摘要:關(guān)于,強(qiáng)烈推薦閱讀跨域資源共享詳解阮一峰另外,這里也整理了一個(gè)實(shí)現(xiàn)原理圖簡化版如何判斷是否是簡單請(qǐng)求瀏覽器將請(qǐng)求分成兩類簡單請(qǐng)求和非簡單請(qǐng)求。
前言
從剛接觸前端開發(fā)起,跨域這個(gè)詞就一直以很高的頻率在身邊重復(fù)出現(xiàn),一直到現(xiàn)在,已經(jīng)調(diào)試過N個(gè)跨域相關(guān)的問題了,16年時(shí)也整理過一篇相關(guān)文章,但是感覺還是差了點(diǎn)什么,于是現(xiàn)在重新梳理了一下。
個(gè)人見識(shí)有限,如有差錯(cuò),請(qǐng)多多見諒,歡迎提出issue,另外看到這個(gè)標(biāo)題,請(qǐng)勿噴~
題綱關(guān)于跨域,有N種類型,本文只專注于ajax請(qǐng)求跨域(,ajax跨域只是屬于瀏覽器"同源策略"中的一部分,其它的還有Cookie跨域iframe跨域,LocalStorage跨域等這里不做介紹),內(nèi)容大概如下:
什么是ajax跨域
原理
表現(xiàn)(整理了一些遇到的問題以及解決方案)
如何解決ajax跨域
JSONP方式
CORS方式
代理請(qǐng)求方式
如何分析ajax跨域
http抓包的分析
一些示例
什么是ajax跨域 ajax跨域的原理ajax出現(xiàn)請(qǐng)求跨域錯(cuò)誤問題,主要原因就是因?yàn)闉g覽器的“同源策略”,可以參考
瀏覽器同源政策及其規(guī)避方法(阮一峰)
CORS請(qǐng)求原理CORS是一個(gè)W3C標(biāo)準(zhǔn),全稱是"跨域資源共享"(Cross-origin resource sharing)。它允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請(qǐng)求,從而克服了AJAX只能同源使用的限制。
基本上目前所有的瀏覽器都實(shí)現(xiàn)了CORS標(biāo)準(zhǔn),其實(shí)目前幾乎所有的瀏覽器ajax請(qǐng)求都是基于CORS機(jī)制的,只不過可能平時(shí)前端開發(fā)人員并不關(guān)心而已(所以說其實(shí)現(xiàn)在CORS解決方案主要是考慮后臺(tái)該如何實(shí)現(xiàn)的問題)。
關(guān)于CORS,強(qiáng)烈推薦閱讀?
跨域資源共享 CORS 詳解(阮一峰)
另外,這里也整理了一個(gè)實(shí)現(xiàn)原理圖(簡化版):
如何判斷是否是簡單請(qǐng)求?瀏覽器將CORS請(qǐng)求分成兩類:簡單請(qǐng)求(simple request)和非簡單請(qǐng)求(not-so-simple request)。只要同時(shí)滿足以下兩大條件,就屬于簡單請(qǐng)求。
請(qǐng)求方法是以下三種方法之一:HEAD,GET,POST
HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type(只限于三個(gè)值application/x-www-form-urlencoded、 multipart/form-data、text/plain)
凡是不同時(shí)滿足上面兩個(gè)條件,就屬于非簡單請(qǐng)求。
ajax跨域的表現(xiàn)說實(shí)話,當(dāng)初整理過一篇文章,然后作為了一個(gè)解決方案,但是后來發(fā)現(xiàn)仍然有很多人還是不會(huì)。無奈只能耗時(shí)又耗力的調(diào)試。然而就算是我來分析,也只會(huì)根據(jù)對(duì)應(yīng)的表現(xiàn)來判斷是否是跨域,因此這一點(diǎn)是很重要的。
ajax請(qǐng)求時(shí),如果存在跨域現(xiàn)象,并且沒有進(jìn)行解決,會(huì)有如下表現(xiàn):(注意,是ajax請(qǐng)求,請(qǐng)不要說為什么http請(qǐng)求可以,而ajax不行,因?yàn)閍jax是伴隨著跨域的,所以僅僅是http請(qǐng)求ok是不行的)
