前端跨域及其解决方案

前端与服务端数据交互时,涉及到跨域的一些问题。JavaScript出于安全的考虑,禁止了跨域调用其他页面的对象,也即同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。

什么是跨域?

如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin),JavaScript 允许这种同源页面的数据互相通信。

端口协议大家都应该很熟悉,一般生产项目中WEB页面是「看不见」端口号的,其实是缺省端口80,目前网络劫持盛行,因此流行使用安全协议HTTPS来避免劫持,而主机的概念有些初级开发者可能就会搞混淆,我们使用域名来指定一台主机,当然你也可以直接使用IP地址,重点在于不要以为jandou.comwww.jandou.com是同一域名,实际上www.jandou.com是一个二级域名,而jandou.com俗称为裸域,不了解你可以看看:为什么越来越多的网站域名不加「www」前缀?

值得关注的是, 跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但返回结果被浏览器拦截了。 最好的例子是CSRF跨站攻击原理,伪造的请求发送到了后端服务器,无论是否跨域!有些浏览器不允许从HTTPS协议的域 跨域访问 HTTP协议,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例,值得特别关注。

下表给出了相对http://h5.jd.com/dir/ajax.js:

URL是否允许通信原因
http://h5.jd.com/dir/zepto.js允许同源
http://h5.jd.com/dir2/react.js允许同源
https://h5.jd.com/jquery.js不允许协议
http://h5.jd.com:8080/vue.js不允许端口
http://m.jd.com/angular.js不允许主机

带来的麻烦,以及解决方案

同源策略让JavaScript或Cookie只能访问同域下的内容,但在实际开发项目时会不可避免的要进行跨域操作,因此给前端带来了麻烦,跨域能力也算是前端工程师的基本功之一,对于端口协议的不同,只能通过后台来解决咯,下面主要说说主机不同情况实现跨域。

神器 JSONP

JSONP是比较流行的跨域处理方式,网络上的定义:JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料,原理是HTML的script标签可以加载并执行其他域JS文件。站点B把要提供的数据作为参数传给一个站点A定义的全局函数,站点A引用这个文件就可以跨域获取数据了,A站还可以把少量参数放在script标签的src里提交给B站。外链JS这种方案只支持GET,受IE下url长度不能超过2083个字节的限制和出于安全考虑,一般不用来提交数据

JSONP实际上就是被包含在一个回调函数中的JSON,例如:

callback({"name","zhangsan"});

因此我们可以知道JSONP由两部分组成:回调函数数据。回调函数是当响应到来时应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据,需要注意的是这个回调函数一定要让后端开发人员处理包裹,否者只能获取json数据,不能使用。

在js中,不可以直接用XMLHttpRequest请求不同域上的数据。但我们知道在页面上引入不同域上的js脚本文件却被允许的,JSONP就正是利用这个特性来实现的,是不是恍然大悟。 例如:

<script src="http://jd.com/data.php?callback=dosomething"></script>
<script type="text/javascript">
function dosomething(jsondata){
console.log(jsondata);//打印获得的json数据
}
</script>

js文件载入成功后,会执行我们在url参数中指定的函数(dosomething),并且会把我们需要的json数据(jsondata)作为参数传入。所以再次强调jsonp是需要服务器端的页面进行相应的配合的。

<?php
$callback = $_GET['callback'];//得到回调函数名
$data = {'name':'张三',sex:'男',age:'15'};//要返回的数据
echo $callback.'('.json_encode($data).')';//输出
?>

最终,输出结果为:dosomething({'name':'张三',sex:'男',age:'15'});

如果你使用jquery或者zepto,那么通过它封装的方法就能很方便的来进行JSONP操作了。

使用$.ajax

$.ajax({
type: 'GET',
url: 'http://jd.com/data',
// 需要提交给服务端的数据:
data: { name: '张三' },
// 指定数据类型:
dataType: 'jsonp',
timeout: 300,
success: function(data){
// 成功接收到这个JSON:
// {'project':{'name':'张三',sex:'男',age:'15'}}
// 把数据插入到HTMl DOM中
this.append(data.project.html)
},
error: function(xhr, type){
alert('数据获取失败!')
}
})
// 或者使用$.getJSON
$.getJSON('http://jd.com/data?callback=?,function(data)'){
//处理获得的json数据
});

或者使用设置了JSON参数的 ajax() 函数的简化版本 $.getJSON

$.getJSON('http://jd.com/data?callback=?,function(data)'){
//处理获得的json数据
});

jquery/zepto会自动生成一个全局函数来替换callback=?中的问号,之后获取到数据后又会自动销毁,实际上就是起一个临时代理函数的作用。$.getJSON方法会自动判断是否跨域,不跨域的话,就调用普通的ajax方法;跨域的话,则会以异步加载js文件的形式来调用jsonp的回调函数。

JSONP的优点是:

  • 它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;[1]
  • 它的兼容性更好,在老版本的浏览器中可以运行,不需要XMLHttpRequest或ActiveX的支持;
  • 它在请求完毕后可以通过调用callback的方式回传结果,方便调用。

JSONP的缺点则是:

