当前位置: 开发笔记 > 编程语言 > 正文

非常全的跨域实现方案

作者：mobiledu2502880383 | 来源：互联网 | 2023-10-17 15:34

由于同源策略的限制，满足同源的脚本才可以获取资源。虽然这样有助于保障网络安全，但另一方面也限制了资源的使用。那么如何实现跨域呢，以下是实现跨域的一些方法。

技术图片

由于同源策略的限制，满足同源的脚本才可以获取资源。虽然这样有助于保障网络安全，但另一方面也限制了资源的使用。
那么如何实现跨域呢，以下是实现跨域的一些方法。

一、jsonp跨域

原理：script标签引入js文件不受跨域影响。不仅如此，带src属性的标签都不受同源策略的影响。

正是基于这个特性，我们通过script标签的src属性加载资源，数据放在src属性指向的服务器上，使用json格式。

由于我们无法判断script的src的加载状态，并不知道数据有没有获取完成，所以事先会定义好处理函数。服务端会在数据开头加上这个函数名，等全部加载完毕，便会调用我们事先定义好的函数，这时函数的实参传入的就是后端返回的数据了。

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/jsonp
演示网址：https://mfaying.github.io/lesson/cross-origin/jsonp/index.html

index.html

jsonp.js

callback({"test": 0});

访问index.html弹窗便会显示0

该方案的缺点是：只能实现get一种请求。

二、document.domain + iframe跨域

此方案仅限主域相同，子域不同的应用场景。

比如百度的主网页是www.baidu.com，zhidao.baidu.com、news.baidu.com等网站是www.baidu.com这个主域下的子域。

实现原理：两个页面都通过js设置document.domain为基础主域，就实现了同域，就可以互相操作资源了。
示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/document-domain
演示网址：https://mfaying.github.io/lesson/cross-origin/document-domain/index.html

index.html

child.html

三、location.hash + iframe跨域

父页面改变iframe的src属性，location.hash的值改变，不会刷新页面(还是同一个页面)，在子页面可以通过window.localtion.hash获取值。

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/location-hash
演示网址：https://mfaying.github.io/lesson/cross-origin/location-hash/index.html

index.html

child.html

点击index.html页面弹窗便会显示0

四、window.name + iframe跨域

原理：window.name属性在不同的页面（甚至不同域名）加载后依旧存在，name可赋较长的值（2MB）。

在iframe非同源的页面下设置了window的name属性，再将iframe指向同源的页面，此时window的name属性值不变，从而实现了跨域获取数据。
示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/window-name
演示网址：https://mfaying.github.io/lesson/cross-origin/window-name/parent/index.html

./parent/index.html

./parent/proxy.html
空文件，仅做代理页面

./child.html

五、postMessage跨域

postMessage是HTML5提出的，可以实现跨文档消息传输。

用法
getMessageHTML.postMessage(data, origin);
data： html5规范支持的任意基本类型或可复制的对象，但部分浏览器只支持字符串，所以传参时最好用JSON.stringify()序列化。
origin：协议+主机+端口号，也可以设置为"*"，表示可以传递给任意窗口，如果要指定和当前窗口同源的话设置为"/"。

getMessageHTML是我们对于要接受信息页面的引用，可以是iframe的contentWindow属性、window.open的返回值、通过name或下标从window.frames取到的值。

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/postMessage
演示网址：https://mfaying.github.io/lesson/cross-origin/postMessage/index.html

index.html

child.html

点击index.html页面上的按钮，弹窗便会显示0。

六、跨域资源共享（CORS）
只要在服务端设置Access-Control-Allow-Origin就可以实现跨域请求，若是COOKIE请求，前后端都需要设置。
由于同源策略的限制，所读取的COOKIE为跨域请求接口所在域的COOKIE，并非当前页的COOKIE。

