跨域就這麼點事兒

Xiaowei發表於2018-07-13

這篇文章主要介紹跨域方面的知識。

說跨域之前先說說同源策略，同源策略是一種約定，幾乎所有現代瀏覽器都遵循了這種約定，它也是一種安全策略，確保非同源的請求無法隨意請求，從而保證了網站的安全。同源需要保證協議，域名，埠都相同，只要有一個不同，那麼他們就不是同源的。雖然同源策略保證了安全性，但有時候我們確實需要非同源之間相互訪問，比如在前後端分離的專案中，前端和後端的地址分別為https://xwchris.me和https://api.xwchris.me。非同源之間跨域訪問就要用到CORS跨域方法。CORS全稱Cross Origin Resource Sharing即跨域資源共享。

CORS跨域相關頭部

以下是幾種與跨域相關的頭部，及簡單的介紹。

Access-Control-Allow-Headers（請求頭，響應頭，預請求）（攜帶Cookie情況下不能為*）
Access-Control-Allow-Methods（請求頭，響應頭，預請求）（攜帶Cookie情況下不能為*）
Access-Control-Allow-Origin（響應頭，預請求/正常請求）（攜帶Cookie情況下不能為*）
Access-Control-Allow-Credentials（響應頭，預請求/正常請求）（攜帶Cookie情況下要設定為true）
Access-Control-Max-Age（響應頭，預請求）（單位s）

簡單請求的CORS

簡單請求要滿足以下條件：

請求方法必須是GET、HEAD和POST其中的一個
HTTP資訊不能超過以下幾種欄位Accept、Accept-Language、Content-Language、Last-Event-ID和Content-Type且Content-Type的值只限於application/x-www-form-urlencoded、multipart/form-data和text/plain。

瀏覽器傳送簡單請求時會自動在請求頭部新增Origin欄位，代表訪問源。

要支援CORS訪問需要伺服器在響應頭中新增Access-Control-Allow-Origin，可以使用*來表示允許所有域跨域訪問。

非簡單請求的CORS

非簡單請求與簡單請求最大的不同在於，它有一次預請求preflight的過程，只有這次請求校驗通過，才能傳送正常的請求。

預請求

預請求是OPTIONS請求，瀏覽器會自動新增Access-Control-Allow-Headers和Access-Control-Allow-Methods。

需要伺服器返回的響應頭包括Access-Control-Allow-Headers、Access-Control-Allow-Methods和Access-Control-Allow-Origin。

除了Access-Control-Allow-Origin是必須的之外，其他兩種只有在不符合簡單請求需要的時候伺服器才需要新增，比如在簡單請求的基礎上自定義了一個請求頭X-xx-name: chris，那麼伺服器只需要在響應頭中新增Access-Control-Allow-Headers。每種響應頭都可以使用*萬用字元來表示所有。

正常請求

預請求完之後就可以傳送正常請求了，正常請求的步驟與簡單請求一致，也需要新增Access-Control-Allow-Origin響應頭。

減少預請求次數

可以通過設定Access-Control-Max-Aage來減少預請求的次數，需要包含在預請求的響應頭中，指定在該時間內預請求驗證有效，不必每次都進行預請求，它的單位是s。如Access-Control-Max-Age: 1728000，即有效期為20天。

攜帶Cookie的請求

預設情況下，跨域請求不會攜帶Cookie，如果要攜帶Cookie進行跨域請求需要請求方和接收方同時支援。為了支援攜帶Cookie需要在請求的時候由開發者手動指定請求物件xhr.withCredentials=true。伺服器響應頭需要包含Access-Control-Allow-Credentials: true，如果是非簡單請求，預請求也需要包含該頭部。

這裡需要注意的是，在這種情況下所有需要的響應頭的值都不能是*，在需要的情況下都需要明確指定。

其他跨域方法

除了CORS，我們還可以使用JSONP技術來進行跨域，這是一種很古老的Hack。我們都是知道script標籤可以訪問任何域下的指令碼，因此可以利用這種方法來進行跨域，這需要伺服器進行配合。舉個例子?：

<script type="text/javascript">
	function getName(name) {
		console.log(name);
	}
</script>
<script src="http://api.xxx.com?callback=getName"></script>
複製程式碼

請求伺服器後伺服器需要拿到callback欄位的值，然後將要返回的值變成JSON，放入getName中。最終返回的值x像這個形式;getName({"name": "chris"})，這樣getName函式就可以就可以拿到相應的值。

JSONP相比CORS，只能進行GET請求，但是相容性好一些。不過現代瀏覽器基本上都支援了CORS請求，可以放心食用。原文地址：傳送門

跨域的那點事
2019-04-03
跨域
APP註冊這點事兒
2016-03-30
APP
PHP的模板引擎這點事兒
2015-06-16
PHP
機器學習其實就這麼回事兒！
2020-07-29
機器學習
CORS 跨域, 也許這篇就夠了
2018-12-12
CORS跨域
【跨域】jsonp看完這篇文章就夠了
2019-04-21
跨域JSON
跨域那些事
2017-11-16
跨域
iOS應用支援IPV6，就那點事兒
2016-05-26
iOS
iOS版應用支援IPV6，就那點事兒
2019-04-27
iOS
一篇讀懂微信公開課Pro！應用號、白皮書就這點事兒
2016-01-12
面試那點事兒
2018-03-13
面試
JavaScript跨域（1）：什麼是跨域，如何跨域
2017-11-15
JavaScript跨域
😠 就因為這道題，面位元組差點兒就寄了...
2024-02-27
跨域實踐二三事
2018-02-04
跨域
關於評分卡模型那些事兒，看這篇就對了
2022-08-11
模型
PostgreSQL的那點事兒
2020-08-19
SQL
求職那點破事兒
2018-03-30
求職
ThreadLocal 那點事兒
2016-07-07
thread
javaWeb框架那點兒事
2009-02-26
JavaWeb框架
開發那點事兒
2016-03-13
Android UI事件傳遞就是這麼個事兒
2018-01-03
AndroidUI事件
掌握 CORS 跨域請求，讀這一篇文章就夠了
2022-12-14
CORS跨域
Netty的那點事兒
2017-12-02
Netty
觀點PK | 自動駕駛感測器“一哥之爭”，這事兒你怎麼看？
2018-04-19
自動駕駛
什麼是跨域
2024-08-09
跨域
跨域了？裝個外掛就夠了！
2022-02-06
跨域
Flutter 安卓狀態列那點事兒
2020-04-26
Flutter安卓
關於 Flex 的那點事兒
2019-02-24
Flex
[資料庫]--Transaction那點事兒
2019-01-07
資料庫
研發遊戲的那點事兒
2012-03-09
遊戲
關於遊戲公司賣樓這事兒
2021-04-09
遊戲
只要這幾步，webpack速成不是事兒
2018-05-02
Web
java多執行緒那點事兒
2019-02-27
Java執行緒
iOS多執行緒那點事兒
2016-10-15
iOS執行緒
翻譯出版那點事兒【轉載】
2012-11-14
跨域是什麼？跨域請求資源有哪些方法？
2018-08-31
跨域
一文搞懂│什麼是跨域？如何解決跨域？
2022-07-15
跨域
《軟體開發這點事兒》作者邵志東老師影片釋出
2009-06-24