接到callback再传回浏览器,浏览器会执行返回过来的callback函数就能获取到数据了,下面是一个用原生js封装好的jsonp请求:

/*
@function 发送jsonp请求
@param url {String} 接口地址
@para params {Object} 传入的参数,会拼接到url上
@para success {Function} 成功获取数据后的回调函数
*/
export function jsonp({
    url,
    params = {},
    success
}) {
    // 根据时间戳生成一个callback名
    let callbackName = 'jsonp_callback_' + Date.now() + Math.random().toString().substr(2, 5);
    let script = document.createElement('script');
    let baseUrl = `${url}?callback=${callbackName}`;
    // 取出params对象属性并得到完整url
    for (let item in params) {
        baseUrl += `&${item}=${params[item]}`;
    }
    // jsonp核心,通过script的跨域特性发出请求
    script.src = baseUrl;
    // 把创建的script挂载到DOM
    document.body.appendChild(script);

    // 给window添加属性,用于获取jsonp结果
    window[callbackName] = (res) => {
        // 执行success回调
        success(res);
        // 删除window下属性
        delete window[callbackName];
        // 得到结果后删除创建的script
        document.body.removeChild(script);
    }
}

当然像jquery和vue里面也有自己封装好的jsonp请求的函数,这里就不再说了。毕竟现在使用jsonp方式比较少了,毕竟jsonp的方式只能实现get请求,而get请求,需要将参数拼接到url上,会有一定的风险,而且jsonp请求需要后台的支持,需要后台写的是jsonp接口,如果后台写的post接口,这种方式你就使用不成了。不过有些时候,还是要用到这个的,比如前一段我做的一个疫情可视化项目,数据来源就是腾讯提供的,它的接口就是jsonp格式的,你总没办法让腾讯为了你,去把接口给改了吧,这时候就只能乖乖的去使用jsonp方式请求了。

https://github.com/PigMerit/virusMap (这是我做的疫情图项目地址,里面有项目的效果展示,大家可以去点个赞哦)

iframe方式

这个方式听说是比较麻烦的,而且我也没使用过,就说一说大概的原理吧。比如页面A请求数据是跨域的,那么我就使用iframe标签(display设置为none)在页面里引用一个不跨域的页面B,用页面B去获取数据,然后再利用浏览器多页面之间数据的传递方式,将页面B请求到的数据传给页面A,问题也就解决了。如果你需要对这种方式有更多的了解,可以参考 https://segmentfault.com/a/1190000013536703

(好像不能冠名一篇文章理清了啊!)

CORS

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing) CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能, 所以通过此方案解决问题,就需要和负责后端的人沟通一下了。

这种方式比较简单,后端只要设置一下浏览器响应的头信息就好了,以node为例:

app.all('*',function (req, res, next) {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Content-Length,         Authorization, Accept, X-Requested-With , yourHeaderFeild');
  res.header('Access-Control-Allow-Methods', 'PUT, POST, GET, DELETE, OPTIONS');//设置方法
   res.header('Access-Control-Allow-Credentials', false);
  if (req.method == 'OPTIONS') {
    res.send(200); // 意思是,在正常的请求之前,会发送一个验证,是否可以请求。
  }
  else {
    next();
  }
});

其中,主要设置的是“Access-Control-Allow-Origin”,它的值要么是允许发送请求的地址,要么是一个*( 表示接受任意域名的请求 )。

这种添加几行代码就解决的方式看起来还是很简单的,但是,如果你此时无法与后端人沟通又急着跨域看自己做的项目的成果的时候,就不是很适用了。而且设置“Access-Control-Allow-Origin”值为“*”又会和“Access-Control-Allow-Credentials”(设置是否允许携带cookie值)值为’true‘冲突,这里就不细谈这个问题了。

接下来你就要看到一种只用前端就能解决的方式了

proxy

proxy方式的本质原理是一种反向代理。我们已经知道,在后端请求数据是没有跨域的(要不然也不会有那么多爬虫程序了),那么,我们前端如果想向某个跨域的地址请求数据的时候,可以先在自己同源的后端请求到这个数据,然后再从后端拿这个数据就好了。(这个原理和iframe有点像,都是通过一个中间站中转一下,只是一个通过前端页面转,一个通过后端转)。

proxy就是已经将上面说的原理给实现了,你只要配置一下就好了。

每个框架都有自己的proxy配置方式,以vue举例,只需在vue.config.js配置以下信息即可:

devServer: {
    proxy: {  
    '/api': {  //如果你的地址 以/api 开头他就会请求到http://122.51.238.153
        target: 'http:/ /122.51.238.153',
        changeOrigin: true,
        //WS:true,  //如果要代理 websockets,配置这个参数
        //secure: false,  // 如果是https接口,需要配置这个参数
        pathRewrite: {
            '^/api':''    //请求的时候/api就会替换成'’
        }
}

比如,此时,你用axios向"/api/getall"发送请求,就能得到"http://122.51.238.153/getall"接口的数据了。

当然,这个proxy的配置是在你的开发环境上做的,在你开发项目的时候都能够通过这个方式解决跨域问题,测试自己的项目,等到项目上线的时候,就交给后端人员配置一下服务器,做个nginx反向代理就妥妥的了。

看到这里,跨域对你来说,已经不再是问题了吧,如果还有问题,可以想办法联系我哦。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350