引言:
前后端分离之前,不存在跨域限制,因为请求所出的页面和应用服务器所处在同一个域下。而随着前后端的分离,前后端独立开发,部署。就出现了跨域的情况。
所谓跨域,其实可以从三个方面理解:
1:浏览器自身限制
2:只针对 XmlHttpRequest 请求
3:跨域
原理分析:
所谓浏览器自身限制,是因为浏览器对于不在同一个域(协议+域名+端口)下的请求做了安全限制
只针对 XmlHttpRequest (xhr)请求,才会有跨域限制,其他请求如图片,静态资源文件请求等则不会存在跨域限制
解决方案:
1:去除浏览器的限制,此方法针对浏览器客户端作增加去除跨域的限制(--disable-web-security),缺点是每一台浏览器客户端都需要作取消跨域的限制。此法基本上不采用
2:针对 xhr 请求做处理,将xhr请求转为jsonp请求,此种方式需要前后端都作相应的调整
前端:请求转为jsonp请求,后端需要针对jsonp请求将返回值转为js(原返回值格式为json)
jquery的jsonp请求的本质实际上是将ajax请求动态生成一个script标签(访问结束后标签也会销毁掉),通过script标签的src属性去访问原来的ajax请求url,并增加了callback参数用于和服务器作jsonp请求协议(即服务器通过请求中携带的callback参数,知道该请求为jsonp请求,就会将返回值转为js代码)
eg:
<script async src="http://localhost:8080/test/jsonp/1?callback=jQuery1113022_1511367220842&_=1511367220843"></script>
jsonp的缺点:前后端都需要做修改,后端需要根据前端请求的jsonp请求转换返回值的格式。且jsonp只支持get请求。
故不建议使用jsonp方式解决跨域问题。
3:通过修改被调用方或者调用方的方式解决跨域限制,此种方式较为常用,建议大家采用此种方式。
修改被调用方:修改被调用方,使得被调用方允许此次跨域请求即可。常用的方式有在被调用方的http服务器响应头中增加允许跨域的返回值如
Access-Control-Allow-Methods *;// 允许所有请求方法跨域
Access-Control-Allow-Origin $http_origin;//允许所有请求源
Access-Control-Allow-Headers $http_access_control_request_headers;
Access-Control-Allow-Credentials true;// 是否允许cookie方式
Access-Control-Max-Age 3600;// 秒为单位,即控制options请求的缓存时间
一般实现方式可以在web应用服务器的过滤器中增加,也可以在http服务器如nginx中增加。
如果在被调用方不允许修改的情况下只能采用修改调用方的方式了
修改调用方:
修改调用方实质上就是隐藏跨域,让浏览器认为自己并没有进行跨域请求即可。通过反向代理的方式。
我们可以采用在调用方处采用nginx服务器的方式作一层反向代理,将所有跨域请求都通过反响代理服务器去请求,而浏览器访问的是反向代理的服务器,这样浏览器就不会觉得自己是在进行跨域请求了。
网友评论