CORS是目前主流的跨域解决方案。

原生node.js实现

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/cors
演示网址：https://mfaying.github.io/lesson/cross-origin/cors/index.html(访问前需要先执行node server.js命令启动本地服务器)

index.html

server.js

var http = require(&＃39;http&＃39;);
var server = http.createServer();

server.on(&＃39;request&＃39;, function(req, res) {
  res.writeHead(200, {
    &＃39;Access-Control-Allow-Credentials&＃39;: &＃39;true&＃39;,     // 后端允许发送COOKIE
    &＃39;Access-Control-Allow-Origin&＃39;: &＃39;https://mfaying.github.io&＃39;,    // 允许访问的域（协议+域名+端口）
    &＃39;Set-COOKIE&＃39;: &＃39;key=1;Path=/;Domain=mfaying.github.io;HttpOnly&＃39;   // HttpOnly:脚本无法读取COOKIE
  });

  res.write(JSON.stringify(req.method));
  res.end();
});

server.listen(&＃39;8080&＃39;);
console.log(&＃39;Server is running at port 8080...&＃39;);

koa结合koa2-cors中间件实现

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/koa-cors
演示网址：https://mfaying.github.io/lesson/cross-origin/koa-cors/index.html (访问前需要先执行node server.js命令启动本地服务器)

index.html

server.js

var koa = require(&＃39;koa&＃39;);
var router = require(&＃39;koa-router&＃39;)();
const cors = require(&＃39;koa2-cors&＃39;);

var app = new koa();

app.use(cors({
  origin: function (ctx) {
    if (ctx.url === &＃39;/test&＃39;) {
      return false;
    }
    return &＃39;*&＃39;;
  },
  exposeHeaders: [&＃39;WWW-Authenticate&＃39;, &＃39;Server-Authorization&＃39;],
  maxAge: 5,
  credentials: true,
  allowMethods: [&＃39;GET&＃39;, &＃39;POST&＃39;, &＃39;DELETE&＃39;],
  allowHeaders: [&＃39;Content-Type&＃39;, &＃39;Authorization&＃39;, &＃39;Accept&＃39;],
}))

router.get(&＃39;/&＃39;, async function (ctx) {
  ctx.body = "0";
});

app
  .use(router.routes())
  .use(router.allowedMethods());

app.listen(3000);
console.log(&＃39;server is listening in port 3000&＃39;);

七、WebSocket协议跨域

WebSocket协议是HTML5的新协议。能够实现浏览器与服务器全双工通信，同时允许跨域，是服务端推送技术的一种很好的实现。

示例代码：https://github.com/mfaying/lesson/tree/master/cross-origin/websocket
演示网址：https://mfaying.github.io/lesson/cross-origin/websocket/index.html(访问前需要先安装依赖包，再执行node server.js命令启动本地websocket服务端)

前端代码：

server.js

var WebSocketServer = require(&＃39;websocket&＃39;).server;
var http = require(&＃39;http&＃39;);
 
var server = http.createServer(function(request, response) {
  response.writeHead(404);
  response.end();
});
server.listen(8080, function() {
  console.log(&＃39;Server is listening on port 8080&＃39;);
});
 
wsServer = new WebSocketServer({
    httpServer: server,
    autoAcceptConnections: false
});
 
function originIsAllowed(origin) {
  return true;
}
 
wsServer.on(&＃39;request&＃39;, function(request) {
    if (!originIsAllowed(request.origin)) {
      request.reject();
      console.log(&＃39;Connection from origin &＃39; + request.origin + &＃39; rejected.&＃39;);
      return;
    }
    
    var cOnnection= request.accept(&＃39;echo-protocol&＃39;, request.origin);
    console.log(&＃39;Connection accepted.&＃39;);
    connection.on(&＃39;message&＃39;, function(message) {
      if (message.type === &＃39;utf8&＃39;) {
        const reqData = JSON.parse(message.utf8Data);
        reqData.test -= 1;
        connection.sendUTF(JSON.stringify(reqData));
      }
    });
    connection.on(&＃39;close&＃39;, function() {
      console.log(&＃39;close&＃39;);
    });
});

八、nginx代理跨域

原理：同源策略是浏览器的安全策略，不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议，不存在跨越问题。

实现：通过nginx配置代理服务器（域名与test1相同，端口不同）做跳板机，反向代理访问test2接口，且可以修改COOKIE中test信息，方便当前域COOKIE写入，实现跨域登录。

nginx具体配置：

#proxy服务器
server {
    listen       81;
    server_name  www.test1.com;

    location / {
        proxy_pass   http://www.test2.com:8080;  #反向代理
        proxy_COOKIE_test www.test2.com www.test1.com; #修改COOKIE里域名
        index  index.html index.htm;

        add_header Access-Control-Allow-Origin http://www.test1.com;  #当前端只跨域不带COOKIE时，可为*
        add_header Access-Control-Allow-Credentials true;
    }
}

