🧸陈欣健的博客

Appearance

跨域

同源策略

同源策略是浏览器提出来的安全策略,源指的是协议+域名+端口号,同源就是指这三个东西相同,若不同,则是跨域。

当页面的源和页面运行过程中加载的源不一致时,出于安全考虑,浏览器会对跨域的资源进行限制。

默认情况下,同源策略是不允许ajax访问跨域资源。所以我们常说的跨域问题,其实就是同源策略对ajax的影响。

为了解决跨域问题,常用的解决办法有:

  • 服务器代理
  • CORS
  • JSONP

服务器代理

对于前端开发而言,大部分的跨域问题,都是通过服务器代理解决的,因为服务器之间不存在跨域。

代理适用的场景是:生产环境不发生跨域,但开发环境发生跨域。

因此,只需要在开发环境使用服务器代理解决跨域即可。

image-20220520111448552

js
// vue 的开发服务器代理配置
// vue.config.js
module.exports = {
  devServer: { // 配置开发服务器
    proxy: { // 配置代理
      "/api": { // 若请求路径以 /api 开头
        target: "http://dev.taobao.com", // 将其转发到 http://dev.taobao.com
      },
    },
  },
};

CORS

CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。

它的总体思路是:如果浏览器要跨域访问服务器的资源,需要获得服务器的允许。

image-20220520142415375

而要知道,一个请求可以附带很多信息,从而会对服务器造成不同程度的影响

比如有的请求只是获取一些新闻,有的请求会改动服务器的数据

针对不同的请求,CORS 规定了三种不同的交互模式,分别是:

  • 简单请求
  • 预检请求(需要预检的请求)
  • 附带身份凭证的请求

这三种模式从上到下层层递进,请求可以做的事越来越多,要求也越来越严格。

下面分别说明三种请求模式的具体规范:

简单请求

当浏览器端运行了一段 ajax 代码(无论是使用 XMLHttpRequest 还是 fetch api),浏览器会首先判断它属于哪一种请求模式。

简单请求的判定

  1. 请求方法属于下面的一种:

    • get
    • post
    • head

  2. 请求头仅包含安全的字段,常见的安全字段如下:

    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type
    • DPR
    • Downlink
    • Save-Data
    • Viewport-Width
    • Width

  3. 请求头如果包含Content-Type,仅限下面的值之一:

    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded

2、3可以总结为符合头部安全规范。

如果以上三个条件同时满足,浏览器判定为简单请求。

下面是一些例子:

js
// 简单请求
fetch('http://crossdomain.com/api/news');

// 请求方法不满足要求,不是简单请求
fetch('http://crossdomain.com/api/news', {
  method: 'PUT',
});

// 加入了额外的请求头,不是简单请求
fetch('http://crossdomain.com/api/news', {
  headers: {
    a: 1,
  },
});

// 简单请求
fetch('http://crossdomain.com/api/news', {
  method: 'post',
});

// content-type不满足要求,不是简单请求
fetch('http://crossdomain.com/api/news', {
  method: 'post',
  headers: {
    'content-type': 'application/json',
  },
});

简单请求的交互规范

当浏览器判定某个ajax 跨域请求简单请求时,会发生以下的事情:

  1. 请求头中会自动添加Origin字段

比如,在页面http://my.com/index.html中有以下代码造成了跨域:

js
// 简单请求
fetch('http://crossdomain.com/api/news');

请求发出后,请求头会是下面的格式:

http
GET /api/news/ HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com

我们可以看到最后一行,Origin字段会告诉服务器,是哪个源地址在跨域请求。

  1. 服务器响应头中应包含Access-Control-Allow-Origin

当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段

该字段的值可以是:

  • *:表示我很开放,什么人我都允许访问
  • 具体的源:比如http://my.com,表示我只允许你访问

提示

实际上,这两个值对于客户端http://my.com而言,都一样,因为客户端才不会管其他源服务器允不允许,就关心自己是否被允许

当然,服务器也可以维护一个可被允许的源列表,如果请求的Origin命中该列表,才响应*或具体的源

为了避免后续的麻烦,强烈推荐响应具体的源

假设服务器做出以下响应:

http
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...

