我们在做前后端数据交互或是做前后端分离项目时,经常会碰到请求跨域,什么是跨域请求呢,这要先从同源策略说起,最初是由Netscape 公司将此策略引入浏览器。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源,也是浏览器对javascript施加的安全限制,所以类似ab.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的,因为域名不同。同源策略限制了脚本(js)跨网站发请求,可发请求但是拿不到响应。一个源要求:
协议(http/https)+IP(或域名)+端口都一致,就是同一个源。
但也有些不受同源策略限制,主要有 a标签、img 标签,重定向、form表单的提交,script、link,iframe标签等不受同源策略的限制,可以引用其他站点内容。
跨域要解决不同源之间发起请求、请求数据、发送数据、通信等交互问题的问题。
解决方案:
- 修改浏览器的设置,解除同源策略限制。
我觉得此种方式只适合开发临时调试等。例如chrome浏览器的跨域设置。在属性页面中的目标输入框里加上 --disable-web-security 。此种方式限于版本号49之前,之后的步骤会多一些,版本号49之前设置如图:
chrome浏览器跨域设置
2.ajax 的jsonp方式处理跨域
JSONP 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写。JSONP实现跨域请求的原理简单的说,就是动态创建script标签,然后利用script的src不受同源策略约束来跨域获取数据。但是使用JSONP只支持GET,不支持POST请求。此种方式在开放API中起到非常重要的作用。
使用jQuery封装的$.ajax中有一个dataType属性,如果将该属性设置成dataType:"jsonp",就能实现JSONP跨域了。
$.ajax({
async : true,
url : "https://api.a.com/v1/book/search",
type : "GET",
dataType : "jsonp", // 返回的数据类型,设置为JSONP方式
jsonp : 'callback', //指定一个查询参数名称来覆盖默认的 jsonp 回调参数名 callback
jsonpCallback: 'handleResponse', //设置回调函数名
data : {
q : "javascript",
count : 1
},
success: function(response, status, xhr){
console.log('状态为:' + status + ',状态是:' + xhr.statusText);
console.log(response);
}
});
3.使用反向代理功能解决跨域问题
使用nginx做请求转发,配置:
修改:/usr/local/etc/nginx/vhosts/xx.com.conf
server {
listen 80;
server_name xx.com 12.12.12.12;
location / {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' '*';
proxy_pass http://localhost:8088;
# proxy_redirect off ;
index index.php index.html index.htm;
}
}
4.使用nodejs中间件代理解决跨域问题
var express = require('express');
var proxy = require('http-proxy-middleware');var app = express();app.use('/', proxy({ target: 'http://www.a.com', changeOrigin: true }));app.listen(3000);5.使用CORS方式解决跨域问题
Cross-Origin Resource Sharing(CORS)跨域资源共享是一份浏览器技术的规范,是一个W3C标准,提供了 Web 服务从不同域传来沙盒脚本的方法,以避开浏览器的同源策略。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。一些老旧浏览器如IE6,IE7,Opera min 不支持CORS.服务器端对于CORS的支持,是通过设置Access-Control-Allow-Origin来进行的。
如果使用springboot 框架,可配置
@Configuration
public class MyWebAppConfigurer extends WebMvcConfigurerAdapter{
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
如果是springcloud 框架,可配置:
CORS 并不是为了解决服务端安全问题,而是为了解决如何跨域调用资源。至于如何设计出 安全的开放API,却是另一个问题了,这里提下一些思路:比如请求时间有效性 ,token验证ip验证和来源验证等。
