当前位置: 正文

跨域问题?同源策略大全

2024-10-09 IT技术 23

前言:跨域与同源策略

跨域:通常出现在Web开发中,特别是在涉及到Ajax请求或Fetch API调用时,当一个网页尝试从不同的源加载资源时,就会遇到跨域问题。这里所说的“不同的源”,是指请求资源的源(由协议、域名和端口号组成)与提供资源的源不一致。

http:// 192.168.3.1 :3000 /home

协议(http), 域名(192.168.3.1), 端口(3000), 路径(/home)

同源策略:是为了保护用户的隐私和数据安全,如果没有同源策略,恶意网站可以通过脚本非法获取其他网站上的敏感数据,所以浏览器会通过实施同源策略来限制不同源之间的直接通信。同时,也有些特别的情况是不受同源策略限制的,比如:

img标签下的

link标签下的

script标签下的

一:JSONP实现同源

  1. 借助script标签的src属性不受同源策略的影响来发送请求

  2. 给后端携带一个参数 callback 并在前端定义 callback 函数体

  3. 后端返回 callback 的调用形式并将要响应的值作为 callback 函数的参数

  4. 当浏览器接收到响应后,就会触发全局的 callback 函数,从而让 callback 以参数的形式接收后端的响应

前端代码

后端代码

const http = require('http');


http.createServer(function(req, res) {
  
  const query = new URL(req.url, `http://${req.headers.host}`).searchParams;

  
  if (query.get('cb')) {
    
    const cb = query.get('cb'); 

    
    const data = 'hello world';

    
    const result = `${cb}("${data}")`;

    res.end(result);
  }
}).listen(3000);

$

但使用这种方法实现同源有两个缺点:

  • 需要后端配合
  • 只支持 get 请求

二:cors实现同源

核心思想是后端通过Access-Control-Allow-Origin设置响应头来指定允许的域名,以此来通知浏览器此时同源策略不生效

前端代码

后端代码

const http = require('http');


http.createServer((req, res) => {
   
   res.writeHead(200, {
       
       'Access-Control-Allow-Origin': 'http://127.0.0.1:5500',
   });

   res.end('Hello World');
}).listen(3000);

同样,也可以设置Access-Control-Allow-methods来设置相应的请求方法,post,get等等

三:proxy代理

  1. 前端应用将原本需要跨域访问的请求发送给自身的后端服务器
  2. 后端服务器再将请求转发至实际的目标服务器,并从目标服务器获取数据
  3. 最后将数据返回给前端应用。

这样通过后端服务器作为中间层代理转发请求,可以绕过浏览器同源策略的限制,实现跨域数据的获取。

实现过程:

  • 创建一个XMLHttpRequest对象并发送一个GET请求到后端(http://192.168.1.63:3000)。onreadystatechange事件处理器会在请求状态改变时触发,并在请求完成且响应状态码为200 OK时打印出响应文本。
  • 后端创建一个简单的HTTP服务器,监听3000端口,设置响应头Access-Control-Allow-Origin*,允许任何来源都可以访问此资源,解决跨域问题。
  • 再创建一个新的HTTP请求到目标服务器192.168.1.63:3000,与前端设置的要一致,并将从目标服务器收到的数据转发回原始请求者。
const http = require('http');

http.createServer(function(req, res) {
  
  res.writeHead(200, {
    "access-control-allow-origin": "*"
  });

  
  const options = {
    host: '192.168.1.63',
    port: '3000',
    path: '/',
    method: 'GET',
    headers: {}
  };

  
  http.request(options, proxyRes => {
    
    proxyRes.on('data', function(data) {
      res.end(data.toString())
    });
  }).end(); 

}).listen(3000);

请注意,这样的代理服务器仅适用于开发环境,在生产环境中应当谨慎使用,因为它可能带来安全风险,如中间人攻击等

四:nginx实现同源

相当于node代理,大致原理如下:

image.png

五:Websocket实现同源

  • websocket是http协议的一部分,所以它有同源策略
  • websocket是长连接,可以发送和接收消息
  • websocket是html5新增的协议,它是一种双向通信协议,建立在tcp之上

实现过程:
前端

  • 创建一个新的 WebSocket 实例,并传入 url 参数。
  • 设置 onopen 事件处理器,当 WebSocket 连接成功打开时,将 params 对象转换为 JSON 字符串并通过 WebSocket 发送。
  • 设置 onmessage 事件处理器,当从 WebSocket 接收到消息时,解析接收到的数据,并调用 resolve 方法,将解析后的数据作为 Promise 的结果返回。
  • 调用 myWebSocket 函数,传入 WebSocket 服务器的 URL 和一个包含对象并使用 .then 方法处理 Promise 的解决情况

后端

  • npm init -y 初始化为后端项目
  • npm ws 安装ws
  • 使用 ws 库来创建一个 WebSocket 服务器,并监听3000端口。
  • 监听 'connection' 事件,每当有一个新的客户端连接到 WebSocket 服务器时,就会触发此事件处理器。
  • 为每个连接注册一个 'message' 事件处理器,当从客户端接收到消息时触发。并设置一个定时器,每两秒调用一次
const WebSocket = require('ws');


const ws = new WebSocket.Server({ port: 3000 });

ws.on('connection', function(obj) {
    
    obj.on('message', function(data) {
        
        obj.send('欢迎访问');
        
        setInterval(() => {  
            obj.send();
        }, 2000);
    });
});

六:postMessage

当页面一通过iframe嵌套了页面二,这两个页面因为跨域无法进行通讯,可以使用postMessage实现跨域通讯

postMessage 是一种在不同窗口、文档或框架之间安全地进行消息传递的方式,它支持跨源消息传递

下面带友友们实操一下:

主页 (index.html)

  • 初始化 obj 对象,包含姓名和年龄信息。
  • 当