我的编程空间,编程开发者的网络收藏夹
学习永远不晚

web前端网络跨域问题如何解决

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

web前端网络跨域问题如何解决

今天小编给大家分享一下web前端网络跨域问题如何解决的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。

    什么是跨域

    浏览器有一个重要的安全策略,称之为「同源策略」

    其中,源=协议+主机+端口源=协议+主机+端口源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为跨源或跨域

    比如:

    源 1源 2是否同源
    www.baidu.comwww.baidu.com/news
    www.baidu.comwww.baidu.com
    http://localhost:5000http://localhost:7000
    http://localhost:5000http://127.0.0.1:5000
    www.baidu.combaidu.com

    同源策略是指,若页面的源和页面运行过程中加载的源不一致时,出于安全考虑,浏览器会对跨域的资源访问进行一些限制

    web前端网络跨域问题如何解决

    同源策略对 ajax 的跨域限制的最为凶狠,默认情况下,它不允许 ajax 访问跨域资源

    web前端网络跨域问题如何解决

    所以,我们通常所说的跨域问题,就是同源策略对 ajax 产生的影响

    有多种方式解决跨域问题,常见的有:

    • 代理,常用

    • CORS,常用

    • JSONP

    无论使用哪一种方式,都是要让浏览器知道,我这次跨域请求的是自己人,就不要拦截了。

    跨域解决方法1-代理

    对于前端开发而言,大部分的跨域问题,都是通过代理解决的

    代理适用的场景是:生产环境不发生跨域,但开发环境发生跨域

    因此,只需要在开发环境使用代理解决跨域即可,这种代理又称之为开发代理

    web前端网络跨域问题如何解决

    在实际开发中,只需要对开发服务器稍加配置即可完成

    // vue 的开发服务器代理配置// vue.config.jsmodule.exports = {  devServer: { // 配置开发服务器    proxy: { // 配置代理      "/api": { // 若请求路径以 /api 开头        target: "http://dev.taobao.com", // 将其转发到 http://dev.taobao.com      },    },  },};

    跨域解决方法2-JSONP

    在CORS出现之前,人们想了一种奇妙的办法来实现跨域,这就是JSONP。

    要实现JSONP,需要浏览器和服务器来一个天衣无缝的绝妙配合。

    JSONP的做法是:

    当需要跨域请求时,不使用AJAX,转而生成一个script元素去请求服务器,由于浏览器并不阻止script元素的请求,这样请求可以到达服务器。服务器拿到请求后,响应一段JS代码,这段代码实际上是一个函数调用,调用的是客户端预先生成好的函数,并把浏览器需要的数据作为参数传递到函数中,从而间接的把数据传递给客户端

    web前端网络跨域问题如何解决

    JSONP有着明显的缺点,即其只能支持GET请求

    跨域解决方法3-CORS

    概述

    CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。

    它的总体思路是:如果浏览器要跨域访问服务器的资源,需要获得服务器的允许

    web前端网络跨域问题如何解决

    而要知道,一个请求可以附带很多信息,从而会对服务器造成不同程度的影响

    比如有的请求只是获取一些新闻,有的请求会改动服务器的数据

    针对不同的请求,CORS 规定了三种不同的交互模式,分别是:

    • 简单请求

    • 需要预检的请求

    • 附带身份凭证的请求

    这三种模式从上到下层层递进,请求可以做的事越来越多,要求也越来越严格。

    下面分别说明三种请求模式的具体规范。

    简单请求

    当浏览器端运行了一段 ajax 代码(无论是使用 XMLHttpRequest 还是 fetch api),浏览器会首先判断它属于哪一种请求模式

    简单请求的判定

    当请求同时满足以下条件时,浏览器会认为它是一个简单请求:

    请求方法属于下面的一种:

    • get

    • post

    • head

    请求头仅包含安全的字段,常见的安全字段如下:

    Accept

    Accept-Language

    Content-Language

    Content-Type

    DPR

    Downlink

    Save-Data

    Viewport-Width

    Width

    请求头如果包含Content-Type,仅限下面的值之一:

    text/plain

    multipart/form-data

    application/x-www-form-urlencoded

    如果以上三个条件同时满足,浏览器判定为简单请求。

    下面是一些例子:

    // 简单请求fetch('http://crossdomain.com/api/news');// 请求方法不满足要求,不是简单请求fetch('http://crossdomain.com/api/news', {  method: 'PUT',});// 加入了额外的请求头,不是简单请求fetch('http://crossdomain.com/api/news', {  headers: {    a: 1,  },});// 简单请求fetch('http://crossdomain.com/api/news', {  method: 'post',});// content-type不满足要求,不是简单请求fetch('http://crossdomain.com/api/news', {  method: 'post',  headers: {    'content-type': 'application/json',  },});

