跨域
跨域是浏览器行为,不是服务器行为。
1.什么是同源策略?
所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。
2.跨域处理的方法
1.jsonp跨域,2.nginx代理跨域,3.nodejs中间件代理跨域,4.跨域资源共享(CORS)5.WebSocket协议跨域
先说jsonp,json我们知道是一个数据格式,jsonp呢,它是一种数据调用的方式
一、1).什么是jsonp
为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。
JSONP的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。
<script type="text/javascript" src="index.json?callback=indexDemo"></script>
2)与ajax的区别
1、ajax和jsonp这两种技术在调用方式上“看起来”很像,目的也一样,都是请求一个url,然后把服务器返回的数据进行处理,因此jQuery和ext等框架都把jsonp作为ajax的一种形式进行了封装;
2、但ajax和jsonp其实本质上是不同的东西。ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加script标签来调用服务器提供的js脚本。
3、所以说,其实ajax与jsonp的区别不在于是否跨域,ajax通过服务端代理一样可以实现跨域,jsonp本身也不排斥同域的数据的获取。
4、还有就是,jsonp是一种方式或者说非强制性协议,如同ajax一样,它也不一定非要用json格式来传递数据,如果你愿意,字符串都行,只不过这样不利于用jsonp提供公开服务。
总而言之,jsonp不是ajax的一个特例,尽管jquery等把jsonp封装进了ajax,也不能改变这一点。
二、nginx反向代理跨域
什么是反向代理
反向代理隐藏了真实的服务器,当我们请求www.baidu.com时,就像拨打10086一样,背后有成千上万台服务器为我们服务,但是具体哪一台,我们不知道也不需要知道,,只需要知道反向代理服务器就好了,www.baidu.com就是我们的反向代理服务器,反向代理服务器会将我们的请求转发到真实的服务器那里去,nginx就是性能非常好的反向代理服务器,用来做负载均衡。如图:
nginx是一个web服务器,也是可以用作代理,负载均衡和http缓存,
反向代理模块proxy_pass,后面跟着一个 URL,用来将请求反向代理到 URL 参数指定的服务器上。
通过在配置文件中增加proxy_pass 你的服务器ip
server {
listen 80;
server_name localhost;
## 用户访问 localhost,则反向代理到https://www.baidu.com
location / {
root html;
index index.html index.htm;
proxy_pass https://www.baidu.com;
}
}
Nginx解决跨域问题通过Nginx反向代理将对真实服务器的请求转移到本机服务器来避免浏览器的"同源策略限制"。
三、Nodejs中间件代理跨域
利用 node.js 的中间件去处理跨域,类似于将跨域请求交给第三方,第三方去访问指定的网络,获取数据然后返回
koa-server-http-proxy
记得下载及引用服务 自身所在的服务端开启相应的设置 相对应的数据 还是要在想要跨域的路由中才能获取到
后端设置
const koaServerHttpProxy = require("koa-server-http-proxy"); // 服务器端接口转发 app.use(koaServerHttpProxy("/api",{ target:"http://localhost:4000", // 跨域的指定地址 pathRewrite:{'^/api':''}, // 限定 跨域的条件: 以 api 开头 changeOrigin:true // 开启服务 }));
前端设置 let xhr = new XMLHttpRequest(); xhr.open("post","/api/Serverpost",true); // 与后端的设置需要一致 api xhr.onload = function(){ console.log(xhr.responseText); } xhr.send();
四、跨域资源共享(CORS)
cors 方式跨域,主要的负担由后端来承担,看起来较为优雅。CORS是一个W3C标准,全称是"跨域资源共享"( Cross-origin resource sharing )。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了 AJAX 只能同源使用的限制。 实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨域通信。
跨域实现
准备两个后端服务器,均启动服务
前端ajax 申请 修改路由,指定访问资源地址 let xhr = new XMLHttpRequest(); xhr.open("post","http://localhost:4000/post",true); // 直接修改路由即可 xhr.onload = function(){ console.log(xhr.responseText); let res = xhr.getAllResponseHeaders(); console.log(res) } xhr.send();
后端服务器 允许 允许非同源进行访问 router.post("/post", async ctx => { console.log((ctx.request.body)) // 接收返回的数据 // 允许所有的端口访问 即允许跨域 // ctx.set("Access-Control-Allow-Origin","*"); // 1. 不安全 2. 不能设置允许携带凭证 // 允许指定的端口访问 ctx.set("Access-Control-Allow-Origin", "http://localhost:3000"); ctx.body = "端口号4000非同源"; // 测试数据 // 没有数据返回 post方式下 直接报错 })
简单请求
