摘要:什么是跨域當協議域名端口號,有一個或多個不同時,有希望可以訪問并獲取數據的現象稱為跨域訪問,同源策略限制下都是不支持跨域的。命名是隨意的,只要是符合一級域名與二級域名的關系即可,然后訪問。
同源策略/SOP(Same origin policy)是一種約定,由 Netscape 公司 1995 年引入瀏覽器,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,瀏覽器很容易受到 XSS、CSRF 等攻擊。所謂同源是指 "協議 + 域名 + 端口" 三者相同,即便兩個不同的域名指向同一個 ip 地址,也非同源。
當協議、域名、端口號,有一個或多個不同時,有希望可以訪問并獲取數據的現象稱為跨域訪問,同源策略限制下 cookie、localStorage、dom、ajax、IndexDB 都是不支持跨域的。
假設 cookie 支持了跨域,http 協議無狀態,當用戶訪問了一個銀行網站登錄后,銀行網站的服務器給返回了一個 sessionId,當通過當前瀏覽器再訪問一個惡意網站,如果 cookie 支持跨域,惡意網站將獲取 sessionId 并訪問銀行網站,出現安全性問題;IndexDB、localStorage 等數據存儲在不同域的頁面切換時是獲取不到的;假設 dom 元素可以跨域,在自己的頁面寫入一個 iframe 內部嵌入的地址是 www.baidu.com,當在百度頁面登錄賬號密碼時就可以在自己的頁面獲取百度的數據信息,這顯然是不合理的。
這就是為什么 cookie、localStorage、dom、ajax、IndexDB 會受到同源策略會限制,下面還有一點對跨域理解的誤區:
誤區:同源策略限制下,訪問不到后臺服務器的數據,或訪問到后臺服務器的數據后沒有返回;
正確:同源策略限制下,可以訪問到后臺服務器的數據,后臺服務器會正常返回數據,而被瀏覽器給攔截了。
使用場景:當自己的項目前端資源和后端部署在不同的服務器地址上,或者其他的公司需要訪問自己對外公開的接口,需要實現跨域獲取數據,如百度搜索。
// 封裝 jsonp 跨域請求的方法 function jsonp({ url, params, cb }) { return new Promise((resolve, reject) => { // 創建一個 script 標簽幫助我們發送請求 let script = document.createElement("script"); let arr = []; params = { ...params, cb }; // 循環構建鍵值對形式的參數 for (let key in params) { arr.push(`${key}=${params[key]}`); } // 創建全局函數 window[cb] = function(data) { resolve(data); // 在跨域拿到數據以后將 script 標簽銷毀 document.body.removeChild(script); }; // 拼接發送請求的參數并賦值到 src 屬性 script.src = `${url}?${arr.join("&")}`; document.body.appendChild(script); }); } // 調用方法跨域請求百度搜索的接口 json({ url: "https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/su", params: { wd: "jsonp" }, cb: "show" }).then(data => { // 打印請求回的數據 console.log(data); });
缺點:
只能發送 get 請求 不支持 post、put、delete;
不安全,容易引發 xss 攻擊,別人在返回的結果中返回了下面代碼。
`let script = document.createElement("script"); script.src = "http://192.168.0.57:8080/xss.js"; document.body.appendChild(script);`;
會把別人的腳本引入到自己的頁面中執行,如:彈窗、廣告等,甚至更危險的腳本程序。
跨源資源共享/CORS(Cross-Origin Resource Sharing)是 W3C 的一個工作草案,定義了在必須訪問跨源資源時,瀏覽器與服務器應該如何溝通。CORS 背后的基本思想,就是使用自定義的 HTTP 頭部讓瀏覽器與服務器進行溝通,從而決定請求或響應是應該成功,還是應該失敗。
使用場景:多用于開發時,前端與后臺在不同的 ip 地址下進行數據訪問。
現在啟動兩個端口號不同的服務器,創建跨域條件,服務器(NodeJS)代碼如下:
// 服務器1 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(3000); // 服務器2 const express = require("express"); let app = express(); app.get("/getDate", function(req, res) { res.end("I love you"); }); app.use(express.static(__dirname)); app.listen(4000);
由于我們的 NodeJS 服務器使用 express 框架,在我們的項目根目錄下的命令行中輸入下面代碼進行安裝:
npm install express --save
通過訪問 http://localhost:3000/index.html 獲取 index.html 文件并執行其中的 Ajax 請求 http://localhost:4000/getDate 接口去獲取數據,index.html 文件內容如下:
CORS 跨域
上面 index.html 代碼中發送請求訪問不在同源的服務器 2,此時會在控制臺給出錯誤信息,告訴我們缺少了哪些響應頭,我們對應報錯信息去修改訪問的服務器 2 的代碼,添加對應的響應頭,實現 CORS 跨域。
// 服務器2 const express = require("express"); let app = express(); // 允許訪問域的白名單 let whiteList = ["http://localhost:3000"]; app.use(function(req, res, next) { let origin = req.header.origin; if (whiteList.includes(origin)) { // 設置那個源可以訪問我,參數為 * 時,允許任何人訪問,但是不可以和 cookie 憑證的響應頭共同使用 res.setHeader("Access-Control-Allow-Origin", origin); // 想要獲取 ajax 的頭信息,需設置響應頭 res.setHeader("Access-Control-Allow-Headers", "name"); // 處理復雜請求的頭 res.setHeader("Access-Control-Allow-Methods", "PUT"); // 允許發送 cookie 憑證的響應頭 res.setHeader("Access-Control-Allow-Credentials", true); // 允許前端獲取哪個頭信息 res.setHeader("Access-Control-Expose-Headers", "name"); // 處理 OPTIONS 預檢的存活時間,單位 s res.setHeader("Access-Control-Max-Age", 5); // 發送 PUT 請求會做一個試探性的請求 OPTIONS,其實是請求了兩次,當接收的請求為 OPTIONS 時不做任何處理 if (req.method === "OPTIONS") { res.end(); } } next(); }); app.put("/getDate", function(req, res) { // res.setHeader("name", "nihao"); // 設置自定義響應頭信息 res.end("I love you"); }); app.get("/getDate", function(req, res) { res.end("I love you"); }); app.use(express.static(__dirname)); app.listen(4000);
postMessage 是 H5 的新 API,跨文檔消息傳送(cross-document messaging),有時候簡稱為 XMD,指的是在來自不同域的頁面間傳遞消息。
調用方式:window.postMessage(message, targetOrigin)
message:發送的數據
targetOrigin:發送的窗口的域
在對應的頁面中用 message 事件接收,事件對象中有 data、origin、source 三個重要信息
data:接收到的數據
origin:接收到數據源的域(數據來自哪個域)
source:接收到數據源的窗口對象(數據來自哪個窗口對象)
使用場景:不是使用 Ajax 的數據通信,更多是在兩個頁面之間的通信,在 A 頁面中引入 B 頁面,在 A、B 兩個頁面之間通信。
與上面 CORS 類似,我們要創建跨域場景,搭建兩個端口號不同的 Nodejs 服務器,后面相同方式就不多贅述了。
// 服務器1 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(3000); // 服務器2 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(4000);
通過訪問 http://localhost:3000/a.html,在 a.html 中使用 iframe 標簽引入 http://localhost:4000/b.html,在兩個窗口間傳遞數據。
頁面 A
頁面 B
同樣是頁面之間的通信,需要借助 iframe 標簽,A 頁面和 B 頁面是同域的 http://localhost:3000,C 頁面在獨立的域 http://localhost:4000。
// 服務器1 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(3000); // 服務器2 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(4000);
實現思路:在 A 頁面中將 iframe 的 src 指向 C 頁面,在 C 頁面中將屬性值存入 window.name 中,再把 iframe 的 src 換成同域的 B 頁面,在當前的 iframe 的 window 對象中取出 name 的值,訪問 http://localhost:3000/a.html。
頁面 A
頁面 C
與 window.name 跨域的情況相同,是不同域的頁面間的參數傳遞,需要借助 iframe 標簽,A 頁面和 B 頁面是同域的 http://localhost:3000,C 頁面是獨立的域 http://localhost:4000。
