九種跨域方式實現原理

前言

前後端資料互動經常會碰到請求跨域，什麼是跨域，以及有哪幾種跨域方式，這是本文要探討的內容。

一、什麼是跨域？

1.什麼是同源策略及其限制內容？

同源策略是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，瀏覽器很容易受到XSS、CSFR等攻擊。所謂同源是指”協議+域名+埠”三者相同，即便兩個不同的域名指向同一個ip地址，也非同源。

同源策略限制內容有：

• Cookie、LocalStorage、IndexedDB 等儲存性內容
• DOM 節點
• AJAX 請求傳送後，結果被瀏覽器攔截了

但是有三個標籤是允許跨域載入資源

• <img src=XXX>
• <link href=XXX>
• <script src=XXX>

2.常見跨域場景

當協議、子域名、主域名、埠號中任意一個不相同時，都算作不同域。不同域之間相互請求資源，就算作“跨域”。常見跨域場景如下圖所示：

特別說明兩點：

第一：如果是協議和埠造成的跨域問題“前臺”是無能為力的。

第二：在跨域問題上，僅僅是通過“URL的首部”來識別而不會根據域名對應的IP地址是否相同來判斷。“URL的首部”可以理解為“協議, 域名和埠必須匹配”。

這裡你或許有個疑問：請求跨域了，那麼請求到底發出去沒有？

跨域並不是請求發不出去，請求能發出去，服務端能收到請求並正常返回結果，只是結果被瀏覽器攔截了。你可能會疑問明明通過表單的方式可以發起跨域請求，為什麼 Ajax 就不會?因為歸根結底，跨域是為了阻止使用者讀取到另一個域名下的內容，Ajax 可以獲取響應，瀏覽器認為這不安全，所以攔截了響應。但是表單並不會獲取新的內容，所以可以發起跨域請求。同時也說明了跨域並不能完全阻止 CSRF，因為請求畢竟是發出去了。

二、跨域解決方案

1.jsonp

1) JSONP原理

利用<script> 標籤沒有跨域限制的漏洞，網頁可以得到從其他來源動態產生的 JSON 資料。JSONP請求一定需要對方的伺服器做支援才可以。

2) JSONP和AJAX對比

JSONP和AJAX相同，都是客戶端向伺服器端傳送請求，從伺服器端獲取資料的方式。但AJAX屬於同源策略，JSONP屬於非同源策略（跨域請求）

3) JSONP優缺點

JSONP優點是簡單相容性好，可用於解決主流瀏覽器的跨域資料訪問的問題。缺點是僅支援get方法具有侷限性,不安全可能會遭受XSS攻擊。

4) JSONP的實現流程

• 宣告一個回撥函式，其函式名(如show)當做引數值，要傳遞給跨域請求資料的伺服器，函式形參為要獲取目標資料(伺服器返回的data)。
• 建立一個<script>標籤，把那個跨域的API資料介面地址，賦值給script的src,還要在這個地址中向伺服器傳遞該函式名（可以通過問號傳參:?callback=show）。
• 伺服器接收到請求後，需要進行特殊的處理：把傳遞進來的函式名和它需要給你的資料拼接成一個字串,例如：傳遞進去的函式名是show，它準備好的資料是show('我不愛你')。
• 最後伺服器把準備的資料通過HTTP協議返回給客戶端，客戶端再呼叫執行之前宣告的回撥函式（show），對返回的資料進行操作。

在開發中可能會遇到多個 JSONP 請求的回撥函式名是相同的，這時候就需要自己封裝一個 JSONP函式。

上面這段程式碼相當於向http://localhost:3000/say?wd=Iloveyou&callback=show這個地址請求資料，然後後臺返回show('我不愛你')，最後會執行show()這個函式，列印出’我不愛你’

5) jQuery的jsonp形式

JSONP都是GET和非同步請求的，不存在其他的請求方式和同步請求，且jQuery預設就會給JSONP的請求清除快取。

2.cors

CORS 需要瀏覽器和後端同時支援。IE 8 和 9 需要通過 XDomainRequest 來實現。

瀏覽器會自動進行 CORS 通訊，實現 CORS 通訊的關鍵是後端。只要後端實現了 CORS，就實現了跨域。

服務端設定 Access-Control-Allow-Origin 就可以開啟 CORS。 該屬性表示哪些域名可以訪問資源，如果設定萬用字元則表示所有網站都可以訪問資源。

雖然設定 CORS 和前端沒什麼關係，但是通過這種方式解決跨域問題的話，會在傳送請求時出現兩種情況，分別為簡單請求和複雜請求。

1) 簡單請求

只要同時滿足以下兩大條件，就屬於簡單請求

條件1：使用下列方法之一：

• GET
• HEAD
• POST

條件2：Content-Type 的值僅限於下列三者之一：

• text/plain
• multipart/form-data
• application/x-www-form-urlencoded

請求中的任意 XMLHttpRequestUpload 物件均沒有註冊任何事件監聽器； XMLHttpRequestUpload 物件可以使用 XMLHttpRequest.upload 屬性訪問。

2) 複雜請求

不符合以上條件的請求就肯定是複雜請求了。
複雜請求的CORS請求，會在正式通訊之前，增加一次HTTP查詢請求，稱為”預檢”請求,該請求是 option 方法的，通過該請求來知道服務端是否允許跨域請求。

我們用PUT向後臺請求時，屬於複雜請求，後臺需做如下配置：

接下來我們看下一個完整複雜請求的例子，並且介紹下CORS請求相關的欄位

上述程式碼由http://localhost:3000/index.html向http://localhost:4000/跨域請求，正如我們上面所說的，後端是實現 CORS 通訊的關鍵。