受到浏览器的同源策略影响,同源状态下,cookie等存储不受到限制
但是,跨域使用时则会受到影响。
请求方法是以下三种方法之一:
- HEAD
- GET
- POST
HTTP的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
前端页面准备
前端需要 获取 / 设置 信息,但需要后端来开启对应的权限
携带凭证 是指cookie为代表的存储方式
// 允许跨域请求携带凭证 (开启) xhr.withCredentials = true; // 指定跨域链接地址 xhr.open("post","http://localhost:4000/post",true); // 设置请求头 xhr.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xhr.setRequestHeader("Content-type","application/json");
后端服务器准备
以前端为主,前端需要什么就开启相对应的设置
// 1 允许指定的端口访问 必须开启的设置 ctx.set("Access-Control-Allow-Origin", "http://localhost:3000"); // 2 允许获取头部信息(响应头部) ctx.set("Access-Control-Expose-Headers", "Content-Type,Content-length,Date"); // 3 设置允许前端设置的请求方式(请求头部类型和数值) ctx.set("Access-Control-Allow-Headers", "Content-Type,Content-Length,test"); // 4 设置允许前端发送请求的方式 ctx.set("Access-Control-Allow-Methods", "GET,POST,DELETE,HEAD,OPTIONS"); // 5 允许携带凭证 ctx.set("Access-Control-Allow-Credentials", true); // 6 设置预检请求的缓存时间 两个位置都写 ctx.set("Access-Control-Max-Age", 36000 * 24);
非简单请求
非简单请求是那种对服务器有特殊要求的请求
比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。
在实际项目中我们的请求格式可能是 application/json 格式编码,或者使用自定义请求头都会触发 CORS 的预检请求。
后端服务器准备
开启预检请求,对应的服务
但是相对应的该有的服务,不能减少
// 处理预检请求 通用 所有的接口 router.options("/*", ctx => { // 1 允许所有的端口访问 允许跨域 ctx.set("Access-Control-Allow-Origin", "http://localhost:3000"); // 2 允许获取头部信息(响应头部) ctx.set("Access-Control-Expose-Headers", "Content-Type,Content-length,Date"); // 3 设置允许前端设置的请求方式(请求头部类型和数值) ctx.set("Access-Control-Allow-Headers", "Content-Type,Content-Length,test"); // 4 设置允许前端发送请求的方式 ctx.set("Access-Control-Allow-Methods", "GET,POST,DELETE,HEAD,OPTIONS"); // 5 允许携带凭证 cookie只是其中之一 ctx.set("Access-Control-Allow-Credentials", true); // 6 设置预检请求的缓存时间 两个位置都写 ctx.set("Access-Control-Max-Age", 36000 * 24); console.log("有预检请求"); ctx.body = "响应中..." })
五、webscoket协议跨域
WebSocket 的介绍
WebSocket 是什么
WebSocket 是一种网络通信协议。RFC6455 定义了它的通信标准。
WebSocket 是 HTML5 开始提供的一种在单个 TCP 连接上进行全双工通讯的协议。
为什么需要 WebSocket
了解计算机网络协议的人,应该都知道:HTTP 协议是一种无状态的、无连接的、单向的应用层协议。它采用了请求/响应模型。通信请求只能由客户端发起,服务端对请求做出应答处理。
这种通信模型有一个弊端:HTTP 协议无法实现服务器主动向客户端发起消息。
这种单向请求的特点,注定了如果服务器有连续的状态变化,客户端要获知就非常麻烦。大多数 Web 应用程序将通过频繁的异步JavaScript和XML(AJAX)请求实现长轮询。轮询的效率低,非常浪费资源(因为必须不停连接,或者 HTTP 连接始终打开)。
而WebSocket 连接允许客户端和服务器之间进行全双工通信,以便任一方都可以通过建立的连接将数据推送到另一端。WebSocket 只需要建立一次连接,就可以一直保持连接状态。这相比于轮询方式的不停建立连接显然效率要大大提高。
WebSocket 如何工作
Web浏览器和服务器都必须实现 WebSockets 协议来建立和维护连接。由于 WebSockets 连接长期存在,与典型的HTTP连接不同,对服务器有重要的影响。
基于多线程或多进程的服务器无法适用于 WebSockets,因为它旨在打开连接,尽可能快地处理请求,然后关闭连接。任何实际的 WebSockets 服务器端实现都需要一个异步服务器。
跨域原理
- 原理:利用webSocket的API,可以直接new一个socket实例,然后通过open方法内send要传输到后台的值,也可以利用message方法接收后台传来的数据。后台是通过new WebSocket.Server({port:3000})实例,利用message接收数据,利用send向客户端发送数据。具体看以下代码:
- 代码:
- 本地域打开socket.html
- WebSocket是高级api,不兼容,但是可以使用socket.io这个库,这个库做了兼容处理
如何保证websocket的通信会话是唯一的?
- 建立WebSocket链接的url上加上时间戳。
浙公网安备 33010602011771号