// 服務器1 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(3000); // 服務器2 const express = require(express); let app = express(); app.use(express.static(__dirname)); app.listen(4000);
實現思路:A 頁面通過 iframe 引入 C 頁面,并給 C 頁面傳一個 hash 值,C 頁面收到 hash 值后創建 iframe 引入 B 頁面,把 hash 值傳給 B 頁面,B 頁面將自己的 hash 值放在 A 頁面的 hash 值中,訪問 http://localhost:3000/a.html。
頁面 A
頁面 C
頁面 B
使用場景:不是萬能的跨域方式,大多使用于同一公司不同產品間獲取數據,必須是一級域名和二級域名的關系,如 www.baidu.com 與 video.baidu.com 之間。
const express = require("express"); let app = express(); app.use(express.static(__dirname)); app.listen(3000);
想要模擬使用 document.domain 跨域的場景需要做些小小的準備,到 C:WindowsSystem32driversetc 該路徑下找到 hosts 文件,在最下面創建一個一級域名和一個二級域名。
127.0.0.1 ???????? www.domainacross.com
127.0.0.1 ???????? sub.domainacross.com
命名是隨意的,只要是符合一級域名與 二級域名的關系即可,然后訪問 http://www.domainacross.com:3000/a.html。
頁面 A 我是頁面 A 的內容
頁面 B 我是 B 頁面的內容
WebSocket 沒有跨域限制,高級 API(不兼容),想要兼容低版本瀏覽器,可以使用 socket.io 的庫,WebSocket 與 HTTP 內部都是基于 TCP 協議,區別在于 HTTP 是單向的(單雙工),WebSocket 是雙向的(全雙工),協議是 ws:// 和 wss:// 對應 http:// 和 https://,因為沒有跨域限制,所以使用 file:// 協議也可以進行通信。
由于我們在 NodeJS 服務中使用了 WebSocket,所以需要安裝對應的依賴:
npm install ws --save
頁面
const express = require("express"); let app = express(); // 引入 webSocket const WebSocket = require("ws"); // 創建連接,端口號與前端相對應 let wss = new WebSocket.Server({ port: 3000 }); // 監聽連接 wss.on("connection", function(ws) { // 監聽消息 ws.on("message", function(data) { // 打印消息 console.log(data); // I love you // 發送消息 ws.send("I love you, too"); }); });
nginx 本身就是一個服務器,因此我們需要去 nginx 官網下載服務環境 http://nginx.org/en/download....。
下載后解壓到一個文件夾中
雙擊 nginx.exe 啟動(此時可以通過 http://localhost 訪問 nginx 服務)
在目錄新建 json 文件夾
進入 json 文件夾新建 data.json 文件并寫入內容
回到 nginx 根目錄進入 conf 文件夾
使用編輯器打開 nginx.conf 進行配置
data.json 文件:
{ "name": "nginx" }
nginx.conf 文件:
server { . . . location ~.*.json { root json; add_header "Access-Control-Allow-Origin" "*"; } . . . }
含義:
~.*.json:代表忽略大小寫,后綴名為 json 的文件;
root json:代表 json 文件夾;
add_header:代表加入跨域的響應頭及允許訪問的域,* 為允許任何訪問。
在 nginx 根目錄啟動 cmd 命令行(windows 系統必須使用 cmd 命令行)執行下面代碼重啟 nginx。
nginx -s reload
不跨域訪問:http://localhost/data.json
跨域訪問時需要創建跨域條件代碼如下:
// 服務器 const express = require("express"); let app = express(); app.use(express.static(__dirname)); app.listen(3000);
跨域訪問:http://localhost:3000/index.html
nginx跨域
NodeJS 中間件 http-proxy-middleware 實現跨域代理,原理大致與 nginx 相同,都是通過啟一個代理服務器,實現數據的轉發,也可以通過設置 cookieDomainRewrite 參數修改響應頭中 cookie 中的域名,實現當前域的 cookie 寫入,方便接口登錄認證。
1、非 vue 框架的跨域(2 次跨域)proxy 跨域
中間代理服務中使用了 http-proxy-middleware 中間件,因此需要提前下載:
npm install http-proxy-middleware --save-dev