    简单请求的交互规范

    当浏览器判定某个ajax 跨域请求简单请求时,会发生以下的事情

    • 请求头中会自动添加Origin字段

    比如,在页面http://my.com/index.html中有以下代码造成了跨域

    // 简单请求fetch('http://crossdomain.com/api/news');

    请求发出后,请求头会是下面的格式:

    GET /api/news/ HTTP/1.1Host: crossdomain.comConnection: keep-alive...Referer: http://my.com/index.htmlOrigin: http://my.com

    看到最后一行没,Origin字段会告诉服务器,是哪个源地址在跨域请求

    • 服务器响应头中应包含Access-Control-Allow-Origin

    当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段

    该字段的值可以是:

    • *:表示我很开放,什么人我都允许访问

    • 具体的源:比如http://my.com,表示我就允许你访问

    实际上,这两个值对于客户端http://my.com而言,都一样,因为客户端才不会管其他源服务器允不允许,就关心自己是否被允许

    当然,服务器也可以维护一个可被允许的源列表,如果请求的Origin命中该列表,才响应*或具体的源

    为了避免后续的麻烦,强烈推荐响应具体的源

    假设服务器做出了以下的响应:

    HTTP/1.1 200 OKDate: Tue, 21 Apr 2020 08:03:35 GMT...Access-Control-Allow-Origin: http://my.com...消息体中的数据

    当浏览器看到服务器允许自己访问后,高兴的像一个两百斤的孩子,于是,它就把响应顺利的交给 js,以完成后续的操作

    下图简述了整个交互过程

    web前端网络跨域问题如何解决

    需要预检的请求

    简单的请求对服务器的威胁不大,所以允许使用上述的简单交互即可完成。

    但是,如果浏览器不认为这是一种简单请求,就会按照下面的流程进行:

    • 浏览器发送预检请求,询问服务器是否允许

    • 服务器允许

    • 浏览器发送真实请求

    • 服务器完成真实的响应

    比如,在页面http://my.com/index.html中有以下代码造成了跨域

    // 需要预检的请求fetch('http://crossdomain.com/api/user', {  method: 'POST', // post 请求  headers: {    // 设置请求头    a: 1,    b: 2,    'content-type': 'application/json',  },  body: JSON.stringify({ name: '袁小进', age: 18 }), // 设置请求体});

    浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互

    • 浏览器发送预检请求,询问服务器是否允许

    OPTIONS /api/user HTTP/1.1Host: crossdomain.com...Origin: http://my.comAccess-Control-Request-Method: POSTAccess-Control-Request-Headers: a, b, content-type

    可以看出,这并非我们想要发出的真实请求,请求中不包含我们的请求头,也没有消息体。

    这是一个预检请求,它的目的是询问服务器,是否允许后续的真实请求。

    预检请求没有请求体,它包含了后续真实请求要做的事情

    预检请求有以下特征:

    请求方法为OPTIONS

    没有请求体

    请求头中包含

    • Origin:请求的源,和简单请求的含义一致

    • Access-Control-Request-Method:后续的真实请求将使用的请求方法

    • Access-Control-Request-Headers:后续的真实请求会改动的请求头

    • 服务器允许

    服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式

    HTTP/1.1 200 OKDate: Tue, 21 Apr 2020 08:03:35 GMT...Access-Control-Allow-Origin: http://my.comAccess-Control-Allow-Methods: POSTAccess-Control-Allow-Headers: a, b, content-typeAccess-Control-Max-Age: 86400...

    对于预检请求,不需要响应任何的消息体,只需要在响应头中添加:

    Access-Control-Allow-Origin:和简单请求一样,表示允许的源

    Access-Control-Allow-Methods:表示允许的后续真实的请求方法

    Access-Control-Allow-Headers:表示允许改动的请求头

    Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了

    • 浏览器发送真实请求

    预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据

    POST /api/user HTTP/1.1Host: crossdomain.comConnection: keep-alive...Referer: http://my.com/index.htmlOrigin: http://my.com{"name": "xiaoming", "age": 18 }
    • 服务器响应真实请求

    HTTP/1.1 200 OKDate: Tue, 21 Apr 2020 08:03:35 GMT...Access-Control-Allow-Origin: http://my.com...添加用户成功

