前端跨域解決方案總結(jié)

• 一、什么是跨域？
• 二、為什么會(huì)產(chǎn)生跨域
• 三、常見(jiàn)的跨域場(chǎng)景
• 四、9種跨域解決方案
• • 1、JSONP跨域
  • • 1、概述
    • 2、實(shí)現(xiàn)流程
    • 3、jsonp簡(jiǎn)單實(shí)現(xiàn)
    • • 1)、原生JS實(shí)現(xiàn)
      • 2）jquery Ajax實(shí)現(xiàn)：
      • 3）Vue axios實(shí)現(xiàn)：
      • 4)、后端node.js代碼：
  • 2、跨域資源共享（CORS）
  • • 1、概述
    • 2、跨域是瀏覽器還是服務(wù)器的限制？
    • 3、預(yù)檢請(qǐng)求
    • • 1）、預(yù)檢請(qǐng)求定義
      • 2）、預(yù)檢請(qǐng)求示例
    • 4、CORS 與認(rèn)證
    • 5、這種方法如果后端是采用node開(kāi)發(fā)的，可以使用 CORS 模塊
    • 6、補(bǔ)充，原生ajax和jquery的ajax
  • 3、nginx代理跨域
  • • 1、nginx配置解決iconfont跨域
    • 2、nginx反向代理接口跨域
  • 4、nodejs中間件代理跨域
  • • • 1）非vue框架的跨域
      • 2）vue框架的跨域
  • 5、document.domain + iframe跨域
  • 6、location.hash + iframe跨域
  • 7、window.name + iframe跨域
  • 8、postMessage跨域
  • 9、WebSocket協(xié)議跨域
  • 10、小結(jié)

一、什么是跨域？

在前端領(lǐng)域中，跨域是指瀏覽器允許向服務(wù)器發(fā)送跨域請(qǐng)求，從而克服Ajax只能同源使用的限制。

二、為什么會(huì)產(chǎn)生跨域

因?yàn)闉g覽器內(nèi)部有一種約定叫做同源策略它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，瀏覽器很容易受到XSS、CSFR等攻擊。

那么什么叫做同源策略呢？

同源策略是指在Web瀏覽器中，允許某個(gè)網(wǎng)頁(yè)腳本訪問(wèn)另一個(gè)網(wǎng)頁(yè)的數(shù)據(jù)，但前提是這兩個(gè)網(wǎng)頁(yè)必須有相同的URI、主機(jī)名和端口號(hào)，一旦兩個(gè)網(wǎng)站滿足上述條件，這兩個(gè)網(wǎng)站就被認(rèn)定為具有相同來(lái)源。此策略可防止某個(gè)網(wǎng)頁(yè)上的惡意腳本通過(guò)該頁(yè)面的文檔對(duì)象模型訪問(wèn)另一網(wǎng)頁(yè)上的敏感數(shù)據(jù)。

同源策略限制以下幾種行為：

1、Cookie、LocalStorage 和 IndexDB 無(wú)法讀取

2、DOM和JS對(duì)象無(wú)法獲得

3、AJAX 請(qǐng)求不能發(fā)送

三、常見(jiàn)的跨域場(chǎng)景

四、9種跨域解決方案

1、JSONP跨域

1、概述

JSONP是JSON with Padding的略稱。它是一個(gè)非官方的協(xié)議，它允許在服務(wù)器端集成Script tags返回至客戶端，通過(guò)javascript callback的形式實(shí)現(xiàn)跨域訪問(wèn)

script 標(biāo)簽 src 屬性中的鏈接卻可以訪問(wèn)跨域的js腳本，利用這個(gè)特性，服務(wù)端不再返回JSON格式的數(shù)據(jù)，而是返回一段調(diào)用某個(gè)函數(shù)的js代碼，在src中進(jìn)行了調(diào)用，這樣實(shí)現(xiàn)了跨域。

2、實(shí)現(xiàn)流程

1、設(shè)定一個(gè)script標(biāo)簽

<script src="http://jsonp.js?callback=xxx"></script>

2、callback定義了一個(gè)函數(shù)名，而遠(yuǎn)程服務(wù)端通過(guò)調(diào)用指定的函數(shù)并傳入?yún)?shù)來(lái)實(shí)現(xiàn)傳遞參數(shù)，將fn(response)傳遞回客戶端

$callback = !empty($_GET['callback']) ? $_GET['callback'] : 'callback'; echo $callback.'(.json_encode($data).)';