// 中間代理服務器 const express = require("express"); let proxy = require("http-proxy-middleware"); let app = express(); app.use( "/", proxy({ // 代理跨域目標接口 target: "http://www.proxy2.com:8080", changeOrigin: true, // 修改響應頭信息,實現跨域并允許帶 cookie onProxyRes: function(proxyRes, req, res) { res.header("Access-Control-Allow-Origin", "http://www.proxy1.com"); res.header("Access-Control-Allow-Credentials", "true"); }, // 修改響應信息中的 cookie 域名 cookieDomainRewrite: "www.proxy1.com" // 可以為 false,表示不修改 }) ); app.listen(3000);
// 服務器 const http = require("http"); const qs = require("querystring"); const server = http.createServer(); server.on("request", function(req, res) { let params = qs.parse(req.url.substring(2)); // 向前臺寫 cookie res.writeHead(200, { "Set-Cookie": "l=a123456;Path=/;Domain=www.proxy2.com;HttpOnly" // HttpOnly:腳本無法讀取 }); res.write(JSON.stringify(params)); res.end(); }); server.listen("8080");2、vue 框架的跨域(1 次跨域)
利用 node + webpack + webpack-dev-server 代理接口跨域。在開發環境下,由于 Vue 渲染服務和接口代理服務都是 webpack-dev-server,所以頁面與代理接口之間不再跨域,無須設置 Headers 跨域信息了。
// 導出服務器配置 module.exports = { entry: {}, module: {}, ... devServer: { historyApiFallback: true, proxy: [{ context: "/login", target: "http://www.proxy2.com:8080", // 代理跨域目標接口 changeOrigin: true, secure: false, // 當代理某些 https 服務報錯時用 cookieDomainRewrite: "www.domain1.com" // 可以為 false,表示不修改 }], noInfo: true } }
本篇文章在于幫助我們理解跨域,以及不同跨域方式的基本原理,在公司的項目比較多,多個域使用同一個服務器或者數據,以及在開發環境時,跨域的情況基本無法避免,一般會有各種各樣形式的跨域解決方案,但其根本原理基本都在上面的跨域方式當中方式,我們可以根據開發場景不同,選擇最合適的跨域解決方案。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/98284.html
摘要:二跨域解決方案原理利用標簽沒有跨域限制的漏洞,網頁可以得到從其他來源動態產生的數據。使用反向代理實現跨域,是最簡單的跨域方式。 前言 前后端數據交互經常會碰到請求跨域,什么是跨域,以及有哪幾種跨域方式,這是本文要探討的內容。 本文完整的源代碼請猛戳github博客,紙上得來終覺淺,建議動手敲敲代碼 一、什么是跨域? 1.什么是同源策略及其限制內容? 同源策略是一種約定,它是瀏覽器最核心...
摘要:二跨域解決方案原理利用標簽沒有跨域限制的漏洞,網頁可以得到從其他來源動態產生的數據。使用反向代理實現跨域,是最簡單的跨域方式。 前言 前后端數據交互經常會碰到請求跨域,什么是跨域,以及有哪幾種跨域方式,這是本文要探討的內容。 本文完整的源代碼請猛戳github博客,紙上得來終覺淺,建議動手敲敲代碼 一、什么是跨域? 1.什么是同源策略及其限制內容? 同源策略是一種約定,它是瀏覽器最核心...
摘要:整理收藏一些優秀的文章及大佬博客留著慢慢學習原文協作規范中文技術文檔協作規范阮一峰編程風格凹凸實驗室前端代碼規范風格指南這一次,徹底弄懂執行機制一次弄懂徹底解決此類面試問題瀏覽器與的事件循環有何區別筆試題事件循環機制異步編程理解的異步 better-learning 整理收藏一些優秀的文章及大佬博客留著慢慢學習 原文:https://www.ahwgs.cn/youxiuwenzhan...
摘要:本地安全問題在之前引入了本地這個東西,但是后面被廢除了,他的安全點和后臺數據庫的關注點差不多,就是要防止在數據中混入查詢指令。僵尸網絡風險中解決了單線程問題,提出了機制,它為提供多線程支持,但是多線程帶來了一個非常可怕的危險僵尸網絡。 HTML5 安全問題解析 標簽: html html5 web安全 本文參考: w3school:html5相關基礎知識(w3school.com.c...
閱讀 2686·2021-09-22 15:58
閱讀 2229·2019-08-29 16:06
閱讀 896·2019-08-29 14:14
閱讀 2809·2019-08-29 13:48
閱讀 2451·2019-08-28 18:01
閱讀 1494·2019-08-28 17:52
閱讀 3317·2019-08-26 14:05
閱讀 1610·2019-08-26 13:50