摘要:面试必考题吧,所以在这会详细介绍以下内容跨域产生的原因罗列最常用的解决方法分析各种方法原理罗列各种方法优缺点什么是跨域由于浏览器厂商对安全性的考虑,提出了浏览器的同源策略做为解决方案。
面试必考题吧,所以在这会详细介绍以下内容
跨域产生的原因
罗列最常用的解决方法
分析各种方法原理
罗列各种方法优缺点
什么是跨域由于浏览器厂商对安全性的考虑,提出了浏览器的同源策略做为解决方案。它是一个用于隔离潜在恶意文件的重要安全机制。同源即协议、域名、端口三者一致。不同源即跨域。
比如:当你访问了 饼夕夕的网站
// HTML
// 饼夕夕.com 内嵌 拼多多.com
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
// 所以 饼夕夕.com 可以在 拼多多.com 输入账号密码处埋点
const $iframe = window.frames["pinduoduo"];
const $pwd = $iframe.document.getElementById("password");
console.log(`你的密码已泄露: ${$pwd}`)
解决方案(主流)
1. JSONP -> get请求跨域
原理:script和img等标签没有跨域限制
实现方案:(举例)
// HTML 插入标签
// JS
function say(name, age) {
console.log(`${name}, ${age} 岁`)
}
// 服务器返回response
say("zmz", 18)
// 那么客户端在script onload时会执行say方法
// 结束
2. iframe+form实现post请求跨域
原理:利用form表单target属性,将post请求提交给隐藏的iframe,使页面不跳转
var data = {
name: "zmz",
age: 18
}
var url = "http://localhost/say";
var $iframe = document.createElement("iframe");
$iframe.name = "iframePost";
$iframe.style.display = "none";
document.body.appendChild($iframe);
$iframe.addEventListener("load", function(e) {
console.log($iframe.contentWindow)
})
const form = document.createElement("form");
const ipt = document.createElement("input");
form.action = url;
form.enctype = "application/json;"
form.method = "post";
// 最核心的一行代码
// 在指定的iframe中执行form
form.target = $iframe.name;
for (var name in data) {
ipt.name = name;
ipt.value = data[name];
form.appendChild(ipt.cloneNode());
}
form.style.display = "none";
document.body.appendChild(form);
form.submit();
document.body.removeChild(form)
3. CORS 跨源资源共享
原理:新版XMLHttpRequest(ajax2.0)特性,服务器白名单
服务器端设置response.setHeader("Access-Control-Allow-xxx...
附:ajax2.0新特性
可以设置HTTP请求的时限xhr.timeout
可以使用FormData对象管理表单数据
可以上传文件 >> 同上
可以请求不同域名下的数据(跨域请求)
可以获取服务器端的二进制数据xhr.responseType = "blob"
可以获得数据传输的进度信息 xhr.upload.process
CORS分类
简单请求(自行搜索)
在请求头信息中指定Origin
非简单请求
会发送预检请求(options),返回状态码204
5. 代理
原理:服务器之间没有跨域限制
具体实现:
// Nginx配置
server{
# 监听9099端口
listen 9099;
# 域名是localhost
server_name localhost;
# 匹配到都转发到http://localhost:9871
location ^~ /api {
proxy_pass http://localhost:9871;
}
}
5. postMessage
原理:postMessage可以处理各种浏览器窗口之间的通信问题。
具体实现:
// 发送方
window.frames["crossDomainIframe"]
iframe.postMessage("我想要数据", "http://localhost:8088")
window.addEventListener("message", function () {
if (e.origin === "http://localhost:2333") {
console.log("收到", e.data)
}
}
// 接收方
window.addEventListener("message", (e) => {
if (e.origin === "http://localhost:8088") {
console.log(e.data)
e.source.postMessage("给,你要的数据", e.origin);
}
})
6. WebSocket
原理:新协议(socket)
实现方案:类似postMessage
附:
socket.io框架能解决兼容性问题
各种方式对比
JSONP和iframe+from兼容性很好
但是错误处理和RESTful接口统一是个问题
CORS最简单粗暴
9102年了。微软都不维护Win7了。
代理
肯定会慢一丢丢咯,而且要找运维配
postMessage
处理窗口间通信,- -。不嫌麻烦可以用来跨域
WebSocket
处理长连接,附带跨域
End文章分享同步于: https://github.com/zhongmeizh...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/54747.html
摘要:在接触前端开发起,跨域这个词就一直以很高的频率在我们学习工作中重复出现,最近在工作中遇到了跨域的相关问题,这里我把它总结记录一下。 在接触前端开发起,跨域这个词就一直以很高的频率在我们学习工作中重复出现,最近在工作中遇到了跨域的相关问题,这里我把它总结记录一下。关于跨域,有N种类型,现在我只专注于ajax请求跨域(ajax跨域只是属于浏览器同源策略中的一部分,其它的这里不做介绍),内容...
摘要:跨域问题相信跨域问题是每个前端在请求中都会遇到的问题因为浏览器的同源策略的限制所以是不支持跨域的当然当后台在没有完成搭建的时候这时候我们需要使用到模拟数据的时候这时候很多的就会出现跨域问题在中当然这个问题也不例外如下所以在此我也就整理出了 跨域问题 相信跨域问题是每个前端在ajax请求中都会遇到的问题,因为浏览器的同源策略的限制,所以ajax是不支持跨域的,当然当后台在没有完成搭建的...
阅读 2697·2021-09-02 15:11
阅读 872·2019-08-26 18:18
阅读 1841·2019-08-26 11:57
阅读 3227·2019-08-23 16:59
阅读 1904·2019-08-23 16:51
阅读 2277·2019-08-23 16:11
阅读 3011·2019-08-23 14:58
阅读 1022·2019-08-23 11:34