注意:具體的后端跨域配置請(qǐng)看題綱位置。
第一種現(xiàn)象:No "Access-Control-Allow-Origin" header is present on the requested resource,并且The response had HTTP status code 404出現(xiàn)這種情況的原因如下:
本次ajax請(qǐng)求是“非簡單請(qǐng)求”,所以請(qǐng)求前會(huì)發(fā)送一次預(yù)檢請(qǐng)求(OPTIONS)
服務(wù)器端后臺(tái)接口沒有允許OPTIONS請(qǐng)求,導(dǎo)致無法找到對(duì)應(yīng)接口地址
解決方案: 后端允許options請(qǐng)求
第二種現(xiàn)象:No "Access-Control-Allow-Origin" header is present on the requested resource,并且The response had HTTP status code 405這種現(xiàn)象和第一種有區(qū)別,這種情況下,后臺(tái)方法允許OPTIONS請(qǐng)求,但是一些配置文件中(如安全配置),阻止了OPTIONS請(qǐng)求,才會(huì)導(dǎo)致這個(gè)現(xiàn)象
解決方案: 后端關(guān)閉對(duì)應(yīng)的安全配置
第三種現(xiàn)象:No "Access-Control-Allow-Origin" header is present on the requested resource,并且status 200這種現(xiàn)象和第一種和第二種有區(qū)別,這種情況下,服務(wù)器端后臺(tái)允許OPTIONS請(qǐng)求,并且接口也允許OPTIONS請(qǐng)求,但是頭部匹配時(shí)出現(xiàn)不匹配現(xiàn)象
比如origin頭部檢查不匹配,比如少了一些頭部的支持(如常見的X-Requested-With頭部),然后服務(wù)端就會(huì)將response返回給前端,前端檢測(cè)到這個(gè)后就觸發(fā)XHR.onerror,導(dǎo)致前端控制臺(tái)報(bào)錯(cuò)
解決方案: 后端增加對(duì)應(yīng)的頭部支持
第四種現(xiàn)象:heade contains multiple values "*,*"表現(xiàn)現(xiàn)象是,后臺(tái)響應(yīng)的http頭部信息有兩個(gè)Access-Control-Allow-Origin:*
說實(shí)話,這種問題出現(xiàn)的主要原因就是進(jìn)行跨域配置的人不了解原理,導(dǎo)致了重復(fù)配置,如:
常見于.net后臺(tái)(一般在web.config中配置了一次origin,然后代碼中又手動(dòng)添加了一次origin(比如代碼手動(dòng)設(shè)置了返回*))
常見于.net后臺(tái)(在IIS和項(xiàng)目的webconfig中同時(shí)設(shè)置Origin:*)
解決方案(一一對(duì)應(yīng)):
建議刪除代碼中手動(dòng)添加的*,只用項(xiàng)目配置中的即可
建議刪除IIS下的配置*,只用項(xiàng)目配置中的即可
如何解決ajax跨域一般ajax跨域解決就是通過JSONP解決或者CORS解決,如以下:(注意,現(xiàn)在已經(jīng)幾乎不會(huì)再使用JSONP了,所以JSONP了解下即可)
JSONP方式解決跨域問題jsonp解決跨域問題是一個(gè)比較古老的方案(實(shí)際中不推薦使用),這里做簡單介紹(實(shí)際項(xiàng)目中如果要使用JSONP,一般會(huì)使用JQ等對(duì)JSONP進(jìn)行了封裝的類庫來進(jìn)行ajax請(qǐng)求)
實(shí)現(xiàn)原理JSONP之所以能夠用來解決跨域方案,主要是因?yàn)?
