mengtuifrontend / Blog

芦叶满汀洲,寒沙带浅流。二十年重过南楼。柳下系船犹未稳,能几日,又中秋。 黄鹤断矶头,故人今在否?旧江山浑是新愁。欲买桂花同载酒,终不似,少年游。
18 stars 5 forks source link

前端跨域 #13

Open shenxuxiang opened 5 years ago

shenxuxiang commented 5 years ago

前端跨域

前端跨域有多少种情况

Cross-Origin

我们先看看浏览器的兼容性,如下图: Cross-Origin兼容性

注意: 所以要使用Cross-Origin进行跨域的话,必须注意客户端和服务器必须同时支持。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request),我们看看如何区分

1.请求方法是以下三种方法之一:

2.HTTP的头信息不超出以下几种字段:

简单请求(simple request)

  // 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求
  Access-Control-Allow-Origin: http://api.bob.com
  // 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie,如果需要发送cookie那么就设置为true,否则不会含有这个字段
  // 如果要发送cookie,那么还需要设置 var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
  Access-Control-Allow-Credentials: true
  // 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:
  // Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma
  // 如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定
  // getResponseHeader('FooBar')可以返回FooBar字段的值。
  Access-Control-Expose-Headers: FooBar

需要注意的是,如果要发送 CookieAccess-Control-Allow-Origin就不能设为``,必须指定明确的、与请求网页的域名一致。*

非简单请求(not-so-simple request)

* 服务器收到预检请求以后,检查了Origin、Request-Method和Request-Headers字段以后,确认允许跨源请求,就可以做出回应。如果浏览器否定了"预检"请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获

```js
  // 该字段必需, 字段也可以设为星号,表示同意任意跨源请求
  Access-Control-Allow-Origin: *
  // 该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。
  // 注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。
  Access-Control-Allow-Methods: GET, POST, PUT
  // 如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。
  // 它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。
  Access-Control-Allow-Headers: X-Custom-Header
  // 该字段可选
  // 该字段与简单请求时的含义相同
  Access-Control-Allow-Credentials: true
  // 该字段可选,用来指定本次预检请求的有效期,单位为秒。
  // 即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。
  Access-Control-Max-Age: 1728000

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个 Access-Control-Allow-Origin 头信息字段。

我们以 koa为列,在demo中这么设置就可以了

  // 下面是对cors进行的设置,在返回的headers中添加如下字段,也可以使用 koa2-cors 
  app.use(async (ctx, next) => {
    // 允许来自所有域名请求,请求携带了cookie就不能设置为 * 
    ctx.set("Access-Control-Allow-Origin", "http://10.105.16.162:3000");
    // 设置所允许的HTTP请求方法
    ctx.set("Access-Control-Allow-Methods", "GET,POST");
    // 它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段.
    ctx.set("Access-Control-Allow-Headers", "x-requested-with,accept,origin,content-type");
    // 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。
    // 当设置成允许请求携带cookie时,需要保证"Access-Control-Allow-Origin"是服务器有的域名,而不能是"*";
    ctx.set("Access-Control-Allow-Credentials", true);
    await next();
  });  

jonsp 跨域

jonsp跨域的原理是通过动态创建script的标签的形式来实现跨域的,因为script不受同源策略的影响。但是jsonp只能接受get方法。 看看下面的代码是如何封装的,并做了超时设置。

const defaultOptions = {
    timeout: 15000,
    uid: 0,
    perfix: '_jsp',
    name: 'callBack',
}
const jsp = (url, params, options = {}) => {
  let timer = null;
  const options = Object.assign({}, defaultOptions, options);
  const callBackName = `${options.perfix}_${options.name}_${options.uid++}`;
  const paramsKeys = Object.entries(params);

  url += `?${callback}=${callBackName}`;
  url = paramsKeys.reduce((initUrl, [k, v]) => {
    return `${initUrl}&${k}=${v}`;
  }, url);

  const body = document.getElementByTagName(body)[0];
  const script = document.createElement('script');
  script.src = url;
  body.appendChild(script);

  const clean = () => {
    if (timer) {
      clearInterval(timer);
      timer = null;
      body.removeChild(script);
      window[callBackName] = null;
    }
  };
  return new Promise((resolve, reject) => {
    window[callBackName] = function(data) {
      clear();
      return resolve(data);
    };
    timer = setTimeout(() => {
      clear();
      return reject('请求超时了');
    }, options.time);
  });
}

postMessage (这是HTML5提供的方法,IE8+才支持) 可以实现两个窗口之间的通信,是不是同源不重要

它可用于解决以下方面的问题:

使用方法:postMessage(data, origin) 方法接受两个参数 data html5规范支持任意基本类型或可复制的对象,但部分浏览器只支持字符串,所以传参时最好用 JSON.stringify()序列化。IE10才开始支持对象形式。 origin 协议+主机+端口号,也可以设置为 *,表示可以传递给任意窗口,如果要指定和当前窗口同源的话设置为 /

  // 发送窗口代码:
  const ifr = document.createElement('iframe');
  ifr.src = 'http://localhost:3001';
  ifr.display = 'none';
  document.body.append(ifr);

  ifr.onload  = function() {
    const doc = ifr.contentWindow;
    // 目标源 可以限定具体的 协议 + 域名 + 端口 或者是 *
    const targetOrigin = 'http://localhost:3001';
    // 发送消息 doc可以是window.open() 也可以是嵌套的iframe
    // 发送的消息可以是 string 或者 object(IE10才支持)
    doc.postMessage('hello world', targetOrigin);
  }

  // 接收窗口代码:
  window.addEventListener('message', (e)=> { // 必须是window不能是document监听
    // 数据
    const data = e.data;
    // 消息是从哪个源发送来的
    const origin = e.origin;
    // 发送消息窗口 
    const source = e.source;
    // 通过source回传消息 同样在发送消息的窗口也需要监听
    source.postMessage('hi shenxuxiang', 'http://localhost:3000');
  },false)

document.domain

此方案仅限主域相同,子域不同的跨域应用场景。实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。 之后就可以共享window下的属性。

  // www.a.com/a.html页面中的代码

  document.domain = 'a.com';
  const ifr = document.createElement('iframe');
  ifr.src = 'http://www.script.a.com/b.html';
  ifr.display = 'none';
  document.body.append(ifr);
  ifr.onload  = function() {
    const doc = ifr.contentWindow;
    console.log(doc.name); // shenxuxiang
  }

  // www.script.a.com/b.html页面中的代码
  document.domain = 'a.com';
  window.name = 'shenxuxiang';

上面一共介绍了4种前端跨域的方法,jsonpcors 可以和后台进行跨域,而 postMessagedomain 适合页面间的通讯。页面间的跨域还有可以使用 window.name | location.hash。如果想了解的可以点击这里