跨域的原因和解决跨域的方法.docxVIP

1/4 跨域的原因和解决跨域的方法 1.跨域问题的由来 何谓同源:URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示它们同源。浏览器的同源策略，从一个域上加载的脚本不允许访问另外一个域的文档属性，是浏览器上为安全性考虑实施的非常重要的安全策略。举个例子：比如一个恶意网站的页面通过iframe嵌入了银行的登录页面（二者不同源），如果没有同源限制，恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。 2.跨域的影响范围 在浏览器中，script、img、iframe、link等标签都可以加载跨域资源，而不受同源限制，但浏览器会限制脚本中发起的跨域请求。比如，使用XMLHttpRequest对象和Fetch发起HTTP请求就必须遵守同源策略。 Web应用程序通过XMLHttpRequest对象或Fetch能且只能向同域名的资源发起HTTP请求，而不能向任何其它域名发起请求。 不允许跨域访问并非是浏览器限制了发起跨站请求，而是跨站请求可以正常发起，但是返回结果被浏览器拦截了。 最好的例子是CSRF跨站攻击原理，请求是发送到了后端服务器,无论是否设置允许跨域。 有些浏览器不允许从HTTPS跨域访问HTTP，比如Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求,这是特例。 2/4 此外父页面js操作不同域的iframe属性时，也会受到跨域限制。 3.跨域方法 克服跨域限制的方法有(实践中后两种最常用，所以重点介绍):(1)通过jsonp跨域(2)通过修改document.domain来跨子域(3)使用来进行跨域(4)使用HTML5中新引进的window.postMessage方法来跨域传送数据。(5)使用代理服务器,使用代理方式跨域更加直接，因为同源限制是浏览器实现的。如果请求不是从浏览器发起的，就不存在跨域问题了。使用这个方法跨域步骤如下：1.把访问其它域的请求替换为本域的请求2.服务器端的动态脚本负责将本域的请求转发成实际的请求为了通过Ajax从http://localhost:8080访问http://localhost:8081/api，可以将请求发往http://localhost:8080/api。然后利用Apache Web/Nginx服务器的Reverse Proxy功能做如下配置：ProxyPass/api http://localhost:8081/api CORS全称是跨域资源共享（Cross-origin resource sharing),CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能(IE浏览器不能低于IE10)，因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。 3/4 浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。（1)请求方法是以下三种方法之一：HEAD GET POST（2）HTTP的头信息不超出以下几种字段：Accept Accept-Language Content-Language Last-Event-IDContent-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain 凡是不同时满足上面两个条件，就属于非简单请求。 对于简单请求，浏览器在发出CORS请求时会在头信息之中增加一个Origin字段。服务器的返回会多出3个字段：Access-Control-Allow-Origin(必须)允许跨域的源Access-Control-Allow-Credentials(可选)表示是否允许发送Cookie。默认情况下，Cookie可以包含在请求中，一起发给服务器如果服务器不需要浏览器发送Cookie，删除该字段即可。Access-Control-Expose-Headers(可选)CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。如指定Access-Control-Expose-Headers:FooBar，则可通过getResponseHeader(FooBar)获取FooBar字段的值。 4/4 非简单请求是那种对服务器有特殊要求的请求，比如请求方