實(shí)現(xiàn)流程JSONP的實(shí)現(xiàn)步驟大致如下(參考了來源中的文章)
客戶端網(wǎng)頁網(wǎng)頁通過添加一個(gè)
請(qǐng)注意,以上截圖較老,如果配置仍然出問題,可以考慮增加更多的headers允許,比如:
"Access-Control-Allow-Headers":"X-Requested-With,Content-Type,Accept,Origin"
第二步:其它更多配置,如果第一步進(jìn)行了后,仍然有跨域問題,可能是:
接口中有限制死一些請(qǐng)求類型(比如寫死了POST等),這時(shí)候請(qǐng)去除限 制
接口中,重復(fù)配置了Origin:*,請(qǐng)去除即可
IIS服務(wù)器中,重復(fù)配置了Origin:*,請(qǐng)去除即可
代理請(qǐng)求方式解決接口跨域問題注意,由于接口代理是有代價(jià)的,所以這個(gè)僅是開發(fā)過程中進(jìn)行的。
與前面的方法不同,前面CORS是后端解決,而這個(gè)主要是前端對(duì)接口進(jìn)行代理,也就是:
前端ajax請(qǐng)求的是本地接口
本地接口接收到請(qǐng)求后向?qū)嶋H的接口請(qǐng)求數(shù)據(jù),然后再將信息返回給前端
一般用node.js即可代理
關(guān)于如何實(shí)現(xiàn)代理,這里就不重點(diǎn)描述了,方法和多,也不難,基本都是基于node.js的。
搜索關(guān)鍵字node.js,代理請(qǐng)求即可找到一大票的方案。
OPTIONS預(yù)檢的優(yōu)化Access-Control-Max-Age:
這個(gè)頭部加上后,可以緩存此次請(qǐng)求的秒數(shù)。
在這個(gè)時(shí)間范圍內(nèi),所有同類型的請(qǐng)求都將不再發(fā)送預(yù)檢請(qǐng)求而是直接使用此次返回的頭作為判斷依據(jù)。
非常有用,可以大幅優(yōu)化請(qǐng)求次數(shù)
如何分析ajax跨域上述已經(jīng)介紹了跨域的原理以及如何解決,但實(shí)際過程中,發(fā)現(xiàn)仍然有很多人對(duì)照著類似的文檔無法解決跨域問題,主要體現(xiàn)在,前端人員不知道什么時(shí)候是跨域問題造成的,什么時(shí)候不是,因此這里稍微介紹下如何分析一個(gè)請(qǐng)求是否跨域:
抓包請(qǐng)求數(shù)據(jù)第一步當(dāng)然是得知道我們的ajax請(qǐng)求發(fā)送了什么數(shù)據(jù),接收了什么,做到這一步并不難,也不需要fiddler等工具,僅基于Chrome即可
Chrome瀏覽器打開對(duì)應(yīng)發(fā)生ajax的頁面,F12打開Dev Tools
發(fā)送ajax請(qǐng)求
右側(cè)面板->NetWork->XHR,然后找到剛才的ajax請(qǐng)求,點(diǎn)進(jìn)去
示例一(正常的ajax請(qǐng)求)上述請(qǐng)求是一個(gè)正確的請(qǐng)求,為了方便,我把每一個(gè)頭域的意思都表明了,我們可以清晰的看到,接口返回的響應(yīng)頭域中,包括了
Access-Control-Allow-Headers: X-Requested-With,Content-Type,Accept Access-Control-Allow-Methods: Get,Post,Put,OPTIONS Access-Control-Allow-Origin: *
所以瀏覽器接收到響應(yīng)時(shí),判斷的是正確的請(qǐng)求,自然不會(huì)報(bào)錯(cuò),成功的拿到了響應(yīng)數(shù)據(jù)。
示例二(跨域錯(cuò)誤的ajax請(qǐng)求)為了方便,我們?nèi)匀荒蒙厦娴腻e(cuò)誤表現(xiàn)示例舉例。
這個(gè)請(qǐng)求中,接口Allow里面沒有包括OPTIONS,所以請(qǐng)求出現(xiàn)了跨域、
這個(gè)請(qǐng)求中,Access-Control-Allow-Origin: *出現(xiàn)了兩次,導(dǎo)致了跨域配置沒有正確配置,出現(xiàn)了錯(cuò)誤。
更多跨域錯(cuò)誤基本都是類似的,就是以上三樣沒有滿足(Headers,Allow,Origin),這里不再一一贅述。
示例三(與跨域無關(guān)的ajax請(qǐng)求)當(dāng)然,也并不是所有的ajax請(qǐng)求錯(cuò)誤都與跨域有關(guān),所以請(qǐng)不要混淆,比如以下:
比如這個(gè)請(qǐng)求,它的跨域配置沒有一點(diǎn)問題,它出錯(cuò)僅僅是因?yàn)閞equest的Accept和response的Content-Type不匹配而已。
更多基本上都是這樣去分析一個(gè)ajax請(qǐng)求,通過Chrome就可以知道了發(fā)送了什么數(shù)據(jù),收到了什么數(shù)據(jù),然后再一一比對(duì)就知道問題何在了。
寫在最后的話跨域是一個(gè)老生常談的話題,網(wǎng)上也有大量跨域的資料,并且有不少精品(比如阮一峰前輩的),但是身為一個(gè)前端人員不應(yīng)該淺嘗而止,故而才有了本文。
漫漫前端路,望與諸君共勉之!