3、客戶端接收到返回的js腳本，開(kāi)始解析和執(zhí)行fn(response)

3、jsonp簡(jiǎn)單實(shí)現(xiàn)

一個(gè)簡(jiǎn)單的jsonp實(shí)現(xiàn)，其實(shí)就是拼接url，然后將動(dòng)態(tài)添加一個(gè)script元素到頭部
jsonp的缺點(diǎn)：只能發(fā)送get一種請(qǐng)求。

1)、原生JS實(shí)現(xiàn)

前端示例

<!DOCTYPE html> <html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>測(cè)試</title> </head><body><script>let script = document.createElement('script');script.type = 'text/javascript';// 傳參一個(gè)回調(diào)函數(shù)名給后端，方便后端返回時(shí)執(zhí)行這個(gè)在前端定義的回調(diào)函數(shù)script.src = 'http://localhost:5000/login?callback=handleCallback';document.head.appendChild(script);// 回調(diào)執(zhí)行函數(shù)function handleCallback(res) {alert(JSON.stringify(res));}</script> </body></html>

2）jquery Ajax實(shí)現(xiàn)：

$.ajax({url: 'http://localhost:5000/login',type: 'get',dataType: 'jsonp', // 請(qǐng)求方式為jsonpjsonpCallback: "handleCallback", // 自定義回調(diào)函數(shù)名data: {} });

3）Vue axios實(shí)現(xiàn)：

axios.jsonp('http://localhost:5000/login', {params: {},jsonp: 'handleCallback' }).then((res) => {console.log(res); })

4)、后端node.js代碼：

const http = require('http'); const url = require('url');const port = 5000; const data = { 'data': 'world' };http.createServer(function (req, res) {console.log(req.url) ///login?callback=handleCallbackconst params = url.parse(req.url, true);console.log(params)/* Url {protocol: null,slashes: null,auth: null,host: null,port: null,hostname: null,hash: null,search: '?callback=handleCallback',query: [Object: null prototype] { callback: 'handleCallback' },pathname: '/login',path: '/login?callback=handleCallback',href: '/login?callback=handleCallback'}*/if (params.query.callback) {console.log(params.query.callback); //handleCallback//jsonplet str = params.query.callback + '(' + JSON.stringify(data) + ')';//handleCallback({data: "world"})res.end(str);} else {res.end();} }).listen(port, function () {console.log(`Server is running at port ${port}...`); });

2、跨域資源共享（CORS）

1、概述

Cross-origin Resource Sharing 中文名稱 “跨域資源共享” 簡(jiǎn)稱 “CORS”，它突破了一個(gè)請(qǐng)求在瀏覽器發(fā)出只能在同源的情況下向服務(wù)器獲取數(shù)據(jù)的限制。

它允許瀏覽器向跨域服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而克服了AJAX只能同源使用的限制。

CORS需要瀏覽器和服務(wù)器同時(shí)支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低于IE10。

2、跨域是瀏覽器還是服務(wù)器的限制？

從一段示例開(kāi)始
創(chuàng)建 index.html 使用 fetch 調(diào)用 http://127.0.0.1:3011/api/data

<body><!-- <script src="https://cdn.bootcdn.net/ajax/libs/fetch/3.0.0/fetch.min.js"></script> --><script>fetch('http://127.0.0.1:3011/api/data');</script> </body>

創(chuàng)建 client.js 用來(lái)加載上面 index.html。設(shè)置端口為 3010。

const http = require('http'); const fs = require('fs'); const PORT = 3010; http.createServer((req, res) => {fs.createReadStream('index.html').pipe(res); }).listen(PORT);

創(chuàng)建 server.js 開(kāi)啟一個(gè)服務(wù)，根據(jù)不同的請(qǐng)求返回不同的響應(yīng)。設(shè)置端口為 3011。

const http = require('http'); const PORT = 3011;http.createServer((req, res) => {const url = req.url;console.log('request url: ', url);if (url === '/api/data') {return res.end('ok!');}if (url === '/script') {return res.end('console.log("hello world!");');} }).listen(PORT);console.log('Server listening on port ', PORT);

運(yùn)行上面的 client.js、server.js 瀏覽器輸入 http://127.0.0.1:3010 在 Chrome 瀏覽器中打開(kāi) Network 項(xiàng)查看請(qǐng)求信息，如下所示：

使用 fetch 請(qǐng)求的 127.0.0.1:3011/api/data 接口，在請(qǐng)求頭里可以看到有 Origin 字段，顯示了我們當(dāng)前的請(qǐng)求信息。另外還有三個(gè) Sec-Fetch-* 開(kāi)頭的字段

其中 Sec-Fetch-Mode 表示請(qǐng)求的模式
Sec-Fetch-Site 表示的是這個(gè)請(qǐng)求是同源還是跨域，由于我們的請(qǐng)求都是由 3010 端口發(fā)出去請(qǐng)求 3011 端口，是不符合同源策略的.

