什么是ajax跨域问题?
简单来说,就是前台调用后台接口的时候,由于浏览器的同源策略(Same-origin Policy)过于严格,如果这个接口不是同一个域的,就会产生跨域问题。
为什么会发生ajax跨域?
-
浏览器限制
浏览器出于安全的考虑,当它发现请求是跨域的时候,它会做一些校验,如果校验不通过,就会报跨域安全问题。 -
请求跨域
所谓同源是指:域名、协议、端口相同
如果发出去的请求不是本域的,协议、域名、端口,任何一个不一样,浏览器就认为是跨域的。
image.png
-
XHR(XMLHttpRequest)请求
发送的是xhr(XMLHTTPRequest)请求才会产生跨域问题。如果发出去的请求不是XHR请求的话,即使跨域,浏览器也不会报错。
以上3个原因同时满足,才会产生跨域安全问题。
我们启动本地服务,来看一下浏览器里发出的请求的type
解决思路?
1、浏览器禁止检查:
想办法让浏览器不做跨域限制,那么就不会有跨域安全问题了。可以通过指定参数--disable-web-security,让浏览器不做这个校验,那么跨域问题就解决了。
设置方法
(1) 打开终端
(2) mac: 输入下面的命令( 需要替换路径中的yourname )
open -n /Applications/Google\ Chrome.app/ --args --disable-web-security --user-data-dir=/Users/yourname/MyChromeDevUserData/
windows:
在Dos中 浏览器应用对应文件Appliction文件夹下输入
chrome --disable-web-security --user-data-dir=g:\temp3
image.png
image.png
image.png
image.png
缺点:需要客户端每个人都做改动,不推荐使用。
2、JSONP(JSON with Padding):
只有发送的是xhr(XMLHTTPRequest)请求才会有可能产生跨域问题,那么我们把请求改为非XHR请求,只要不是XHR请求,浏览器就不会报跨域问题。基于这个思路的解决方案是JSONP。
原理:
jsonp请求:jquery的ajax请求通过自动创建<script>标签,在页面上引入这个js脚本,脚本的请求地址后面带一个参数callback,callback的值是一个jquery随机生成的回调函数名称,传到后台。后台会返回这个函数调用,这个函数的传参,就是后台返回给前端的数据。
http://127.0.0.1:5000/baocunage?jsonpCallbackTest=jQuery21404576809447559216_1559269683775&age=sdf&_=1559269683776
由于jsonp请求发出的请求类型type是script,不是XML类型,那么浏览器就不会做校验,所以可以解决跨域问题。
前端:
dataType设置为jsonp
前后台约定一个callback名,默认为callback
$.ajax({
type:'get',
// url:'http://127.0.0.1:5000/baocunage',
url:'http://192.168.0.204:5000/baocunage',
// url:'https://campus.alipay-eco.com/topnews/user/ifLoginCORS',
data:{
age: $('#age').val()
},
dataType:'jsonp',
jsonp:'jsonpCallbackTest',//默认是callback
success:(data)=>{
console.log('年龄:'+data.age)
}
})
使用jsonp后台需要改动:
获取与前端约定的callback的值,这个值就是后台需要返回的回调函数,该函数的参数,是要返回的json对象
let cb = searchObj.jsonpCallbackTest;
let data = {age:searchObj.age};
res.setHeader('content-type','text/javascript;charset=utf-8');
res.end(`${cb}(${JSON.stringify(data)})`)
jquery源码断点理解:
Default jsonp settings 设置回调方法名
Install callback 定义回调方法
image.png
Bind script tag hack transport 动态添加script标签,使用完之后销毁
image.png
image.png
优点:
使用简便,没有兼容性问题。
缺点:
- 它只支持get请求,而不支持POST等其他类型的请求。即使设置请求方式为post,请求也会默认为get请求,请求不会失败。
- 需要服务端改动代码,如果调用的接口不是自己的接口,就无法改动了。
- 存在安全问题。
3、CORS跨域(Cross-origin resource sharing,跨域资源共享)。
cors是一个 W3C 标准,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。
服务器基于http协议关于跨域方面的要求而做修改,设置参数,从而支持支持跨域。CORS跨域是服务端及浏览器之间自动完成,客户端不需要更数据访问逻辑。因此,实现 CORS 通信的关键是服务器
服务器改动:
在响应里添加如下字段
res.setHeader('Access-Control-Allow-Origin','http://127.0.0.1:3000');
//或者
res.setHeader('Access-Control-Allow-Origin','*');
发送请求的时候,浏览器是先执行还是先判断?
先看下什么是简单请求和非简单请求:
-
简单请求(同时满足一下两个条件):
*请求方法为:GET,HEAD,POST
*并且请求header里:
无自定义头
content-type为以下几种:
text/plain
multipart/form-data
application/x-www-form-urlencoded -
常见的非简单请求(不满足简单请求条件的,就属于非简单请求):
请求方法为put , delete的请求
发送json格式的请求
带自定义头的请求
浏览器在发送跨域请求的时候,会先判断一下是不是简单请求。
如果是简单请求,就会先执行后判断。
如果是非简单请求,会先发一个Preflight预检请求给服务器,发送这个请求后,服务器可以决定是否允许这种类型的请求。服务器通过在响应中发送以下头部与浏览器进行沟通:
Access-Control-Allow-Origin:与简单的请求相同。
Access-Control-Allow-Methods: 允许的方法,多个方法以逗号分隔。
Access-Control-Allow-Headers: 允许的头部,多个方法以逗号分隔。
Access-Control-Max-Age: 应该将这个 Preflight 请求缓存多长时间(以秒表示)。
预检请求检查通过之后,再把请求发出去。
非简单请求, 每次会发出两次请求, 这会影响性能. 我们可以在服务端设置Access-Control-Max-Age来缓存预检请求, 比如设置为60m, 也就是60m客户端只会在第一次的时候发送两个请求, 接下来60m内OPTIONS请求就被缓存起来了.
res.setHeader('Access-Control-Allow-Headers','content-type');
res.setHeader('Access-Control-Max-Age',60);
带cookie的跨域:
需要前后端都设置参数
xhrFields:{
withCredentials:true
},
res.setHeader('Access-Control-Allow-Credentials',true)
注:带cookie的时候Access-Control-Allow-Origin不能使用*号匹配,只能用全匹配,所以可以这样设置Access-Control-Allow-Origin
let origin = req.headers.origin;
res.setHeader('Access-Control-Allow-Origin',origin);
优点:
CORS 通信与同源的 AJAX 通信没有差别,代码完全一样,容易维护。
支持所有类型的 HTTP 请求。
缺点:
存在兼容性问题,特别是 IE10 以下的浏览器(兼容性问题没有亲测)。
发送非简单请求时会多一次请求。
更多跨域解决方式
img标签
服务器代理
document.domain 跨域
window.name 跨域
location.hash 跨域
postMessage 跨域
网友评论