前端同源策略以及跨域解决方式
一、同源:域名、端口、协议都相同。如果有一个不同,则是跨域。
同源策略是浏览器的安全策略,用来阻止origin文档或者是它加载的脚本与另外一个源的资源进行交互。可以阻挡恶意文档,减少被攻击的路径。
同源策略是一种约定,web是构建在此基础之上的,浏览器只是真的就它的一种实现。
当在浏览器打开两个tab页,分别是百度谷歌,当在百度加载脚本时,将会检查这个脚本是否同源,如果不是,则会拒绝访问。
同源策略是浏览器的行为,为了保护本地数据不被请求回来的数据污染,拦截的是客户端发出的请求请求回来的数据,服务器响应了数据,但是被同源策略拦截。
二、跨域:非同源资源之间尝试通信,将产生跨域
同源策略出于安全考虑,限制了以下行为:Cookie、LocalStorage、IndexDB无法读取,DOM和JS对象无法获取、Ajax请求发送不出去
但是有三个标签允许跨域加载资源:<img src=xxx> 、<link href> 、<script src=xxx>
触发跨域:非同源请求,服务端设置cors限制。
特别注意:
第一:如果是协议和端口造成的跨域问题,前台是无法解决的。
第二:在跨域问题上,仅仅是通过"URL的首部"来识别而不会根据域名对应的IP地址是否相同来判断,"URL首部"可以理解为协议、域名、端口。
第三:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。表单方式可以发起跨域请求是因为它不会获取新的内容,所以可以发送请求,这也说明了跨域并不能完全阻止CSRF,因为阻止的只是响应消息。
三、解决跨域方式
1.通过jsonp跨域
-原理:利用<script>标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的JSON数据。JSONP请求一定需要对方的服务器做支持才可以。
-JSONP和AJAX对比:JSONP和AJAX相同,都是客户端向服务端发送请求,从服务器端获取数据的方式。但是AJAX属于同源策略,JSONP属于非同源策略(跨域请求)
-JSONP优缺点:JSONP的有点是简单,兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点是仅支持get方法具有局限性,不安全可能会遭受XSS攻击。
-JSONP的实现流程:
1.声明一个回调函数(show),其函数名当作参数值,传递给跨域请求数据的服务器,函数形参为要获取的目标数据(服务器返回的data)。
2.创建一个<script>标签,把跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递第一步创建好的回调函数函数名(可以通过问号传参?callback=show),服务器接收到请求后,需要进行特殊的处理,把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如传递进来的函数名是show,它准备好的数据是show('我不爱你')。
3.最后服务器把准备的数据通过HTTP协议返回给客户端,客户端再调用执行之前声明的回调函数(show),对返回的数据进行操作。
在开发钟可能会遇到多个JSONP请求的回调函数名是相同的,这时候就需要自己封装一个JSONP函数。
function jsonp({url,params,callback}){ //三个参数,地址,参数,回调函数名
return new Promise((resolve,reject) =>{//返回一个promise对象,异步执行下一步
let script = document.createElement('script') //获取script的dom
window[callback] = function(data){ //给window添加用了一个callback方法
resolve(data)
document.body.removeChild(script) //移除创建的标签
}
params = { ...params , callback } //将params和callback合并
let arrs = []
for(let key in params){
arrs.push(`${key}=${params[key]}`) //遍历对象,依次放入数组得到wd=b&callback=show的数据
}
script.src = `${url}?${arrs.join('&')}`//拼接url和参数
document.body.appendChild(script) //往dom添加script标签
})
}
jsonp({
url:'http://localhost:3000/say',
params:{wd:'I love you'},
callback:'show'
}).then(data=>{
console.log(data)
})
上面这段代码相当于向http://localhost:3000/say?wd=Iloveyou&callback=show这个地址请求数据,然后后台返回show('我不爱你'),最后会运行show()这个函数,打印出我不爱你。
//serve.js
let express = require('express')
let app = express().Route
app.get('/say',function(req,res,next)=>{
let {wd,callback} = req.query
console.log(wd)
console.log(callback)
res.send(`${callback}('我不爱你')`)
})
app,listen(3000)
总结:使用jsonp方法,前后端都需要操作,前端需要通过script标签,进行跨域请求,首先把url,params,callback进行处理,得到一长串的url+参数+回调函数,再把它放到script的src中,后端接收到请求后,首先解构赋值得到参数以及回调函数名,接着返回函数名+data的字符串拼接,接着前端因为是一个promise对象,所以会接着执行给callback函数,resolve去打印了data,同时删除了script标签。
-jQuery的jsonp形式
JSONP都是GET和异步请求的,不存在其它的请求方式和同步请求,且jQuery默认就会给JSONP的请求清楚缓存。
$.ajax({
url:'http://myapp.com/jsonServerResponse',
dataType:'jsonp',
type:'get', //可以省略