看下瀏覽器 Console 下的日志信息，根據(jù)提示得知原因是從 “http://127.0.0.1:3010” 訪問(wèn) “http://127.0.0.1:3011/api/data” 被 CORS 策略阻止了，沒(méi)有 “Access-Control-Allow-Origin” 標(biāo)頭

在看下服務(wù)端的日志，因?yàn)檎?qǐng)求 3011 服務(wù)，所以就看下 3011 服務(wù)的日志信息：

在服務(wù)端是有收到請(qǐng)求信息的，說(shuō)明服務(wù)端是正常工作的。

所以最終的結(jié)論
瀏覽器限制了從腳本內(nèi)發(fā)起的跨源 HTTP 請(qǐng)求，例如 XMLHttpRequest 和我們本示例中使用的 Fetch API 都是遵循的同源策略。

當(dāng)一個(gè)請(qǐng)求在瀏覽器端發(fā)送出去后，服務(wù)端是會(huì)收到的并且也會(huì)處理和響應(yīng)，只不過(guò)瀏覽器在解析這個(gè)請(qǐng)求的響應(yīng)之后，發(fā)現(xiàn)不屬于瀏覽器的同源策略（地址里面的協(xié)議、域名和端口號(hào)均相同）也沒(méi)有包含正確的 CORS 響應(yīng)頭，返回結(jié)果被瀏覽器給攔截了。

3、預(yù)檢請(qǐng)求

預(yù)檢請(qǐng)求是在發(fā)送實(shí)際的請(qǐng)求之前，客戶端會(huì)先發(fā)送一個(gè) OPTIONS 方法的請(qǐng)求向服務(wù)器確認(rèn)，如果通過(guò)之后，瀏覽器才會(huì)發(fā)起真正的請(qǐng)求，這樣可以避免跨域請(qǐng)求對(duì)服務(wù)器的用戶數(shù)據(jù)造成影響。

看到這里你可能有疑問(wèn)為什么上面的示例沒(méi)有預(yù)檢請(qǐng)求？因?yàn)?CORS 將請(qǐng)求分為了兩類：簡(jiǎn)單請(qǐng)求和非簡(jiǎn)單請(qǐng)求。我們上面的情況屬于簡(jiǎn)單請(qǐng)求，所以也就沒(méi)有了預(yù)檢請(qǐng)求。

讓我們繼續(xù)在看下簡(jiǎn)單請(qǐng)求和非簡(jiǎn)單請(qǐng)求是如何定義的。

1）、預(yù)檢請(qǐng)求定義

根據(jù) MDN 的文檔定義，請(qǐng)求方法為：GET、POST、HEAD，請(qǐng)求頭 Content-Type 為：text/plain、multipart/form-data、application/x-www-form-urlencoded 的就屬于 “簡(jiǎn)單請(qǐng)求” 不會(huì)觸發(fā) CORS 預(yù)檢請(qǐng)求。

例如，如果請(qǐng)求頭的 Content-Type 為 application/json 就會(huì)觸發(fā) CORS 預(yù)檢請(qǐng)求，這里也會(huì)稱為 “非簡(jiǎn)單請(qǐng)求”。

2）、預(yù)檢請(qǐng)求示例

設(shè)置客戶端
為 index.html 里的 fetch 方法增加一些設(shè)置，設(shè)置請(qǐng)求的方法為 PUT，請(qǐng)求頭增加一個(gè)自定義字段 Test-Cors。

<script>fetch('http://127.0.0.1:3011/api/data', {method: 'PUT',headers: {'Content-Type': 'text/plain','Test-Cors': 'abc'}}); </script>

上述代碼在瀏覽器執(zhí)行時(shí)會(huì)發(fā)現(xiàn)是一個(gè)非簡(jiǎn)單請(qǐng)求，就會(huì)先執(zhí)行一個(gè)預(yù)檢請(qǐng)求，

