CORS跨域

Posted guapishuo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CORS跨域相关的知识,希望对你有一定的参考价值。

CORS 跨域

1 什么是跨域问题

基于安全考虑,浏览器会限制使用脚本发起任何跨域请求。

所谓的跨域请求,就是与当前页面的 http/ip/port 不一样的请求。

但在实际运用中,跨域获取数据的需求越来越强烈。

在标准没有出现之前,就出现了很多方法。广为使用的一种就是 JSONP。

1.1 JSONP

虽然浏览器有跨域请求的限制,但是一直以来,页面中的 src 元素链接的数据是可以跨域的:

<script src="http://jquery.com/jquery.js"></script>
<img src="http://yigehenhaodewangzhan.com/meinv.jpg"/>

所以很多人就基于这一漏洞(特性),开发出了一种跨域套路,称为 jsonp。

很简单:

// 定义函数,用来加载跨域(脚本)数据
function loadScript(src) {
    const script = document.createElement(‘script‘);
    script.src = src;
    document.body.appendChild(script);
}

// 然后,就可以使用上述函数,从任何服务器获取数据了
// 获取的数据被嵌入到页面的 <script>数据</script> 中,然后被当做脚本运行
// 所以,我们可以把数据封装为一段可以运行的脚本,比如:
//   foo({‘name‘: ‘张三‘, ‘age‘: 22})
// 这样,只要我们在页面中存在 foo 函数,这个函数就会被调用,
// 间接地,我们就可以获取并使用服务器得到的“怪异的数据”了
loadScript(‘http://另一个网站.com/api‘);

// 这是页面中存在的 foo 方法
function foo (data) {
    console.log(data);
}

另外,jQuery 对这种 jsonp 的方式做了很好的封装,使用起来特别简单:

$.ajax({
    method: ‘get‘,
    url: ‘http://再一个网站.com/api‘,
    dataType: ‘jsonp‘,  // 返回的类型
    jsonp: ‘callback‘,
    jsonpCallback=‘xxx‘
}).done(console.log);

1.2 CORS (Cross Origin Resource Share)

一年一年又一年,过去了很多年,所有人只能忍受跨域的问题,想尽各种办法曲线救国。

终于,等待了很多年之后,跨域的官方标准出现了,他就是 CORS。

它的实现原理很简单:

天王盖地虎,宝塔镇河妖

浏览器说,如果想让我显示跨域请求获取的数据,是可以的,不过要满足我的要求:

  1. 我,浏览器,在用户发送跨域请求的时候,会自动在请求 head 里追加 Origin 字段
  2. 你,服务器,如果允许我访问你的数据,你就在返回的时候在响应 head 里添加 Access-Control-Allow-Origin 字段
  3. 我如果能从你返回的数据里发现 Access-Control-Allow-Origin 并核对正确,就向用户渲染数据,否则。。一概跨域错误!!!

一个成功的跨域请求的发送、响应信息为:

# ---请求---
GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
...
Origin: http://foo.example


# ---响应---
HTTP/1.1 200 OK
Content-Type: application/xml
...
Access-Control-Allow-Origin: *

# ---数据---
[XML Data]

2 手动解除浏览器跨域限制

 

将谷歌浏览器的跨域限制给去除,只需要在启动的快捷方式里添加参数即可:

--disable-web-security --user-data-dir=d:xxx

然后,开启浏览器,就会没有跨域限制了。

虽然这样可以很方便进行调试跟开发,但是,用完请关闭。不安全。

 

  

  

以上是关于CORS跨域的主要内容,如果未能解决你的问题,请参考以下文章

CORS跨域操作cookie

跨域解决方案 - 跨域资源共享cors

跨域资源共享 - CORS

node跨域cors模块,nodejs+express跨域

跨域CORS

CORS 跨域