消息体中的数据

浏览器就能够顺利拿到响应,做后续的操作了。

image-20220520151909519

预检请求(需要预检的请求)

如果不是简单请求,那么很大概率是需要预检的请求,浏览器就会按照下面的流程进行:

  1. 浏览器发送预检请求,询问服务器是否允许
  2. 服务器允许
  3. 浏览器发送真实请求
  4. 服务器完成真实的响应

比如,在页面http://my.com/index.html中有以下代码造成了跨域:

js
// 需要预检的请求
fetch('http://crossdomain.com/api/user', {
  method: 'POST', // post 请求
  headers: {
    // 设置请求头
    a: 1,
    b: 2,
    'content-type': 'application/json',
  },
  body: JSON.stringify({ name: 'tom', age: 18 }), // 设置请求体
});

浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互:

  1. 浏览器发送预检请求,询问服务器是否允许
http
OPTIONS /api/user HTTP/1.1
Host: crossdomain.com
...
Origin: http://my.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: a, b, content-type

可以看出,这并非我们想要发出的真实请求,请求中不包含我们的请求头,也没有消息体。

这是一个预检请求,它的目的是询问服务器,是否允许后续的真实请求。

预检请求没有请求体,它包含了后续真实请求要做的事情

预检请求有以下特征:

  • 请求方法为OPTIONS
  • 没有请求体
  • 请求头中包含
    • Origin:请求的源,和简单请求的含义一致
    • Access-Control-Request-Method:后续的真实请求将使用的请求方法
    • Access-Control-Request-Headers:后续的真实请求会改动的请求头
  1. 服务器允许

服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式:

http
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
Access-Control-Allow-Methods: POST
Access-Control-Allow-Headers: a, b, content-type
Access-Control-Max-Age: 86400
...

对于预检请求,不需要响应任何的消息体,只需要在响应头中添加:

  • Access-Control-Allow-Origin:和简单请求一样,表示允许的源
  • Access-Control-Allow-Methods:表示允许的后续真实的请求方法
  • Access-Control-Allow-Headers:表示允许改动的请求头
  • Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了
  1. 浏览器发送真实请求

预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据

http
POST /api/user HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com

{"name": "tom", "age": 18 }
  1. 服务器响应真实请求
http
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...

添加用户成功

可以看出,当完成预检之后,后续的处理与简单请求相同。

整个交互过程如下:

image-20220520154428372

附带身份凭证的请求

默认情况下,ajax的跨域请求并不会附带Cookie,这样一来,某些需要权限的操作就无法进行。

不过可以通过简单的配置就可以实现附带Cookie。

js
// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

// fetch api
fetch(url, {
  credentials: 'include',
});

这样一来,该跨域的ajax请求就是一个附带身份凭证的请求

当一个请求需要附带 cookie 时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段

而服务器响应时,需要明确告知客户端:服务器允许这样的凭据

告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可

对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。

另外要特别注意的是:对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为*。这就是为什么不推荐使用*的原因

一个额外的补充

在跨域访问时,JS只能拿到一些最基本的响应头,如:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,则需要服务器设置本响应头。

Access-Control-Expose-Headers头让服务器把允许浏览器访问的头放入白名单,例如:

Access-Control-Expose-Headers: authorization, a, b

这样JS就能够访问指定的响应头了。

JSONP

在CORS出现之前,大家解决跨域的方法是使用JSONP。

JSONP的做法是,动态的创建script标签,并创建一个callback函数,将这个callback函数作为参数拼接到请求接口后面,然后将它设置为script标签的src属性的值,这样请求就可以到达服务器。服务器拿到请求后,会响应一段JS代码,这个JS代码就是调用客户端创建的callback函数,并把客户端需要的数据作为参数传递给callback函数。

JSONP的原理是,script标签的src属性不受同源策略的影响。同样不受影响的还有img标签、link标签。

js
var url = 'http://crossdomain.com/api/user';
var script = document.createElement('script');
function callback(user) {
    // user是服务器传递过来的数据
}
script.src = 'url?name=tom&age=10&cb=callback';
document.body.appendChild(script);

JSONP的缺点也很明显,它只能支持GET请求。