再通過(guò)控制臺(tái)看一下此時(shí)的信息顯示

可以看到有一個(gè) OPTIONS 是預(yù)檢請(qǐng)求使用的方法，該方法是在 HTTP/1.1 協(xié)議中所定義的，還有一個(gè)重要的字段 Origin 表示請(qǐng)求來(lái)自哪個(gè)源，服務(wù)端則可以根據(jù)這個(gè)字段判斷是否是合法的請(qǐng)求源，例如 Websocket 中因?yàn)闆](méi)有了同源策略限制，服務(wù)端可以根據(jù)這個(gè)字段來(lái)判斷。

Access-Control-Request-Method 告訴服務(wù)器，實(shí)際請(qǐng)求將使用 PUT 方法。

Access-Control-Request-Headers 告訴服務(wù)器，實(shí)際請(qǐng)求將使用兩個(gè)頭部字段 content-type,test-cors。這里如果 content-type 指定的為簡(jiǎn)單請(qǐng)求中的幾個(gè)值，Access-Control-Request-Headers 在告訴服務(wù)器時(shí)，實(shí)際請(qǐng)求將只有 test-cors 這一個(gè)頭部字段。

此時(shí)還是處于跨域狀態(tài)，因?yàn)槲覀儾](méi)有設(shè)置服務(wù)端。所以預(yù)檢之后的請(qǐng)求依舊報(bào)紅，顯示跨域，如下圖


為了解決跨域，現(xiàn)在設(shè)置服務(wù)端

上面講解了客戶端的設(shè)置，同樣的要使請(qǐng)求能夠正常響應(yīng)，還需服務(wù)端的支持。

修改我們的 server.js 重點(diǎn)是設(shè)置 Response Headers 代碼如下所示：

const http = require('http'); const PORT = 3011;http.createServer((req, res) => {const url = req.url;console.log('request url: ', url);if (url === '/api/data') {res.writeHead(200, {'Access-Control-Allow-Origin': 'http://127.0.0.1:3010','Access-Control-Allow-Headers': 'Test-CORS, Content-Type','Access-Control-Allow-Methods': 'PUT,DELETE','Access-Control-Max-Age': 86400});res.end()}if (url === '/script') {res.writeHead(200, {'Access-Control-Allow-Origin': 'http://127.0.0.1:3010','Access-Control-Allow-Headers': 'Test-CORS, Content-Type','Access-Control-Allow-Methods': 'PUT,DELETE','Access-Control-Max-Age': 86400});res.end()} }).listen(PORT);console.log('Server listening on port ', PORT);

為什么是以上配置？首先預(yù)檢請(qǐng)求時(shí)，瀏覽器給了服務(wù)器幾個(gè)重要的信息 Origin、Method 為 PUT、Headers 為 content-type,test-cors 服務(wù)端在收到之后，也要做些設(shè)置，給予回應(yīng)。

Access-Control-Allow-Origin 表示 “http://127.0.0.1:3010” 這個(gè)請(qǐng)求源是可以訪問(wèn)的，該字段也可以設(shè)置為 “*” 表示允許任意跨源請(qǐng)求。

Access-Control-Allow-Methods 表示服務(wù)器允許客戶端使用 PUT、DELETE 方法發(fā)起請(qǐng)求，可以一次設(shè)置多個(gè)，表示服務(wù)器所支持的所有跨域方法，而不單是當(dāng)前請(qǐng)求那個(gè)方法，這樣好處是為了避免多次預(yù)檢請(qǐng)求。

Access-Control-Allow-Headers 表示服務(wù)器允許請(qǐng)求中攜帶 Test-CORS、Content-Type 字段，也可以設(shè)置多個(gè)。

Access-Control-Max-Age 表示該響應(yīng)的有效期，單位為秒。在有效時(shí)間內(nèi)，瀏覽器無(wú)須為同一請(qǐng)求再次發(fā)起預(yù)檢請(qǐng)求。還有一點(diǎn)需要注意，該值要小于瀏覽器自身維護(hù)的最大有效時(shí)間，否則是無(wú)效的。

