前端跨域的解决方式

Posted 2020-09-22

前端与服务端数据交互时，涉及到跨域的一些问题。javascript出于安全的考虑，禁止了跨域调用其他页面的对象，也即同源策略限制了一个源（origin）中加载文本或脚本与来自其它源（origin）中资源的交互方式。

什么是跨域？

如果两个页面拥有相同的协议（protocol），端口（如果指定），和主机，那么这两个页面就属于同一个源（origin），JavaScript允许这种同源页面的数据互相通信。

带来的麻烦，以及解决方案

同源策略让JavaScript或Cookie只能访问同域下的内容，但在实际开发项目时会不可避免的要进行跨域操作，因此给前端带来了麻烦，跨域能力也算是前端工程师的基本功之一，对于端口和协议的不同，只能通过后台来解决了，下面主要说说主机不同情况实现跨域。

神器JSONP

JSONP是比较流行的跨域处理方式，网络上的定义：JSONP是资料格式JSON的一种使用模式，可以让网页从别的网域要资料，原理是html的script标签可以加载并执行其他域JS文件。站点B把要提供的数据作为参数传给一个站点A定义的全局函数，站点A引用这个文件就可以跨域获取数据了，A站还可以把少量参数放在script标签的src里提交给B站。外链JS这种方案只支持GET，受IE下url长度不能超过2083个字节的限制和出于安全考虑，一般不用来提交数据。

JSONP实际上就是被包含在一个回调函数中的JSON，例如callback({"name":"zhangsan"});

因此我们可以知道JSONP有两部分组成：回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数，而数据就是传入回调函数中的JSON数据，需要注意的是这个回调函数一定要让后端开发人员处理包裹，否则只能获取json数据，不能使用。

在js中，不可以直接用XMLHttpRequest请求不同域上的数据。但我们知道在页面上引入不同域上的js脚本文件是被允许的，JSONP就正是利用这个特性来实现的，例如：

<script src="http://jd.com/data.php?callback=dosomething"></script>

<script type="text/javascript">

function dosomething(jsondata){

　　console.log(jsondata);

}

</script>

js文件载入成功后，会执行我们在url参数中指定的函数（dosomething），并且会把我们需要的json数据（jsondata）作为参数传入。所以再次强调jsonp是需要服务器端的页面进行相应的配合的。

<?php

　　$callback=$_GET[‘callback‘];//得到回调函数名

　　$data={‘name‘:‘张三‘,sex:‘男‘,age:‘15‘};//要返回的数据

　　echo $callback.‘(‘.json_encode($data).‘)‘;//输出

?>

最终输出结果为：dosomething({‘name‘:‘张三‘,sex:‘男‘,age:‘15‘});

如果你使用jquery或者zepto，那么通过它封装的方法就能很方便的来进行JSONP操作了。

JSONP的优点是：

①：它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制

②：它的兼容性更好，在老版本的浏览器中可以运行，不需要XMLHttpRequest或ActiveX的支持

③：它在请求完毕后可以通过调用callback的方式回传结果，方便调用。

JSONP的缺点则是：

①：它只支持GET请求而不支持POST等其他类型的HTTTP请求，不能提交大量数据

②：它只支持跨域HTTP请求这总情况，不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

先进的CORS

W3C推荐了一种更为先进的机制，也就是CORS（Cross-Origin Resource Sharing）跨域资源共享，定义了必须在访问跨域资源时，浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部，让服务器能声明哪些来源可以通过浏览器访问该服务器上的资源，从而决定请求或响应是应该成功还是失败，CORS本身并非绝对很安全，可利用OAuth2措施来加强保障。

与JSONP相比较，CORS支持所有类型的HTTP请求，且开发者可以使用原生普通的XMLHttpRequest对象发起请求和获得数据，配合新的JSAPI一起使用，实现强大的新体验功能。