3.postMessage

postMessage是HTML5 XMLHttpRequest Level 2中的API，且是為數不多可以跨域操作的window屬性之一，它可用於解決以下方面的問題：

• 頁面和其開啟的新視窗的資料傳遞
• 多視窗之間訊息傳遞
• 頁面與巢狀的iframe訊息傳遞
• 上面三個場景的跨域資料傳遞

postMessage()方法允許來自不同源的指令碼採用非同步方式進行有限的通訊，可以實現跨文字檔、多視窗、跨域訊息傳遞。

otherWindow.postMessage(message, targetOrigin, [transfer]);

• message: 將要傳送到其他 window的資料。
• targetOrigin:通過視窗的origin屬性來指定哪些視窗能接收到訊息事件，其值可以是字串”*”（表示無限制）或者一個URI。在傳送訊息的時候，如果目標視窗的協議、主機地址或埠這三者的任意一項不匹配targetOrigin提供的值，那麼訊息就不會被髮送；只有三者完全匹配，訊息才會被髮送。
• transfer(可選)：是一串和message 同時傳遞的 Transferable 物件. 這些物件的所有權將被轉移給訊息的接收方，而傳送一方將不再保有所有權。

接下來我們看個例子： http://localhost:3000/a.html頁面向http://localhost:4000/b.html傳遞“我愛你”,然後後者傳回”我不愛你”。

4.websocket

Websocket是HTML5的一個持久化的協議，它實現了瀏覽器與伺服器的全雙工通訊，同時也是跨域的一種解決方案。WebSocket和HTTP都是應用層協議，都基於 TCP 協議。但是 WebSocket 是一種雙向通訊協議，在建立連線之後，WebSocket 的 server 與 client 都能主動向對方傳送或接收資料。同時，WebSocket 在建立連線時需要藉助 HTTP 協議，連線建立好了之後 client 與 server 之間的雙向通訊就與 HTTP 無關了。

原生WebSocket API使用起來不太方便，我們使用Socket.io，它很好地封裝了webSocket介面，提供了更簡單、靈活的介面，也對不支援webSocket的瀏覽器提供了向下相容。

我們先來看個例子：本地檔案socket.html向localhost:3000發生資料和接受資料

5. Node中介軟體代理(兩次跨域)

實現原理：同源策略是瀏覽器需要遵循的標準，而如果是伺服器向伺服器請求就無需遵循同源策略。
代理伺服器，需要做以下幾個步驟：

• 接受客戶端請求 。
• 將請求 轉發給伺服器。
• 拿到伺服器 響應 資料。
• 將 響應 轉發給客戶端。
  

我們先來看個例子：本地檔案index.html檔案，通過代理伺服器http://localhost:3000向目標伺服器http://localhost:4000請求資料。

上述程式碼經過兩次跨域，值得注意的是瀏覽器向代理伺服器傳送請求，也遵循同源策略，最後在index.html檔案列印出{"title":"fontend","password":"123456"}

6.nginx反向代理

實現原理類似於Node中介軟體代理，需要你搭建一箇中轉nginx伺服器，用於轉發請求。

使用nginx反向代理實現跨域，是最簡單的跨域方式。只需要修改nginx的配置即可解決跨域問題，支援所有瀏覽器，支援session，不需要修改任何程式碼，並且不會影響伺服器效能。

實現思路：通過nginx配置一個代理伺服器（域名與domain1相同，埠不同）做跳板機，反向代理訪問domain2介面，並且可以順便修改cookie中domain資訊，方便當前域cookie寫入，實現跨域登入。

先下載nginx，然後將nginx目錄下的nginx.conf修改如下:

最後通過命令列nginx -s reload啟動nginx

7.window.name + iframe

window.name屬性的獨特之處：name值在不同的頁面（甚至不同域名）載入後依舊存在，並且可以支援非常長的 name 值（2MB）。

其中a.html和b.html是同域的，都是http://localhost:3000;而c.html是http://localhost:4000

b.html為中間代理頁，與a.html同域，內容為空。

總結：通過iframe的src屬性由外域轉向本地域，跨域資料即由iframe的window.name從外域傳遞到本地域。這個就巧妙地繞過了瀏覽器的跨域訪問限制，但同時它又是安全操作。

8.location.hash + iframe

實現原理： a.html欲與c.html跨域相互通訊，通過中間頁b.html來實現。 三個頁面，不同域之間利用iframe的location.hash傳值，相同域之間直接js訪問來通訊。

具體實現步驟：一開始a.html給c.html傳一個hash值，然後c.html收到hash值後，再把hash值傳遞給b.html，最後b.html將結果放到a.html的hash值中。
同樣的，a.html和b.html是同域的，都是http://localhost:3000;而c.html是http://localhost:4000

9.document.domain + iframe

該方式只能用於二級域名相同的情況下，比如 a.test.com 和 b.test.com 適用於該方式。
只需要給頁面新增 document.domain ='test.com' 表示二級域名都相同就可以實現跨域。

實現原理：兩個頁面都通過js強制設定document.domain為基礎主域，就實現了同域。

我們看個例子：頁面a.zf1.cn:3000/a.html獲取頁面b.zf1.cn:3000/b.html中a的值

三、總結

• CORS支援所有型別的HTTP請求，是跨域HTTP請求的根本解決方案
• JSONP只支援GET請求，JSONP的優勢在於支援老式瀏覽器，以及可以向不支援CORS的網站請求資料。
• 不管是Node中介軟體代理還是nginx反向代理，主要是通過同源策略對伺服器不加限制。
• 日常工作中，用得比較多的跨域方案是cors和nginx反向代理

參考文章

• 跨域資源共享 CORS 詳解
• 前端面試之道
• window.postMessage
• 前端常見跨域解決方案（全）
• 深入跨域問題(4) – 利用代理解決跨域