看下增加了預(yù)檢請(qǐng)求的效果，如第一張圖，第一次先發(fā)出了 OPTIONS 請(qǐng)求，并且在請(qǐng)求頭設(shè)置了本次請(qǐng)求的方法和 Headers 信息，服務(wù)端在 Response 也做了回應(yīng)，在 OPTIONS 成功之后，瀏覽器緊跟著才發(fā)起了我們本次需要的真實(shí)請(qǐng)求，如下面第二張圖所示 Resquest Method 為 PUT。

通過(guò)上面的方法，便可以解決跨域

4、CORS 與認(rèn)證

對(duì)于跨域的 XMLHttpRequest 或 Fetch 請(qǐng)求，瀏覽器是不會(huì)發(fā)送身份憑證信息的。例如我們要在跨域請(qǐng)求中發(fā)送 Cookie 信息，就要做些設(shè)置：

為了能看到效果，我先自定義了一個(gè) cookie 信息 id=NodejsRoadmap。

重點(diǎn)是設(shè)置認(rèn)證字段，本文中 fetch 示例設(shè)置 credentials: “include” 如果是 XMLHttpRequest 則設(shè)置 withCredentials:“include” <body><script>document.cookie = `id=NodejsRoadmap`;fetch('http://127.0.0.1:3011/api/data', {method: 'PUT',headers: {'Content-Type': 'application/json','Test-Cors': 'abc',},credentials: "include"});</script> </body>

現(xiàn)在我們先不調(diào)整服務(wù)端，看一下是什么情況
通過(guò)查看控制臺(tái)，發(fā)現(xiàn)跨域了

經(jīng)過(guò)以上設(shè)置，瀏覽器發(fā)送實(shí)際請(qǐng)求時(shí)會(huì)向服務(wù)器發(fā)送 Cookies，但同時(shí)服務(wù)器也需要在響應(yīng)中設(shè)置 Access-Control-Allow-Credentials 響應(yīng)頭

這樣請(qǐng)求就可以正常發(fā)送了，不存在跨域了

還有一點(diǎn)需要注意，如果我們?cè)谡?qǐng)求中設(shè)置了 credentials: “include” 服務(wù)端就不能設(shè)置 Access-Control-Allow-Origin: “*” 只能設(shè)置為一個(gè)明確的地址。

5、這種方法如果后端是采用node開(kāi)發(fā)的，可以使用 CORS 模塊

const http = require('http'); const PORT = 3011; const corsMiddleware = require('cors')({origin: 'http://127.0.0.1:3010',methods: 'PUT,DELETE',allowedHeaders: 'Test-CORS, Content-Type',maxAge: 1728000,credentials: true, });http.createServer((req, res) => {const { url, method } = req;console.log('request url:', url, ', request method:', method);const nextFn = () => {if (method === 'PUT' && url === '/api/data') {return res.end('ok!');}return res.end();}corsMiddleware(req, res, nextFn); }).listen(PORT); cors 在預(yù)檢請(qǐng)求之后或在預(yù)檢請(qǐng)求里并選項(xiàng)中設(shè)置了 preflightContinue 屬性之后才會(huì)執(zhí)行 nextFn 這個(gè)函數(shù)，如果預(yù)檢失敗就不會(huì)執(zhí)行 nextFn 函數(shù)。

如果你用的 Express.js 框架，使用起來(lái)也很簡(jiǎn)單，如下所示：

const express = require('express') const cors = require('cors') const app = express()app.use(cors());

6、補(bǔ)充，原生ajax和jquery的ajax

原生ajax

var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容// 前端設(shè)置是否帶cookie xhr.withCredentials = true;xhr.open('post', 'http://www.domain2.com:8080/login', true); xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); xhr.send('user=admin');xhr.onreadystatechange = function() {if (xhr.readyState == 4 && xhr.status == 200) {alert(xhr.responseText);} };

jquery ajax

$.ajax({...xhrFields: {withCredentials: true // 前端設(shè)置是否帶cookie},crossDomain: true, // 會(huì)讓請(qǐng)求頭中包含跨域的額外信息，但不會(huì)含cookie... });

3、nginx代理跨域

nginx代理跨域，實(shí)質(zhì)和CORS跨域原理一樣，通過(guò)配置文件設(shè)置請(qǐng)求響應(yīng)頭Access-Control-Allow-Origin…等字段。

