[ 跨域问题 ] 前后端以及服务端 解决跨域的各种方法

news/2024/11/22 10:32:35/

这篇文章主要介绍了跨域问题,包括其定义、产生原因及各种解决方法。原因是浏览器安全策略限制,方法有 JSONP、CORS、Domain、 postMessage、Nginx配置、.NetCore配置。

 前言

什么是跨域问题?

在Web应用中,当一个网页的脚本试图去请求另一个域名下的资源时,就会遇到跨域问题。跨域问题是由浏览器的同源策略所引起的。换句话说:后端返回给浏览器的数据会被浏览器的同源策略给拦截下来。

同源策略要求资源的协议、域名和端口号都必须相同,才能确保数据的安全性。如果不满足这个条件,请求将被浏览器拒绝,从而导致跨域问题的出现。

  • 同源策略: 协议号-域名-端口号 都相同的地址,浏览器才认为是同源
协议号:域名:端口号 / 路径https://192.168.31.45:8080/userhttps://192.168.31.45:8080/list

上面这个例子虽然它们的路径不一样但是协议号、域名、端口号都相同,所以它们就是同源的

跨域问题的原因?

跨域问题主要是由于浏览器的安全策略限制引起的。同源策略的目的是保护用户的隐私和数据安全,防止恶意网站获取用户的敏感信息或进行未授权的操作。 通过限制跨域请求,浏览器有效地减少了许多网络攻击的风险,例如跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。

JSONP

JSONP(JSON with Padding)是一种用于解决跨域请求的技术,它利用了 <script> 标签可以跨域加载资源的特性。

下面是 JSONP 解决跨域请求的基本原理:

  1. 前端发起 JSONP 请求: 前端页面通过动态创建 <script> 标签,设置其 src 属性为包含回调函数的 URL。通常这个 URL 是指向另一个域名下的服务器接口。

  2. 服务端返回数据: 服务端接收到 JSONP 请求后,会将数据包装在回调函数中返回给前端。这样前端页面就可以获得跨域请求返回的数据。

  3. 前端处理数据: 前端页面定义好与回调函数同名的 JavaScript 函数,当服务端返回数据时,会执行这个函数并传入返回的数据作为参数,从而实现跨域数据的获取和处理。

前端代码:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><button id="btn">获取数据</button><script>// 定义一个函数 jsonp,用于发送 JSONP 请求function jsonp(url, cb) {return new Promise((resolve, reject) => {// 创建一个 script 标签const script = document.createElement('script');// 设置 script 的 src 属性,包含了请求的 URL 和回调函数名称script.src = `${url}?cb=${cb}`; // http://localhost:3000?cb='callback'// 将 script 添加到文档中document.body.appendChild(script); // 浏览器自动请求 src 中的内容// 定义一个全局函数,用于处理返回的数据window[cb] = (data) => {resolve(data)}})}// 获取按钮元素let btn = document.getElementById('btn');// 绑定点击事件btn.addEventListener('click', () => {// 发送 JSONP 请求jsonp('http://localhost:3000', 'callback').then(res => {console.log('后端的返回结果:' + res);})})</script>
</body>
</html>

后端代码:

const Koa = require('koa');
const app = new Koa();// 定义中间件函数 main,处理请求并返回数据
const main = (ctx, next) => {console.log(ctx.query); // 输出请求参数对象 { cb: 'callback' }// 从请求参数中获取回调函数名称const cb = ctx.query.cb;// 准备要返回给前端的数据const data = '给前端的数据';// 构造带有回调函数名称的字符串,格式为 'callback("给前端的数据")'const str = `${cb}('${data}')`;// 将构造好的字符串作为响应体返回给前端ctx.body = str;
}// 将 main 中间件注册到 Koa 应用中
app.use(main);// 监听 3000 端口,启动服务器
app.listen(3000, () => {console.log('listening on port 3000');
})

优点:

  1. 简单易用: JSONP 实现简单,只需在前端添加一个 <script> 标签即可完成跨域请求,无需复杂的配置。
  2. 兼容性好: JSONP 能够兼容各种浏览器,包括早期版本的浏览器,因为它是通过动态创建 <script> 标签实现的。
  3. 支持跨域请求: JSONP 可以在不同域之间进行数据通信,解决了传统 AJAX 请求受同源策略限制的问题。

缺点:

  1. 安全性问题: JSONP 存在安全风险,因为它是通过在前端动态加载脚本来获取数据,可能会被用于注入恶意脚本,导致安全漏洞。
  2. 只支持 GET 请求: JSONP 只能发起 GET 请求,无法支持其他类型的 HTTP 请求,如 POST、PUT 等。
  3. 依赖服务端支持: JSONP 需要服务端返回数据时将其包裹在一个回调函数中,因此需要服务端提供支持,如果服务端不支持 JSONP 格式返回数据,则无法使用该方法。

CORS(跨域资源共享)

CORS是一种机制,允许服务器在响应中携带一个特殊的标头,以告知浏览器该服务器允许哪些源的网页访问其资源。 可以总结为一句话:后端通过设置响应头来告诉浏览器不要拒绝接受后端的响应。

前端代码:在用户点击按钮时,通过发送跨域请求获取服务器返回的数据,并将数据打印到浏览器的控制台

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><button id="btn">获取数据</button><script>let btn = document.getElementById('btn');btn.addEventListener('click', () => {fetch('http://localhost:3000')  // 发送跨域请求到服务器.then(res => res.json()).then((res) => {console.log(res);  // 打印返回的数据到控制台})})</script>
</body>
</html>

代码实现了以下功能:

  1. 在 HTML 中定义了一个按钮元素,id 为 "btn",用于触发发送数据请求。
  2. 在 JavaScript 部分,使用 fetch 函数发送 GET 请求到指定的服务器地址 "http://localhost:3000"。
  3. 在成功接收到服务器响应后,使用 .then 方法将响应解析为 JSON 格式。
  4. 在第二个 .then 方法中,处理解析后的数据,并将其输出到浏览器的控制台。

后端代码 :Node.js 服务器代码,创建了一个 HTTP 服务器,监听在端口 3000。当接收到请求时,返回一个包含 "hello cors" 消息的 JSON 数据。

const http = require('http');const server = http.createServer((req, res) => {res.writeHead(200, {// cros实现原理'Access-Control-Allow-Origin': 'http://127.0.0.1:5500'  // 允许来自指定地址的跨域请求})let data = {msg: "hello cors"}res.end(JSON.stringify(data)) // 返回数据给前端页面
})server.listen(3000, () => {console.log('listening on port 3000');
})

后端代码第6行在服务端设置响应头来控制跨域访问

常见的响应头包括:

  • Access-Control-Allow-Origin:指定允许访问的域名。

  • 例如,Access-Control-Allow-Origin: *表示允许所有域名访问,

  • Access-Control-Allow-Origin:'http://127.0.0.1:5500'表示只允许特定域名访问。

  • Access-Control-Allow-Methods:指定允许的HTTP方法。

  • Access-Control-Allow-Headers:指定允许的自定义请求头。

CORS支持各种类型的HTTP请求,包括GET、POST等。

Domain

我们还可以使用 Domain 方法来解决一些特定情况下的跨域访问问题。 在跨域通信时,还需要注意以下几点:

  1. 页面的域名必须满足 Domain 方法的限制,即二级域名相同(如 example.com)。

  2. 父级页面需要在设置 document.domain 之前定义需要共享的变量或对象。

  3. 子级页面可以通过 window.parent 来访问父级页面的属性或变量,但需要确保父级页面已经加载完成并且两者的域名设置已生效。

下面举一个简单的例子来说明 Domain 方法的用法:

假设有两个页面分别位于不同子域名下,一个是 parent.example.com,另一个是 child.example.com。我们希望这两个页面能够进行跨域通信。

在父级页面 parent.example.com/index.html 中的代码如下:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Parent Page</title>
</head>
<body><h1>Parent Page</h1><iframe src="http://child.example.com/child.html"></iframe><script>document.domain = 'example.com';var messageFromParent = 'Hello from parent page!';</script>
</body>
</html>

