跨域错误的原因及处理方法
? ? ? 在開(kāi)發(fā)網(wǎng)站時(shí)通過(guò)框架或是瀏覽器的?fetch、XHR?請(qǐng)求過(guò)外部 API,那么一定遇到過(guò)跨域請(qǐng)求,還有錯(cuò)誤信息;今天來(lái)討論跨域問(wèn)題的原因及解決方法。
跨域請(qǐng)求
? ? ? ?跨域是開(kāi)發(fā)過(guò)程中必定遇到過(guò)的問(wèn)題,當(dāng)通過(guò) js對(duì)不同的來(lái)源發(fā)送請(qǐng)求時(shí),這個(gè)請(qǐng)求的響應(yīng)就會(huì)被瀏覽器攔截,不交給 js處理。這里的“不同來(lái)源”指的是目標(biāo)資源與當(dāng)前網(wǎng)頁(yè)的域(domain)、通訊協(xié)議(protocol)或網(wǎng)絡(luò)端口(port)只要有任一項(xiàng)不同,就算是不同來(lái)源。例如下面這幾個(gè)例子:
假設(shè)當(dāng)前用戶在:https://a.com : [?] https://a.com/test -> 同域 [?] https://m.a.com -> 不同域 [?] https://a.com:8800-> 端口不同 [?] http://a.com -> 通訊協(xié)議不同? ? ?理解什么是跨域了,那為什么瀏覽器要把跨域請(qǐng)求資源攔截掉呢?
?
? ? ?這主要是考慮到用戶的信息安全。
?
? ? ?假如A是一個(gè)惡意開(kāi)發(fā)者,他編寫(xiě)的網(wǎng)站會(huì)嘗試通過(guò) XHR 打向百度、csdn等目標(biāo)網(wǎng)站;如果使用者原先就有目標(biāo)網(wǎng)站的登錄狀態(tài),A便能窺探他的隱私,得到不該取得的數(shù)據(jù)。再想想看,如果目標(biāo)網(wǎng)站換成 Email、銀行、電商,如果沒(méi)有瀏覽器限制跨域請(qǐng)求的保護(hù),惡意開(kāi)發(fā)者便能為所欲為。
? ? ?注意:跨域請(qǐng)求雖然會(huì)被瀏覽器攔截下來(lái),但攔截的是響應(yīng)(Response)而不是請(qǐng)求(Request)。
解決方案
? ? ?關(guān)于跨域請(qǐng)求的解決方案有很多,例如 JSONP,也就是通過(guò) HTML 中沒(méi)有跨域限制的標(biāo)簽如?img、script?等,再通過(guò)指定回調(diào)函數(shù),將響應(yīng)的內(nèi)容介接回 JavaScript 中;或是通過(guò)iframe,繞過(guò)跨域保護(hù)獲取目標(biāo)資源等。下面說(shuō)明兩種常見(jiàn)也相對(duì)正規(guī)的解決方式。
? ? ?CORS
? ? ? ? ? ? 最標(biāo)準(zhǔn)、正確的解決方法是通過(guò) W3C 規(guī)范 的“ 跨域資源共享(Cross-Origin Resource Sharing ,CORS)”,通過(guò)服務(wù)器在 HTTP 頭中的設(shè)置,可以使瀏覽器能夠獲取不同來(lái)源的資源。
?
? ? ? ? ? ? ?CORS 規(guī)范中,清楚定義了跨域存取控制的運(yùn)作方式。
? ? ? ? ? ? ?首先服務(wù)器端需要在響應(yīng)頭中加上如Access-Control-Allow-Origin、Access-Control-Request-Method、Access-Control-Request-Headers?等設(shè)定,來(lái)限制服務(wù)器所能接受的來(lái)源、請(qǐng)求的方法、可攜帶的頭等等。
? ? ? ? ? ? ?當(dāng)瀏覽器發(fā)送資源請(qǐng)求時(shí),如果是簡(jiǎn)單請(qǐng)求便會(huì)直接送出請(qǐng)求;若不符合前述條件,則會(huì)通過(guò)預(yù)檢(Preflighted)請(qǐng)求,確認(rèn)是否可以通過(guò)服務(wù)器的限制,然后才會(huì)發(fā)送正式的請(qǐng)求。
? ? ? ? ? ??CORS 除了上述內(nèi)容外,也有關(guān)于 Cookies 的傳送方式,如何允許跨域?qū)懭?Cookies 等內(nèi)容。
? ? ? 代理服務(wù)器
? ? ? ? ? ? ? ??由于 CORS 的頭設(shè)置是在服務(wù)器端,如果服務(wù)器是自己的,那么可以輕易的調(diào)整服務(wù)器設(shè)置,讓前端能取得必要的資源;但如果你請(qǐng)求的是外部 API,就不能要求別人去修改頭設(shè)置吧。
? ? ? ? ? ? ? ?簡(jiǎn)單的方法就是通過(guò)代理服務(wù)器幫我們獲取資源;由于跨域保護(hù)的限制是瀏覽器的規(guī)范,只要不通過(guò)瀏覽器發(fā)送請(qǐng)求,自然也就不會(huì)有限制。
? ? ? ? ?關(guān)注前端公眾號(hào)(前端中心),獲取更多前端技術(shù),共同成長(zhǎng)
?
總結(jié)
以上是生活随笔為你收集整理的跨域错误的原因及处理方法的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 用AntlR4实现简单的汇编编译器
- 下一篇: 7-301 sdut- C语言实验-数组