1、nginx配置解決iconfont跨域

瀏覽器跨域訪問(wèn)js、css、img等常規(guī)靜態(tài)資源被同源策略許可，但iconfont字體文件(eot|otf|ttf|woff|svg)例外，此時(shí)可在nginx的靜態(tài)資源服務(wù)器中加入以下配置。

location / {add_header Access-Control-Allow-Origin *; }

2、nginx反向代理接口跨域

跨域問(wèn)題：同源策略僅是針對(duì)瀏覽器的安全策略。服務(wù)器端調(diào)用HTTP接口只是使用HTTP協(xié)議，不需要同源策略，也就不存在跨域問(wèn)題。 實(shí)現(xiàn)思路：使用 Nginx 代理服務(wù)器之后，請(qǐng)求不會(huì)直接到達(dá)我們的 Node.js 服務(wù)器端，請(qǐng)求會(huì)先經(jīng)過(guò) Nginx 在設(shè)置一些跨域等信息之后再由 Nginx 轉(zhuǎn)發(fā)到我們的 Node.js 服務(wù)端，所以這個(gè)時(shí)候我們的 Nginx 服務(wù)器去監(jiān)聽(tīng)的 3011 端口，我們把 Node.js 服務(wù)的端口修改為 30011，簡(jiǎn)單配置如下所示：

nginx具體配置：

server {listen 3011;server_name localhost;location / {if ($request_method = 'OPTIONS') {add_header 'Access-Control-Allow-Origin' 'http://127.0.0.1:3010';add_header 'Access-Control-Allow-Methods' 'PUT,DELETE';add_header 'Access-Control-Allow-Headers' 'Test-CORS, Content-Type';add_header 'Access-Control-Max-Age' 1728000;add_header 'Access-Control-Allow-Credentials' 'true';add_header 'Content-Length' 0;return 204;}add_header 'Access-Control-Allow-Origin' 'http://127.0.0.1:3010';add_header 'Access-Control-Allow-Credentials' 'true';proxy_pass http://127.0.0.1:30011;proxy_set_header Host $host;} }

4、nodejs中間件代理跨域

node中間件實(shí)現(xiàn)跨域代理，原理大致與nginx相同，都是通過(guò)啟一個(gè)代理服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，也可以通過(guò)設(shè)置cookieDomainRewrite參數(shù)修改響應(yīng)頭中cookie中域名，實(shí)現(xiàn)當(dāng)前域的cookie寫入，方便接口登錄認(rèn)證。

1）非vue框架的跨域

使用node + express + http-proxy-middleware搭建一個(gè)proxy服務(wù)器。
前端代碼：

var xhr = new XMLHttpRequest();// 前端開(kāi)關(guān)：瀏覽器是否讀寫cookie xhr.withCredentials = true;// 訪問(wèn)http-proxy-middleware代理服務(wù)器 xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true); xhr.send();

中間件服務(wù)器代碼：

var express = require('express'); var proxy = require('http-proxy-middleware'); var app = express();app.use('/', proxy({// 代理跨域目標(biāo)接口target: 'http://www.domain2.com:8080',changeOrigin: true,// 修改響應(yīng)頭信息，實(shí)現(xiàn)跨域并允許帶cookieonProxyRes: function(proxyRes, req, res) {res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');res.header('Access-Control-Allow-Credentials', 'true');},// 修改響應(yīng)信息中的cookie域名cookieDomainRewrite: 'www.domain1.com' // 可以為false，表示不修改 }));app.listen(3000); console.log('Proxy server is listen at port 3000...');

2）vue框架的跨域

node + vue + webpack + webpack-dev-server搭建的項(xiàng)目，跨域請(qǐng)求接口，直接修改webpack.config.js配置。開(kāi)發(fā)環(huán)境下，vue渲染服務(wù)和接口代理服務(wù)都是webpack-dev-server同一個(gè)，所以頁(yè)面與代理接口之間不再跨域。

詳情請(qǐng)查看我的另一篇文章
vue項(xiàng)目怎樣解決跨域問(wèn)題呢？

5、document.domain + iframe跨域

此方案僅限主域相同，子域不同的跨域應(yīng)用場(chǎng)景。實(shí)現(xiàn)原理：兩個(gè)頁(yè)面都通過(guò)js強(qiáng)制設(shè)置document.domain為基礎(chǔ)主域，就實(shí)現(xiàn)了同域。

1）父窗口：(http://www.domain.com/a.html)

<iframe id="iframe" src="http://child.domain.com/b.html"></iframe> <script>document.domain = 'domain.com';var user = 'admin'; </script>

2）子窗口：(http://child.domain.com/a.html)

