Open shenxuxiang opened 5 years ago
Cross-Origin
jsonp
postMessage
document.domain
我们先看看浏览器的兼容性,如下图:
注意: 所以要使用Cross-Origin进行跨域的话,必须注意客户端和服务器必须同时支持。
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request),我们看看如何区分
1.请求方法是以下三种方法之一:
HEAD
GET
POST
2.HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type
application/x-www-form-urlencoded
multipart/form-data、text/plain
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含 Access-Control-Allow-Origin 字段(详见下文),就知道出错了,从而抛出一个错误,被 XMLHttpRequest 的 onerror 回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。(如果我们使用的fetch,那么fetch会自动触发一个错误,那么这个时候我们可以通过promise可捕获这个错误信息)。
Access-Control-Allow-Origin
XMLHttpRequest
onerror
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段
// 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求 Access-Control-Allow-Origin: http://api.bob.com // 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie,如果需要发送cookie那么就设置为true,否则不会含有这个字段 // 如果要发送cookie,那么还需要设置 var xhr = new XMLHttpRequest(); xhr.withCredentials = true; Access-Control-Allow-Credentials: true // 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段: // Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma // 如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定 // getResponseHeader('FooBar')可以返回FooBar字段的值。 Access-Control-Expose-Headers: FooBar
需要注意的是,如果要发送 Cookie,Access-Control-Allow-Origin就不能设为``,必须指定明确的、与请求网页的域名一致。*
Cookie
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 预检请求(preflight)。
预检请求 用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,"预检"请求的头信息包括两个特殊字段
// 该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。 Access-Control-Request-Method: PUT // 该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段 Access-Control-Request-Headers:X-Custom-Header
* 服务器收到预检请求以后,检查了Origin、Request-Method和Request-Headers字段以后,确认允许跨源请求,就可以做出回应。如果浏览器否定了"预检"请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获 ```js // 该字段必需, 字段也可以设为星号,表示同意任意跨源请求 Access-Control-Allow-Origin: * // 该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。 // 注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。 Access-Control-Allow-Methods: GET, POST, PUT // 如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。 // 它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。 Access-Control-Allow-Headers: X-Custom-Header // 该字段可选 // 该字段与简单请求时的含义相同 Access-Control-Allow-Credentials: true // 该字段可选,用来指定本次预检请求的有效期,单位为秒。 // 即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。 Access-Control-Max-Age: 1728000
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个 Access-Control-Allow-Origin 头信息字段。
我们以 koa为列,在demo中这么设置就可以了
koa
// 下面是对cors进行的设置,在返回的headers中添加如下字段,也可以使用 koa2-cors app.use(async (ctx, next) => { // 允许来自所有域名请求,请求携带了cookie就不能设置为 * ctx.set("Access-Control-Allow-Origin", "http://10.105.16.162:3000"); // 设置所允许的HTTP请求方法 ctx.set("Access-Control-Allow-Methods", "GET,POST"); // 它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段. ctx.set("Access-Control-Allow-Headers", "x-requested-with,accept,origin,content-type"); // 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。 // 当设置成允许请求携带cookie时,需要保证"Access-Control-Allow-Origin"是服务器有的域名,而不能是"*"; ctx.set("Access-Control-Allow-Credentials", true); await next(); });
jonsp跨域的原理是通过动态创建script的标签的形式来实现跨域的,因为script不受同源策略的影响。但是jsonp只能接受get方法。 看看下面的代码是如何封装的,并做了超时设置。
