跨域原因和解决方法

  • Post author:
  • Post category:其他



1.跨域问题的由来


何谓同源:

URL由协议、域名、端口和路径组成

,如果两个

URL

的协议、域名和端口相同,则表示它们同源。浏览器的同源策略,从一个域上加载的脚本不允许访问另外一个域的文档属性 ,是浏览器上为安全性考虑实施的非常重要的安全策略。

举个例子:比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。


2.跨域的影响范围

在浏览器中,script、img、iframe、link等标签都可以加载跨域资源,而不受同源限制,

但浏览器会限制脚本中发起的跨域请求。比如,使用 XMLHttpRequest 对象和Fetch发起 HTTP 请求就必须遵守同源策略。

Web 应用程序通过 XMLHttpRequest 对象或Fetch能且只能向同域名的资源发起 HTTP 请求,而不能向任何其它域名发起请求。

不允许跨域访问并非是浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。

最好的例子是CSRF跨站攻击原理,请求是发送到了后端服务器,无论是否设置允许跨域,

有些浏览器不允许从HTTPS跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是特例。

此外父页面js操作不同域的iframe属性时,也会受到跨域限制


3.跨域方法

克服跨域限制的方法有(实践中后两种最常用,所以重点介绍):

(1)通过jsonp跨域

(2)通过修改document.domain来跨子域

(3)使用window.name来进行跨域

(4)使用HTML5中新引进的window.postMessage方法来跨域传送数据

(5)使用代理服务器,使用代理方式跨域更加直接,因为同源限制是浏览器实现的。如果请求不是从浏览器发起的,就不存在跨域问题了。

使用这个方法跨域步骤如下:

  1. 把访问其它域的请求替换为本域的请求
  2. 服务器端的动态脚本负责将本域的请求转发成实际的请求

    为了通过Ajax从http://localhost:8080访问http://localhost:8081/api,可以将请求发往http://localhost:8080/api。

    然后利用Apache Web/Nginx 服务器的Reverse Proxy功能做如下配置:ProxyPass /api http://localhost:8081/api

(6)CORS全称是”跨域资源共享”(Cross-origin resource sharing),CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能

(IE浏览器不能低于IE10),因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)

(1) 请求方法是以下三种方法之一:HEAD GET POST

(2)HTTP的头信息不超出以下几种字段:Accept Accept-Language Content-Language Last-Event-ID

Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。


对于简单请求,浏览器在发出CORS请求时会在头信息之中增加一个Origin字段。服务器的返回会多出3个字段:

Access-Control-Allow-Origin(必须) 允许跨域的源

Access-Control-Allow-Credentials(可选) 表示是否允许发送Cookie。默认情况下,Cookie可以包含在请求中,一起发给服务器

如果服务器不需要浏览器发送Cookie,删除该字段即可。

Access-Control-Expose-Headers(可选) CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:

Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,

就必须在Access-Control-Expose-Headers里面指定。如指定Access-Control-Expose-Headers: FooBar,则可通过

getResponseHeader(‘FooBar’)获取FooBar字段的值。

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)。

“预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,

浏览器才会发出正式的XMLHttpRequest请求,否则就报错。



版权声明:本文为weixin_47648850原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。