<script>document.domain = 'domain.com';// 獲取父窗口中變量console.log('get js data from parent ---> ' + window.parent.user); </script>

6、location.hash + iframe跨域

實(shí)現(xiàn)原理： a域與b域跨域相互通信，通過(guò)中間頁(yè)c來(lái)實(shí)現(xiàn)。 三個(gè)頁(yè)面，不同域之間利用iframe的location.hash傳值，相同域之間直接js訪問(wèn)來(lái)通信。

具體實(shí)現(xiàn)：A域：a.html -> B域：b.html -> A域：c.html，a與b不同域只能通過(guò)hash值單向通信，b與c也不同域也只能單向通信，但c與a同域，所以c可通過(guò)parent.parent訪問(wèn)a頁(yè)面所有對(duì)象。

1）a.html：(http://www.domain1.com/a.html)

<iframe id="iframe" src="http://www.domain2.com/b.html" style="display:none;"></iframe> <script>var iframe = document.getElementById('iframe');// 向b.html傳hash值setTimeout(function() {iframe.src = iframe.src + '#user=admin';}, 1000);// 開(kāi)放給同域c.html的回調(diào)方法function onCallback(res) {alert('data from c.html ---> ' + res);} </script>

2）b.html：(http://www.domain2.com/b.html)

<iframe id="iframe" src="http://www.domain1.com/c.html" style="display:none;"></iframe> <script>var iframe = document.getElementById('iframe');// 監(jiān)聽(tīng)a.html傳來(lái)的hash值，再傳給c.htmlwindow.onhashchange = function () {iframe.src = iframe.src + location.hash;}; </script>

3）c.html：(http://www.domain1.com/c.html)

<script>// 監(jiān)聽(tīng)b.html傳來(lái)的hash值window.onhashchange = function () {// 再通過(guò)操作同域a.html的js回調(diào)，將結(jié)果傳回window.parent.parent.onCallback('hello: ' + location.hash.replace('#user=', ''));}; </script>

7、window.name + iframe跨域

window.name屬性的獨(dú)特之處：name值在不同的頁(yè)面（甚至不同域名）加載后依舊存在，并且可以支持非常長(zhǎng)的 name 值（2MB）。

1）a.html：(http://www.domain1.com/a.html)

var proxy = function(url, callback) {var state = 0;var iframe = document.createElement('iframe');// 加載跨域頁(yè)面iframe.src = url;// onload事件會(huì)觸發(fā)2次，第1次加載跨域頁(yè)，并留存數(shù)據(jù)于window.nameiframe.onload = function() {if (state === 1) {// 第2次onload(同域proxy頁(yè))成功后，讀取同域window.name中數(shù)據(jù)callback(iframe.contentWindow.name);destoryFrame();} else if (state === 0) {// 第1次onload(跨域頁(yè))成功后，切換到同域代理頁(yè)面iframe.contentWindow.location = 'http://www.domain1.com/proxy.html';state = 1;}};document.body.appendChild(iframe);// 獲取數(shù)據(jù)以后銷毀這個(gè)iframe，釋放內(nèi)存；這也保證了安全（不被其他域frame js訪問(wèn)）function destoryFrame() {iframe.contentWindow.document.write('');iframe.contentWindow.close();document.body.removeChild(iframe);} };// 請(qǐng)求跨域b頁(yè)面數(shù)據(jù) proxy('http://www.domain2.com/b.html', function(data){alert(data); });

2）proxy.html：(http://www.domain1.com/proxy.html)
?中間代理頁(yè)，與a.html同域，內(nèi)容為空即可。
3）b.html：(http://www.domain2.com/b.html)

<script>window.name = 'This is domain2 data!'; </script>

通過(guò)iframe的src屬性由外域轉(zhuǎn)向本地域，跨域數(shù)據(jù)即由iframe的window.name從外域傳遞到本地域。這個(gè)就巧妙地繞過(guò)了瀏覽器的跨域訪問(wèn)限制，但同時(shí)它又是安全操作。

8、postMessage跨域

postMessage是HTML5 XMLHttpRequest Level 2中的API，且是為數(shù)不多可以跨域操作的window屬性之一，它可用于解決以下方面的問(wèn)題：

1、頁(yè)面和其打開(kāi)的新窗口的數(shù)據(jù)傳遞
2、多窗口之間消息傳遞
3、頁(yè)面與嵌套的iframe消息傳遞
4、上面三個(gè)場(chǎng)景的跨域數(shù)據(jù)傳遞