在子级页面 child.example.com/child.html 中的代码如下:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Child Page</title>
</head>
<body><h1>Child Page</h1><script>document.domain = 'example.com';var messageFromChild = 'Hello from child page!';// 访问父级页面定义的变量var message = window.parent.messageFromParent;console.log('Message from parent: ' + message);</script>
</body>
</html>

在这个例子中,父级页面和子级页面分别设置了相同的 document.domain 为 'example.com',以实现二级域名相同。

父级页面定义了一个名为 messageFromParent 的变量,子级页面在加载后通过 window.parent 来访问父级页面定义的变量,并打印出父级页面的消息。

通过设置相同的 document.domain,父子页面之间就可以进行跨域通信,实现数据共享和交互。

postMessage

使用 postMessage() 方法结合 <iframe> 元素可以实现跨域通信,这是一种常见的技术。通过在父窗口和嵌套的 <iframe> 之间使用 postMessage() 方法,可以安全地在不同源之间进行通信。

<iframe> 可以用于解决跨域通信的问题,其原理是利用浏览器中同源策略的限制,将不同域的内容加载到独立的 <iframe> 中,通过 postMessage 方法进行跨文档通信。

在 a.html 文件中:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h2>a.html</h2><!-- 创建一个 iframe 元素来加载 b.html --><iframe src="http://127.0.0.1:5500/postMessage/b.html" frameborder="0" id="iframe"></iframe><script>// 向 b.html 发送数据let iframe = document.getElementById('iframe');iframe.onload = function() {// 准备要发送的数据let data = {name: 'Tom'};// 通过 postMessage 方法向 iframe 发送数据iframe.contentWindow.postMessage(JSON.stringify(data), 'http://127.0.0.1:5500');}// 监听来自 b.html 的消息window.addEventListener('message', function(e) {console.log(e.data);});</script>
</body>
</html>

在 b.html 文件中:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h4>b.html</h4><script>// 监听来自父页面的消息window.addEventListener('message', function(e) {console.log(JSON.parse(e.data));if (e.data) {// 收到消息后延迟 2 秒发送回应给父页面setTimeout(function() {window.parent.postMessage('我接受到', 'http://127.0.0.1:5500');}, 2000);}});</script>
</body>
</html>

优点:

  • 安全性:  使用 <iframe> 结合 postMessage 进行跨域通信是一种相对安全的方法,能够避免常见的跨站脚本攻击(XSS)。
  • 灵活性:  可以在不同域之间传递数据,实现更丰富的交互体验,如单点登录、共享数据等。
  • 适用性广泛:  跨域通信是 Web 开发中常见需求,而 <iframe> 结合 postMessage 是一种通用且有效的解决方案。

缺点:

  • 复杂性:  跨域通信涉及到多个文档之间的交互,需要额外的处理和编码,增加了开发的复杂度。
  • 性能开销:  使用 <iframe> 进行跨域通信可能会引入额外的网络请求和资源加载,对页面加载性能有一定影响。
  • 兼容性:  旧版本的浏览器可能对 postMessage 支持不完整,需要做兼容性处理。

Nginx 

nginx反向代理 配置 

这个配置允许任何域通过GET、POST和OPTIONS方法访问资源,并且允许一些常见的头信息字段。Access-Control-Max-Age 指令用于指定预检请求的结果能被缓存多久。

确保在实际部署时,根据安全和需求情况将Access-Control-Allow-Origin设置为特定域,而不是*(表示允许所有域),以减少跨站脚本攻击(XSS)的风险。

server {listen 80;server_name example.com;location / {# 设置允许跨域的域,* 表示允许任何域,也可以设置特定的域add_header 'Access-Control-Allow-Origin' '*';# 允许的方法add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';# 允许的头信息字段add_header 'Access-Control-Allow-Headers' 'User-Agent,Keep-Alive,Content-Type';# 缓存时间add_header 'Access-Control-Max-Age' 1728000;# 其他配置...}# 其他 server 配置...
}

