常见的跨域方法（九种解决办法）

Posted 2021-06-21 WDNDNDYD

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。

广义的跨域：

1. 资源跳转： A链接、重定向、表单提交
2. 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链
3. 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等

其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。

同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略限制以下几种行为：

1. Cookie、LocalStorage 和 IndexDB 无法读取
2. DOM 和 Js对象无法获得
3. AJAX 请求不能发送

跨域解决方案：

1. 通过jsonp跨域
2. document.domain + iframe跨域
3. location.hash + iframe
4. window.name + iframe跨域
5. postMessage跨域
6. 跨域资源共享（CORS）
7. nginx代理跨域
8. nodejs中间件代理跨域
9. WebSocket协议跨域

一、 通过jsonp跨域

通常为了减轻web服务器的负载，我们把js、css，img等静态资源分离到另一台独立域名的服务器上，在html页面中再通过相应的标签从不同域名下加载静态资源，而被浏览器允许，基于此原理，我们可以通过动态创建script，再请求一个带参网址实现跨域通信。

原生实现：

 1  <script>
 2     var script = document.createElement(\'script\');
 3     script.type = \'text/javascript\';
 4 
 5     // 传参一个回调函数名给后端，方便后端返回时执行这个在前端定义的回调函数
 6     script.src = \'http://www.domain2.com:8080/login?user=admin&callback=handleCallback\';
 7     document.head.appendChild(script);
 8 
 9     // 回调执行函数
10     function handleCallback(res) {
11         alert(JSON.stringify(res));
12     }
13  </script>

服务端返回如下（返回时即执行全局函数）：

1 handleCallback({"status": true, "user": "admin"})

jquery ajax：

1 $.ajax({
2     url: \'http://www.domain2.com:8080/login\',
3     type: \'get\',
4     dataType: \'jsonp\',  // 请求方式为jsonp
5     jsonpCallback: "handleCallback",    // 自定义回调函数名
6     data: {}
7 });

vue.js：

1 this.$http.jsonp(\'http://www.domain2.com:8080/login\', {
2     params: {},
3     jsonp: \'handleCallback\'
4 }).then((res) => {
5     console.log(res); 
6 })

后端node.js代码示例：

 1 var querystring = require(\'querystring\');
 2 var http = require(\'http\');
 3 var server = http.createServer();
 4 
 5 server.on(\'request\', function(req, res) {
 6     var params = qs.parse(req.url.split(\'?\')[1]);
 7     var fn = params.callback;
 8 
 9     // jsonp返回设置
10     res.writeHead(200, { \'Content-Type\': \'text/javascript\' });
11     res.write(fn + \'(\' + JSON.stringify(params) + \')\');
12 
13     res.end();
14 });
15 
16 server.listen(\'8080\');
17 console.log(\'Server is running at port 8080...\');

jsonp缺点：只能实现get一种请求。