const defaultOptions = { timeout: 15000, uid: 0, perfix: '_jsp', name: 'callBack', } const jsp = (url, params, options = {}) => { let timer = null; const options = Object.assign({}, defaultOptions, options); const callBackName = `${options.perfix}_${options.name}_${options.uid++}`; const paramsKeys = Object.entries(params); url += `?${callback}=${callBackName}`; url = paramsKeys.reduce((initUrl, [k, v]) => { return `${initUrl}&${k}=${v}`; }, url); const body = document.getElementByTagName(body)[0]; const script = document.createElement('script'); script.src = url; body.appendChild(script); const clean = () => { if (timer) { clearInterval(timer); timer = null; body.removeChild(script); window[callBackName] = null; } }; return new Promise((resolve, reject) => { window[callBackName] = function(data) { clear(); return resolve(data); }; timer = setTimeout(() => { clear(); return reject('请求超时了'); }, options.time); }); }
它可用于解决以下方面的问题:
使用方法:postMessage(data, origin) 方法接受两个参数 data html5规范支持任意基本类型或可复制的对象,但部分浏览器只支持字符串,所以传参时最好用 JSON.stringify()序列化。IE10才开始支持对象形式。 origin 协议+主机+端口号,也可以设置为 *,表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为 /。
postMessage(data, origin)
data
JSON.stringify()
origin
*
/
// 发送窗口代码: const ifr = document.createElement('iframe'); ifr.src = 'http://localhost:3001'; ifr.display = 'none'; document.body.append(ifr); ifr.onload = function() { const doc = ifr.contentWindow; // 目标源 可以限定具体的 协议 + 域名 + 端口 或者是 * const targetOrigin = 'http://localhost:3001'; // 发送消息 doc可以是window.open() 也可以是嵌套的iframe // 发送的消息可以是 string 或者 object(IE10才支持) doc.postMessage('hello world', targetOrigin); } // 接收窗口代码: window.addEventListener('message', (e)=> { // 必须是window不能是document监听 // 数据 const data = e.data; // 消息是从哪个源发送来的 const origin = e.origin; // 发送消息窗口 const source = e.source; // 通过source回传消息 同样在发送消息的窗口也需要监听 source.postMessage('hi shenxuxiang', 'http://localhost:3000'); },false)
此方案仅限主域相同,子域不同的跨域应用场景。实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。 之后就可以共享window下的属性。
// www.a.com/a.html页面中的代码 document.domain = 'a.com'; const ifr = document.createElement('iframe'); ifr.src = 'http://www.script.a.com/b.html'; ifr.display = 'none'; document.body.append(ifr); ifr.onload = function() { const doc = ifr.contentWindow; console.log(doc.name); // shenxuxiang } // www.script.a.com/b.html页面中的代码 document.domain = 'a.com'; window.name = 'shenxuxiang';
上面一共介绍了4种前端跨域的方法,jsonp 和 cors 可以和后台进行跨域,而 postMessage 和 domain 适合页面间的通讯。页面间的跨域还有可以使用 window.name | location.hash。如果想了解的可以点击这里
cors
domain
window.name | location.hash
前端跨域
前端跨域有多少种情况
Cross-Origin跨域jsonp跨域postMessagedocument.domain一般情况下我们使用比较多的就是Cross-Origin和jsonp这两种方式。postMessage和document.domain使用的不是很多。下面我会介绍他们如何使用和使用的场景还有一些不常见的问题。Cross-Origin
我们先看看浏览器的兼容性,如下图:
注意: 所以要使用Cross-Origin进行跨域的话,必须注意客户端和服务器必须同时支持。
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request),我们看看如何区分
1.请求方法是以下三种方法之一:
HEADGETPOST2.HTTP的头信息不超出以下几种字段:
AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain简单请求(simple request)
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含
Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。(如果我们使用的fetch,那么fetch会自动触发一个错误,那么这个时候我们可以通过promise可捕获这个错误信息)。如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段
需要注意的是,如果要发送
Cookie,Access-Control-Allow-Origin就不能设为``,必须指定明确的、与请求网页的域名一致。*非简单请求(not-so-simple request)
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 预检请求(preflight)。
预检请求 用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,"预检"请求的头信息包括两个特殊字段
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个
Access-Control-Allow-Origin头信息字段。我们以
koa为列,在demo中这么设置就可以了jonsp 跨域
jonsp跨域的原理是通过动态创建script的标签的形式来实现跨域的,因为script不受同源策略的影响。但是jsonp只能接受get方法。 看看下面的代码是如何封装的,并做了超时设置。
postMessage (这是HTML5提供的方法,IE8+才支持) 可以实现两个窗口之间的通信,是不是同源不重要
它可用于解决以下方面的问题:
使用方法:
postMessage(data, origin)方法接受两个参数datahtml5规范支持任意基本类型或可复制的对象,但部分浏览器只支持字符串,所以传参时最好用JSON.stringify()序列化。IE10才开始支持对象形式。origin协议+主机+端口号,也可以设置为*,表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为/。document.domain
此方案仅限主域相同,子域不同的跨域应用场景。实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。 之后就可以共享window下的属性。
上面一共介绍了4种前端跨域的方法,
jsonp和cors可以和后台进行跨域,而postMessage和domain适合页面间的通讯。页面间的跨域还有可以使用window.name | location.hash。如果想了解的可以点击这里