    可以看出,当完成预检之后,后续的处理与简单请求相同

    下图简述了整个交互过程

    web前端网络跨域问题如何解决

    附带身份凭证的请求

    默认情况下,ajax 的跨域请求并不会附带 cookie,这样一来,某些需要权限的操作就无法进行

    不过可以通过简单的配置就可以实现附带 cookie

    // xhrvar xhr = new XMLHttpRequest();xhr.withCredentials = true;// fetch apifetch(url, {  credentials: 'include',});

    这样一来,该跨域的 ajax 请求就是一个附带身份凭证的请求

    当一个请求需要附带 cookie 时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段

    而服务器响应时,需要明确告知客户端:服务器允许这样的凭据

    告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可

    对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。

    另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为*。这就是为什么不推荐使用*的原因

    一个额外的补充

    在跨域访问时,JS 只能拿到一些最基本的响应头,如:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,则需要服务器设置本响应头。

    Access-Control-Expose-Headers头让服务器把允许浏览器访问的头放入白名单,例如:

    Access-Control-Expose-Headers: authorization, a, b

    这样 JS 就能够访问指定的响应头了。

    以上就是“web前端网络跨域问题如何解决”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,小编每天都会为大家更新不同的知识,如果还想学习更多的知识,请关注编程网行业资讯频道。

    免责声明:

    ① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

    ② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

    web前端网络跨域问题如何解决

    下载Word文档到电脑,方便收藏和打印~

    下载Word文档

    猜你喜欢

    web前端网络跨域问题如何解决

    今天小编给大家分享一下web前端网络跨域问题如何解决的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。什么是跨域浏览器有一个重要
    2023-07-02

    web前端跨域问题怎么解决

    本文小编为大家详细介绍“web前端跨域问题怎么解决”,内容详细,步骤清晰,细节处理妥当,希望这篇“web前端跨域问题怎么解决”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。为什么跨域?为什么会出现跨域问题呢?那就不
    2023-06-29

    前端如何解决跨域问题?

    Cross-origin Resource Sharing 中文名称 “跨域资源共享” 简称 “CORS”,它突破了一个请求在浏览器发出只能在同源的情况下向服务器获取数据的限制。

    如何在前端中解决跨域问题

    如何在前端中解决跨域问题?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。什么是跨域?跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。广义的跨域:1.)
    2023-06-15

    前后端分离后,Java Web开发如何解决跨域问题

    因为一般的浏览器都有一个安全机制,叫做同源策略限制。所谓同源策略就是指用户输入的URL中包含的协议、域名、端口都完全相同。也就是说,我们使用浏览器访问网页时,必须符合同源策略的请求才能访问。如果有一项不同,浏览器会觉得有安全风险,就不想让你

    Nginx如何解决前端跨域问题以及CORS跨域配置

    Nginx如何解决前端跨域问题以及CORS跨域配置,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。Nginx的CORS配置,网上太多这配置了,但大家更多的复制粘贴
    2023-06-04

    web中如何解决跨域的问题

    这篇文章主要为大家展示了“web中如何解决跨域的问题”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“web中如何解决跨域的问题”这篇文章吧。什么是跨域?概念如下:只要协议、域名、端口有任何一个不同
    2023-06-08

    如何去解决JS跨域问题 怎么能学好Web前端开发

    如何去解决JS跨域问题?怎么能学好Web前端开发?JavaScript跨域是指通过JS在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过JS获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有
    2023-06-03

    前后端分离项目,如何解决跨域问题?

    跨域资源共享,也就是 Cross-Origin Resource Sharing,简拼为 CORS,是一种基于 HTTP 头信息的机制,通过允许服务器标识除了它自己以外的资源,从而实现跨域访问。

    web前端:webpack代理解决跨域

    编程学习网:所谓网站(Website),就是指在网际网路(因特网)上,根据一定的规则,使用html等工具制作的用於展示特定内容的相关网页的集合。
    web前端:webpack代理解决跨域
    2024-04-23

    web前端:浏览器跨域问题分析

    编程学习网:CSRF(Cross-siterequestforgery)跨站请求伪造,也被称为OneClickAttack或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
    web前端:浏览器跨域问题分析
    2024-04-23

    编程热搜

    • Python 学习之路 - Python
      一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
      Python 学习之路 - Python
    • chatgpt的中文全称是什么
      chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
      chatgpt的中文全称是什么
    • C/C++中extern函数使用详解
    • C/C++可变参数的使用
      可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
      C/C++可变参数的使用
    • css样式文件该放在哪里
    • php中数组下标必须是连续的吗
    • Python 3 教程
      Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
      Python 3 教程
    • Python pip包管理
      一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
      Python pip包管理
    • ubuntu如何重新编译内核
    • 改善Java代码之慎用java动态编译

    目录