.NetCore

在.NET Core中配置跨域非常简单。你可以在Startup.cs文件中的ConfigureServices方法添加跨域服务,并在Configure方法中配置跨域

public class Startup
{// ...// 在ConfigureServices方法中添加跨域服务public void ConfigureServices(IServiceCollection services){// ...services.AddCors(options =>{options.AddPolicy("CorsPolicy",builder => builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader());});}// 在Configure方法中配置跨域public void Configure(IApplicationBuilder app, IWebHostEnvironment env){// ...// 使用跨域策略app.UseCors("CorsPolicy");// ...}
}


http://www.ppmy.cn/news/1549010.html

相关文章

SpringBoot集成 Jasypt 实现数据源连接信息进行加密

SpringBoot集成 Jasypt 实现数据源连接信息进行加密 在实际项目中&#xff0c;敏感信息&#xff08;如数据库连接的 URL、用户名、密码等&#xff09;直接暴露在配置文件中可能导致安全隐患。为了解决这一问题&#xff0c;可以使用 Jasypt 来加密敏感信息&#xff0c;并在运行…

【设计模式】如何用C++实现适配器模式

【设计模式】如何用C实现适配器模式 一、问题背景 用到过很多次适配器模式&#xff0c;一直不理解为什么用这种模式&#xff0c;好像这个模式天生就该如此使用。 实际上&#xff0c;我们很多的理念都源于一些简朴的思想&#xff0c;这些思想不一定高深&#xff0c;但是在保证…

面向未来的智能视觉参考设计与汽车架构,思尔芯提供基于Arm技术的创新方案

引言&#xff1a; 随着科技的飞速发展&#xff0c;智能视觉IoT已成为科技领域的热门话题&#xff0c;为智能家居、智慧城市等领域带来新机遇。然而&#xff0c;物联网市场的碎片化特性对智能视觉芯片设计构成挑战。同时&#xff0c;汽车行业正经历技术驱动的变革&#xff0c;软…

Docker+Nginx | Docker(Nginx) + Docker(fastapi)反向代理

在DockerHub搜 nginx&#xff0c;第一个就是官方镜像库&#xff0c;这里使用1.27.2版本演示 1.下载镜像 docker pull nginx:1.27.2 2.测试运行 docker run --name nginx -p 9090:80 -d nginx:1.27.2 这里绑定了宿主机的9090端口&#xff0c;只要访问宿主机的9090端口&#…

uni-app 界面TabBar中间大图标设置的两种方法

一、前言 最近写基于uni-app 写app项目的时候&#xff0c;底部导航栏 中间有一个固定的大图标&#xff0c;并且没有激活状态。这里记录下实现方案。效果如下&#xff08;党组织这个图标&#xff09;&#xff1a; 方法一&#xff1a;midButton的使用 官方文档&#xff1a;ta…

开源Tacchi 视触觉传感器仿真器,为机器人与物体接触仿真提供高质量的Sim2Real性能!

Tacchi是一个基于Taichi编程语言开发的低计算成本弹性体形变仿真器&#xff0c;由方斌教授团队开发并已开源&#xff0c;为机器人与物体接触仿真提供高质量的Sim2Real性能&#xff01;该仿真器以较低的计算资源消耗来模拟弹性体的物理形变&#xff0c;并生成与真实触觉图像相似…

同态加密技术与应用场景

【1】应用场景 同态加密&#xff08;Homomorphic Encryption, HE&#xff09;是一种加密技术&#xff0c;它允许直接对加密数据进行特定的操作&#xff0c;而不需要先将数据解密。这种特性使得同态加密在保护数据隐私的同时&#xff0c;还能支持数据的处理和分析&#xff0c;因…

Sourcetree登录GitLab账号

1. 在GitLab上创建个人访问令牌 在gitlab中点击右上角的头像图标&#xff0c;选择设置进入 Access Tokens&#xff08;访问令牌&#xff09; 页面填写令牌名称和到期时间&#xff0c;指定Scopes&#xff08;范围&#xff09;。一般选择read_repository和api点击 Create person…