  • 它只支持GET请求而不支持POST等其它类型的HTTP请求,不能提交大量数据;
  • 它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。[2]

先进的 CORS

W3C 推荐了一种更为先进的机制,也就是 CORS(Cross-Origin Resource Sharing) 跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部,让 服务器能声明 哪些来源可以通过浏览器访问该服务器上的资源,从而决定请求或响应是应该成功还是失败,CORS本身并非绝对很安全,可利用OAuth2措施来加强保障。

//服务器需要声明这么一条响应头,即可轻松跨域

//PHP中的 hander() 设置,“*”号表示允许任何域向我们的服务端提交请求:
header("Access-Control-Allow-Origin: *")
//也可以设置指定的域名,如域名 http://h5.jd.com ,那么就允许来自这个域名的请求:
header("Access-Control-Allow-Origin: http://h5.jd.com")

目前绝大多数(除IE8及其以下版本)现代浏览器均支持CORS,移动端则是99%支持,所以在移动端开发时尽情享用吧,另外值得注意的是,对那些会对服务器数据造成破坏性影响的 HTTP 请求方法(特别是 GET 以外的 HTTP 方法,或者搭配某些MIME类型的POST请求),CORS标准强烈要求 浏览器必须先以 OPTIONS 请求方式发送一个预请求(preflight request),从而获知服务器端对跨源请求所支持 HTTP 方法。 在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求。服务器端也可以通知客户端,是不是需要随同请求一起发送信用信息(包括 Cookies 和 HTTP 认证相关数据)。

与JSONP想比较,CORS支持所有类型的HTTP请求,且开发者可以使用原生普通的XMLHttpRequest对象发起请求和获得数据,配合新的JSAPI(fileapi、xhr2等)一起使用,实现强大的新体验功能。


服务端 “暴力” 解决跨域

当暴露的 API 接口有跨域受限时,使用 服务端转发 则是解决跨域的另类方法,方便快捷十分“暴力”,目前最常用的应该是 Nginx 反向代理机制解决前端跨域问题,当然我们前端领域的 Node 也是可以的,原生的 Node.js 都能够实现,Express 或 Koa 等服务框架也有专门为解决跨域而设计的模块 Express Cors 和 Koa Cors,这里就不做过多介绍。


跨子域 document.domain/iframe

同源策略限制了Ajax请求不同源的资源,还限制浏览器中不同域的框架之间的js数据交互。
不同的框架(iframe)之间是可以获取window对象的,font color=”#bf616a”>但并不能获取相应的属性和方法!比如,有一个页面,它的地址是http://h5.jd.com/a.html , 在这个页面里面有一个iframe,它的src是http://m.jd.com/b.html, 很显然,这个页面与它里面的iframe框架是不同源的(一级域名一致,但二级域名不一致!),所以我们是无法通过在页面中书写js代码来获取iframe中的东西的:

<script type="text/javascript">
function test(){
var iframe = document.getElementById('iframe');
var win = document.contentWindow;//可以获取到iframe里的window对象,但该window对象的属性和方法几乎是不可用的
var doc = win.document;//这里获取不到iframe里的document对象
var name = win.name;//这里同样获取不到window对象的name属性
}
</script>
<iframe id = "iframe" src="http://m.jd.com/b.html" onload = "test()"></iframe>

这个时候,document.domain就可以派上用场了,我们只要把http://h5.jd.com/a.htmlhttp://m.jd.com/b.html 这两个页面的document.domain都设成相同的域名就可以了。但要注意的是,document.domain的设置是有限制的,我们只能把document.domain设置成自身或更高一级的父域,且主域必须相同。

1.在页面 http://h5.jd.com/a.html 中设置document.domain:

<iframe id = "iframe" src="http://m.jd.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
document.domain = 'jd.com';//设置成主域
function test(){
alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 对象
}
</script>

2.在页面 http://m.jd.com/b.html 中也设置document.domain:

<script type="text/javascript">
document.domain = 'jd.com';//在iframe载入这个页面也设置主域jd.com,使之与主页面的document.domain相同
</script>

其他跨域方案

服务端暴力解决

window.name:

在一个窗口(window)的生命周期内,窗口载入的所有的页面都是共享一个window.name的,每个页面对window.name都有读写的权限,window.name是持久存在一个窗口载入过的所有页面中的。

window.postMessage:

该方法是 HTML5 新引进的特性,可以使用它来向其它的window对象发送消息,无论这个window对象是属于同源或不同源,目前IE8+、FireFox、Chrome、Opera等浏览器都已经支持window.postMessage方法。

动态创建script

JSONP也就是利用这个原理。

利用iframe和location.hash

淘汰类技术

利用flash

淘汰类技术


参考链接:

https://segmentfault.com/a/1190000000718840
http://www.html5rocks.com/en/tutorials/cors/
https://imququ.com/post/cross-origin-resource-sharing.html
http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html
https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
http://ued.ctrip.com/blog/translation-ajax-jquery-getjson-simple-example.html
http://stackoverflow.com/questions/14551194/how-are-parameters-sent-in-an-http-post-request

坚持原创技术分享,您的支持将鼓励我继续创作!