jsonCallback:'show', //自定义传送给服务器的函数名,而不是使用jQuery自动生成的,可忽略
jsonp:'callback', //把传递函数名的形参设定,可忽略。
sucess:function(data){
console.log(data)
}
})
2.CORS解决跨域
cors需要浏览器和后端同时支持。IE8和IE9需要通过XDomainRequest来实现。
浏览器会自动进行CORS通信,实现CORS通信的关键是后端。只要后端实现了CORS,就实现了跨域。
服务端设置Access-Control-Allow-Origin就可以开启CORS。该属性表示哪些域名可以访问资源,如果设置了通配符,那么所有网站都可以访问资源。
虽然设置CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别是简单请求和复杂请求。
(1)简单请求
只要同时满足以下两大条件,就属于简单请求
条件1:使用下列方法之一:GET/HEAD/POST
条件2:Content-Type的值仅限于下列三者之一:text/plain、multipart/form-data、application/x-www-from-urlencoded
请求中的任意XML对象均没有注册任何事件监听器;XML对象可以使用XML.HttpRequest.upload属性访问。
(2)复杂请求
不符合简单请求规则的便是复杂请求,复杂请求的CORS设置,会在正式通信之前,增加一次HTTP查询请求,称为预检请求,该请求是option方法的,通过该请求来知道服务端是否允许跨域请求。
我们用PUT向后台请求时,就属于复杂请求,后台需做如下配置:
res.setHeader('Access-Control-Allow-Methods','PUT') //允许访问的方法
res.setHeader('Access-Control-Max-Age',) //预检的存活时间
if(req.method === 'OPTIONS' ){
res.end()
}
app.put('/getData',function(req,res){
console.log(req.headers)
res.end('i don not love you')
})
接下来看一个完整例子以及CORS请求的相关字段。
//index.html
let xhr = new XMLHttpRequest() //new一个XML对象
document.cookie = 'name = xiamen' //cookies不能跨域
xhr.withCredentials = true //前端设置是否可以携带cookie
xhr.open('PUT','http://localhost:4000/getData',true)
xhr.setRequestHeader('name','xiamen') //设置请求头
xhr.onreadystatechange = function (){
if(xhr.readyState === 4){
if((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304){
console.log(xhr.response)
//得到响应头,后台需要设置Access-Control-Expose-Headers
console.log(xhr.getResponseHeader('name'))
}
}
}
xhr.send()
//server1.js
let express = require('express')
let app = express()
app.use(express.static(__dirname))
app.listen(3000)
//server2.js
let express = require('express')
let app = express()
let whitList = ['http://localhost:3000'] //设置白名单
app.use(function(req,res,next){
let origin = req.headers.origin
if(whitList.includes(origin)){
res.setHeader('Access-Control-Allow-Origin',origin) //允许哪个源访问
res.setHeader('Access-Control-Allow-Headers','name') //允许哪个头可以访问
res.setHeader('Access-Control-Allow-Methods','PUT') //允许的方法
res.setHeader('Access-Control-Allow-Credentials',true)//允许携带cookie
res.setHeader('Access-Control-Max-Age',6) //预检的存活时间
res.setHeader('Access-Control-Expose-Headers','name') //允许返回的头
if(res.method === 'OPTIONS'){
res.end() //OPTIONS请求不做任何处理
}
}
next()
})
app.put('/getData',function(req,res){
console.log(req.headers)
res.setHeader('name','jw') //返回一个响应头,后台需要设置
res.send('啦啦啦')
})
app.get('/getData',function(req,res){
console.log(req.headers)
res.end('我不爱你')
})
app.use(express.static(__dirname))
app.listen(4000)
上述代码由http:localhost:3000/index.html向http://localhost:4000/跨域请求,正如我们上面说的,后端是实现CORS通信的关键。
补充
cors跨域解决方式:简单请求时,浏览器会直接发出CORS请求(在头信息之中,增加一个origin字段)。origin字段('Origin: http://api.bob.com')用来说明本次请求来自哪个源(协议+端口+域名),服务器根据这个值,决定是否同意这次请求。如果后端接收到的Origin指定的源,不在许可的范围,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,于是抛出错误,被XML的onerror函数捕获。注意的是,这种错误无法通过状态码识别,因为HTTP回应的状态码有额能是200。
