跨域问题
跨域(Cross-Origin)指的是在Web开发中,浏览器的同源策略(Same-Origin Policy)下,一个网页的JavaScript代码试图访问不同源(不同域、不同协议或不同端口)的资源时所发生的情况。浏览器的同源策略:
- 当一个网页上的JavaScript代码尝试访问不同源的资源时,浏览器会在请求头中添加一个Origin字段,指示请求的源。然后服务器就可以对跨域的请求做出对应的反应。
- 处理Cookie:如果发送给服务器的请求是跨域的,那么浏览器默认不允许此请求携带cookie,如果需要在跨域请求中发送Cookie,服务器需要设置Access-Control-Allow-Credentials头为true,并且浏览器发起请求时需要设置withCredentials选项为true。
跨域主要是为了防止恶意网站获取敏感信息。
CORS解决跨域问题的步骤: 简单来说,就是浏览器会告诉服务器这个请求是跨域的,如果你允许的话,就在响应的头部加上对应的字段来告诉我。
- 浏览器发起跨域请求:当一个网页上的JavaScript代码尝试访问不同源的资源时,浏览器会在请求头中添加一个Origin字段,指示请求的源。
- 目标服务器响应CORS头:目标服务器接收到请求后,会检查请求中的Origin字段,并决定是否允许该请求。如果目标服务器允许跨域访问,它会在HTTP响应头中添加一些CORS相关的头信息,如Access-Control-Allow-Origin,来指定允许的源。
- 浏览器检查响应头:浏览器会检查目标服务器的响应头,特别是Access-Control-Allow-Origin头。如果这个头中包含了请求源的信息(或是*,表示允许所有源),浏览器会允许JavaScript访问响应的数据。如果没有得到授权,浏览器将阻止JavaScript访问响应数据,从而实现了跨域访问的控制。
- 处理复杂请求:对于一些特殊类型的跨域请求,如带有自定义头信息、使用HTTP方法为PUT或DELETE等,浏览器会在发送实际请求之前进行一个预检请求(Preflight)来确认目标服务器是否接受这种类型的请求。预检请求包含一个OPTIONS方法,目标服务器会响应,并指定是否允许实际请求。
- 处理凭证(Credentials):如果请求需要发送凭证,如Cookie或HTTP身份验证信息,目标服务器还需要设置Access-Control-Allow-Credentials头为true,并且浏览器在发起请求时需要设置withCredentials选项为true。
代理服务器解决跨域:同一域内设置一个中间服务器(代理服务器),让客户端的请求先发送到代理服务器,然后由代理服务器再将请求发送到目标服务器,最后将目标服务器的响应返回给客户端。这样做的好处是,客户端与代理服务器在同一域内,不受同源策略的限制,而代理服务器与目标服务器之间也不受跨域限制,因此可以顺利完成跨域请求。