用法：postMessage(data,origin)方法接受兩個(gè)參數(shù)：

data： html5規(guī)范支持任意基本類型或可復(fù)制的對(duì)象，但部分瀏覽器只支持字符串，所以傳參時(shí)最好用JSON.stringify()序列化。
origin： 協(xié)議+主機(jī)+端口號(hào)，也可以設(shè)置為"*"，表示可以傳遞給任意窗口，如果要指定和當(dāng)前窗口同源的話設(shè)置為"/"。

1）a.html：(http://www.domain1.com/a.html)

<iframe id="iframe" src="http://www.domain2.com/b.html" style="display:none;"></iframe> <script> var iframe = document.getElementById('iframe');iframe.onload = function() {var data = {name: 'aym'};// 向domain2傳送跨域數(shù)據(jù)iframe.contentWindow.postMessage(JSON.stringify(data), 'http://www.domain2.com');};// 接受domain2返回?cái)?shù)據(jù)window.addEventListener('message', function(e) {alert('data from domain2 ---> ' + e.data);}, false); </script>

2）b.html：(http://www.domain2.com/b.html)

<script>// 接收domain1的數(shù)據(jù)window.addEventListener('message', function(e) {alert('data from domain1 ---> ' + e.data);var data = JSON.parse(e.data);if (data) {data.number = 16;// 處理后再發(fā)回domain1window.parent.postMessage(JSON.stringify(data), 'http://www.domain1.com');}}, false); </script>

9、WebSocket協(xié)議跨域

WebSocket protocol是HTML5一種新的協(xié)議。它實(shí)現(xiàn)了瀏覽器與服務(wù)器全雙工通信，同時(shí)允許跨域通訊，是server push技術(shù)的一種很好的實(shí)現(xiàn)。
原生WebSocket API使用起來(lái)不太方便，我們使用Socket.io，它很好地封裝了webSocket接口，提供了更簡(jiǎn)單、靈活的接口，也對(duì)不支持webSocket的瀏覽器提供了向下兼容。
1）前端代碼：

<div>user input：<input type="text"></div> <script src="https://cdn.bootcss.com/socket.io/2.2.0/socket.io.js"></script> <script> var socket = io('http://www.domain2.com:8080');// 連接成功處理 socket.on('connect', function() {// 監(jiān)聽(tīng)服務(wù)端消息socket.on('message', function(msg) {console.log('data from server: ---> ' + msg); });// 監(jiān)聽(tīng)服務(wù)端關(guān)閉socket.on('disconnect', function() { console.log('Server socket has closed.'); }); });document.getElementsByTagName('input')[0].onblur = function() {socket.send(this.value); }; </script>

2）Nodejs socket后臺(tái)：

var http = require('http'); var socket = require('socket.io');// 啟http服務(wù) var server = http.createServer(function(req, res) {res.writeHead(200, {'Content-type': 'text/html'});res.end(); });server.listen('8080'); console.log('Server is running at port 8080...');// 監(jiān)聽(tīng)socket連接 socket.listen(server).on('connection', function(client) {// 接收信息client.on('message', function(msg) {client.send('hello：' + msg);console.log('data from client: ---> ' + msg);});// 斷開(kāi)處理client.on('disconnect', function() {console.log('Client socket has closed.'); }); });

10、小結(jié)

以上就是9種常見(jiàn)的跨域解決方案，jsonp（只支持get請(qǐng)求，支持老的IE瀏覽器）適合加載不同域名的js、css，img等靜態(tài)資源；CORS（支持所有類型的HTTP請(qǐng)求，但瀏覽器IE10以下不支持）適合做ajax各種跨域請(qǐng)求；Nginx代理跨域和nodejs中間件跨域原理都相似，都是搭建一個(gè)服務(wù)器，直接在服務(wù)器端請(qǐng)求HTTP接口，這適合前后端分離的前端項(xiàng)目調(diào)后端接口。document.domain+iframe適合主域名相同，子域名不同的跨域請(qǐng)求。postMessage、websocket都是HTML5新特性，兼容性不是很好，只適用于主流瀏覽器和IE10+。

參考自
https://www.imooc.com/article/291931
https://mp.weixin.qq.com/s/OG8Vb1Rc1Md4ON7usSu90A

總結(jié)

以上是生活随笔為你收集整理的前端跨域解决方案总结的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。