附錄 參考資料瀏覽器同源政策及其規(guī)避方法(阮一峰)
跨域資源共享 CORS 詳解(阮一峰)
本人之前在cnblog上的文章
博客初次發(fā)布2017.03.22于個(gè)人博客
http://www.dailichun.com/2017/03/22/ajaxCrossDomainSolution.html
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/92231.html
摘要:目前,所有瀏覽器都支持該功能,瀏覽器不能低于。因此,實(shí)現(xiàn)通信的關(guān)鍵是服務(wù)器。如果指定的域名在許可范圍內(nèi),服務(wù)器返回的響應(yīng),會(huì)多出頭信息字段也可能多出其他可選字段或者是表示接受任意域名的請(qǐng)求。 實(shí)際跨域問題及其解決方案 1.課題:ajax實(shí)現(xiàn)跨域訪問 2.背景: 1.畫面服務(wù)器:192.168.196.6 → tomcat服務(wù)2.js模板服務(wù)器:192.168.196.8 → ngi...
摘要:前言原文地址前端跨域總結(jié)博主博客地址的個(gè)人博客相信每一個(gè)前端對(duì)于跨域這兩個(gè)字都不會(huì)陌生,在實(shí)際項(xiàng)目中應(yīng)用也是比較多的。通過跨域前面說過了,瀏覽器有一個(gè)同源策略,其限制之一是不能通過的方法去請(qǐng)求不同源中的文檔。 前言 原文地址:前端跨域總結(jié) 博主博客地址:Damonare的個(gè)人博客 相信每一個(gè)前端er對(duì)于跨域這兩個(gè)字都不會(huì)陌生,在實(shí)際項(xiàng)目中應(yīng)用也是比較多的。但跨域方法的多種多樣實(shí)在讓人目...
摘要:前言原文地址前端跨域總結(jié)博主博客地址的個(gè)人博客相信每一個(gè)前端對(duì)于跨域這兩個(gè)字都不會(huì)陌生,在實(shí)際項(xiàng)目中應(yīng)用也是比較多的。通過跨域前面說過了,瀏覽器有一個(gè)同源策略,其限制之一是不能通過的方法去請(qǐng)求不同源中的文檔。 前言 原文地址:前端跨域總結(jié) 博主博客地址:Damonare的個(gè)人博客 相信每一個(gè)前端er對(duì)于跨域這兩個(gè)字都不會(huì)陌生,在實(shí)際項(xiàng)目中應(yīng)用也是比較多的。但跨域方法的多種多樣實(shí)在讓人目...
摘要:開發(fā)者需要在中設(shè)置屬性為跨域是的簡稱這是一種利用瀏覽器漏洞解決跨域的辦法腳本元素可以不受瀏覽器同源策略的限制。 什么是瀏覽器同源策略? 同源是指,域名,協(xié)議,端口號(hào)均相同,如圖: showImg(https://segmentfault.com/img/bV9rAO?w=1088&h=394); 注意:localhost和127.0.0.1雖然都指向本機(jī),但也是跨域. 瀏覽器同源策略(...
閱讀 3872·2021-09-27 13:35
閱讀 1069·2021-09-24 09:48
閱讀 2899·2021-09-22 15:42
閱讀 2339·2021-09-22 15:28
閱讀 3145·2019-08-30 15:43
閱讀 2609·2019-08-30 13:52
閱讀 2971·2019-08-29 12:48
閱讀 1451·2019-08-26 13:55