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
Access-Control-Allow-Origin:http://api.bob.com
//必须的,是请求时的origin字段的值或是*,表示接收任何域名的请求
Access-Control-Allow-Credentials:true
//是否浏览器允许发送Cookie
Access-Control-Expose-Headersw:FooBar
//可选,CORS请求时,XML对象的getResponseHeader()方法只能拿到6个基本字段:`Cache-Control`、`Content-Language`、`Content-Type`、`Last-Modified`、`Pragma`、`Expires`。如果想拿到其他字段,就必须在Acess-Control-Expose-Headers里面指定、上面例子中指定,getResponseHeader('FooBar')可以返回FooBar字段的值。
Content-Type:text/html;charset=utf-8
withCredentials:CORS请求默认不发送cookie和HTTP认证信息,如果要把Cookie发到服务器,一方面需要服务器同意,指定Access-Control-Allow-Credentials字段为true,另外一方面,开发者必须在AJAX请求中打开withCredentials属性
var xhr = new XMLHttpRequest()
xhr.withCredentials = true
所以需要两端一个配合才能实现cookie的传送,但是有时候,就算我们没有在前端设置这个值,浏览器也会发送,我们可以将其设置为false进行关闭。
如果需要发送cookie,Access-Control-Allow-Origin就不能设置为*号,必须指定明确,与网页请求一直的域名,cookie依然遵循同源策略,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传。
复杂请求(非简单请求)
比如请求方法是PUT或者是DELETE,或者Content-Type的字段是application/json等对服务器由特殊要求的请求。
在正式通信前,增加一次HTTP查询请求,成为预检请求。
预检请求中,浏览器先询问服务器,当前网页的域名是否在服务器的许可名单中,以及可以使用哪些HTTP动词和头信息字段,只有得到肯定答复,浏览器才会发出正式的XML请求,否则就会报错。
我们来看一段浏览器的js脚本
var url = 'http://api.alice.com/cors'
var xhr = new XMLHttpRequest()
xhr.open('PUT',url,true) //第三个参数是是否异步
xhr.setRequestHeader('X-Custom-Header','value')
xhr.send()
上面代码中,HTTP请求的方法是PUT,并且发送一个自定义头信息X-Custom-Header,浏览器发现,这不是一个简单的请求,就自动发出一个‘预检’请求,要求服务器确认可以这样请求,下面是这个预检的请求头信息。
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com //域名信息
Access-Control-Request-Method: PUT //请求方法
Access-Control-Request-Headers: X-Custom-Header //请求头钟的特殊字段
Host: api.alice.com
Accept-Language: en-US //接收语言
Connection: keep-alive
User-Agent: Mozilla/5.0...
预检请求用的方法是OPTIONS,表示这个请求是用来询问的,头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,‘预检’请求的头信息还包含两个特殊的字段。
(1)Access-Control-Request-Method
必须的方法,列举浏览器会用到哪些方法
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。
预检请求的回应
服务器收到预检请求后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段后,确认允许跨域请求,就可以做出回应
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT //时间
Server: Apache/2.0.61 (Unix) //服务器
Access-Control-Allow-Origin: http://api.bob.com //允许跨域的域名
Access-Control-Allow-Methods: GET, POST, PUT //允许的方法
Access-Control-Allow-Headers: X-Custom-Header //允许的额外头信息
Content-Type: text/html; charset=utf-8 //内容格式
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
如果服务器否定了预检请求,会返回一个正常的HTTP回应,但是灭有任何CORS相关的头信息字段。这是,浏览器就会认定,服务器不同意预检请求,因此触发错误,被XML的onerror捕获,将会报错如下信息
XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
当请求通过预检之后,请求将和简单请求一样,通过Access-Control-Allow-origin判断浏览器发送过来的请求是否允许,允许,则做出正常的回应。
CORS与JSONP的比较:
CORS和JSONP的使用目的相同,但是比jsonp更加强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老浏览器,以及可以向不支持CORS的网站发请求。
3.iframe、hash
4.CORS(Cross-Origin-Resource-Sharing)
5.服务器跨域,服务器中转代理
6.其它
作者:鸽屿_
原文链接:https://www.jianshu.com/p/3edac882a923