技术图片

非常全的跨域实现方案

推荐阅读

text
深入理解Cookie与Session会话管理

本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息，以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制，解释其原理及应用场景。 ... [详细]

蜡笔小新 2024-12-27 18:20:43
js
Vue 2 中解决页面刷新和按钮跳转导致导航栏样式失效的问题

本文介绍了如何通过配置路由的 meta 字段，确保 Vue 2 项目中的导航栏在页面刷新或内部按钮跳转时，始终保持正确的 active 样式。具体实现方法包括设置路由的 meta 属性，并在 HTML 模板中动态绑定类名。 ... [详细]

蜡笔小新 2024-12-28 13:45:20
js
QUIC协议：快速UDP互联网连接

QUIC（Quick UDP Internet Connections）是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP，并结合了TLS级别的安全性，提供了更高效、更可靠的互联网通信方式。 ... [详细]

蜡笔小新 2024-12-28 12:33:18
js
Linux 系统启动故障排除指南：MBR 和 GRUB 问题

本文详细介绍了 Linux 系统启动过程中常见的 MBR 扇区和 GRUB 引导程序故障及其解决方案，涵盖从备份、模拟故障到恢复的具体步骤。 ... [详细]

蜡笔小新 2024-12-27 20:40:29
const
次小生成树问题的高效求解

本文探讨了如何通过最小生成树（MST）来计算严格次小生成树。在处理过程中，需特别注意所有边权重相等的情况，以避免错误。我们首先构建最小生成树，然后枚举每条非树边，检查其是否能形成更优的次小生成树。 ... [详细]

蜡笔小新 2024-12-28 13:42:43
js
深入理解OAuth认证机制

本文介绍了OAuth认证协议的核心概念及其工作原理。OAuth是一种开放标准，旨在为第三方应用提供安全的用户资源访问授权，同时确保用户的账户信息（如用户名和密码）不会暴露给第三方。 ... [详细]

蜡笔小新 2024-12-28 12:07:46
ip
2023 ARM嵌入式系统全国技术巡讲

2023 ARM嵌入式系统全国技术巡讲旨在分享ARM公司在半导体知识产权(IP)领域的最新进展。作为全球领先的IP提供商，ARM在嵌入式处理器市场占据主导地位，其产品广泛应用于90%以上的嵌入式设备中。此次巡讲将邀请来自ARM、飞思卡尔以及华清远见教育集团的行业专家，共同探讨当前嵌入式系统的前沿技术和应用。 ... [详细]

蜡笔小新 2024-12-28 11:58:48
list
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
js
2018回顾与2019展望

本文总结了2018年的关键成就，包括职业变动、购车、考取驾照等重要事件，并分享了读书、工作、家庭和朋友方面的感悟。同时，展望2019年，制定了健康、软实力提升和技术学习的具体目标。 ... [详细]

蜡笔小新 2024-12-28 09:10:26
js
通过类型和标签选择元素

本文介绍了如何使用jQuery根据元素的类型（如复选框）和标签名（如段落）来获取DOM对象。这有助于更高效地操作网页中的特定元素。 ... [详细]

蜡笔小新 2024-12-27 19:44:14
list
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
js
PHP 5.2.5 安装与配置指南

本文详细介绍了 PHP 5.2.5 的安装和配置步骤，帮助开发者解决常见的环境配置问题，特别是上传图片时遇到的错误。通过本教程，您可以顺利搭建并优化 PHP 运行环境。 ... [详细]

蜡笔小新 2024-12-27 19:05:41
js
Xcode 中多行代码缩进技巧

本文介绍如何在 Xcode 中使用快捷键和菜单命令对多行代码进行缩进，包括右缩进和左缩进的具体操作方法。 ... [详细]

蜡笔小新 2024-12-27 17:52:34
js
CentOS7源码编译安装MySQL5.6

2019独角兽企业重金招聘Python工程师标准一、先在cmake官网下个最新的cmake源码包cmake官网：https:www.cmake.org如此时最新 ... [详细]

蜡笔小新 2024-12-27 17:49:56
ip
Linux 自动化安装脚本详解

本文介绍了一款用于自动化部署 Linux 服务的 Bash 脚本。该脚本不仅涵盖了基本的文件复制和目录创建，还处理了系统服务的配置和启动，确保在多种 Linux 发行版上都能顺利运行。 ... [详细]

蜡笔小新 2024-12-27 16:33:32

mobiledu2502880383

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章