面试官:你是如何解决跨域的?

在近期的面试中,面试官针对我的项目,问到了 如何解决跨域? 没答好,我想通过这篇文章,巩固一下这方面的知识,分享一下我对于这个问题的理解,希望也能对大家有所帮助。

我的回答

跨域我们需要从浏览器聊起,我们知道浏览器有一个同源策略,协议号-域名-端口号都相同才能叫同源,它的目的是确保数据安全。如果不是同源,那么后端返回给浏览器的数据被浏览器拦截下来,这就是跨域。

解决跨域的方式有很多种,在项目中我是通过 Cors 解决的。Cors 应该是目前比较常用的方式之一,它的原理是通过在响应头中添加一些额外的字段,如 Access-Control-Allow-Origin 字段,添加允许跨域的源,类似于设置白名单之类的操作。

还有一些其他的解决办法:

  • Jsonp 主要是借助了 <script> 标签上的 src 属性不受同源策略的影响这一机制。
  • Node代理 是指用 Node 服务器代理客户端和目标服务器之间的网络请求。服务器与服务器之间没有同源策略,Node 代理服务器监听客户端请求,转发给目标服务器,再接收响应发给客户端。
  • Nginx代理 的原理跟 Cors 差不多,常用于项目上线。
  • document.domain
  • postMessage

后面这些我只是了解过,还没有仔细研究。

稍微官方一点的描述

什么是跨域

跨域是指在 Web 开发中,当一个网页的源(origin)与另一个网页的源不同时,就会发生跨域。源由协议、域名和端口号组成。如果两个 URL 的协议、域名和端口号中任何一个不同,就被认为是跨域。

跨域限制是由浏览器实施的安全策略,它防止一个网页的脚本通过在其他网页的上下文中执行来窃取敏感信息或执行恶意操作。浏览器会限制跨域请求,例如通过 XMLHttpRequest 或 Fetch API 发送的跨域 HTTP 请求通常会被拒绝,除非目标服务器明确允许这样的请求。

模拟跨域

我们用 Fetch 模拟跨域,发请求向后端拿数据。

<button id="btn">获取数据</button>
<script>
    let btn = document.getElementById('btn');
    btn.addEventListener('click',()=>{
        fetch('http://localhost:3000')
        .then(res=>res.json())
        .then(data=>{
            console.log(data);
        })
    })
</script>

 

点击获取数据,控制台会报错,提示跨域。

Cors

跨源资源共享(CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他源(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

实现

在后端响应头添加access-control-allow-origin字段提示允许这些源跨域。

 

const http = require('http');

const server = http.createServer((req, res) => {
    res.writeHead(200,{
        // 'access-control-allow-origin':'*'//允许所有源
        'access-control-allow-origin':'http://127.0.0.1:5501'//自己的前端
    })
    let data ={
        msg:'Hello world'
    }
    res.end(JSON.stringify(data));
});

server.listen(3000,()=>{
    console.log('Server is running on port 3000');
});

然后启动后端,再尝试发请求:

就能成功拿到数据。

Jsonp

JSONP(JSON with Padding)是一种解决跨域请求的方法,通常用于在浏览器中通过 <script> 标签获取跨域数据。JSONP的基本原理是利用了 <script> 标签的跨域特性,通过动态创建 <script> 标签来请求远程服务器的资源,从而绕过浏览器的同源策略。

实现

 

<button id="btn">获取数据</button>
<!-- <script src="http://localhost:3000?cb=callback"></script> -->
<script>
    function jsonp(url,cb){
        return new Promise(function(resolve, reject){
            const script = document.createElement("script");
            script.src = `${url}?cb=${cb}`;//http://localhost:3000?cb=callback
            document.body.appendChild(script);
            window[cb] = function(data){
                resolve(data);
            }
        })
    }
    let btn = document.getElementById('btn');
    btn.addEventListener('click',()=>{
        jsonp('http://localhost:3000','callback')
        .then(res=>{
            console.log('后端响应的数据:',res);
        })
    })
</script>

前端创建一个jsonp函数,当用户点击按钮时,就会创建一个 <script> 标签,并将传入的 URL 和回调函数名称拼接在一起,作为其 src 属性。浏览器就会立即向指定 URL 发请求,拿到的数据会被当做参数resolve出来,给then使用。

 

const Koa = require('koa');
const app = new Koa();

const main = (ctx)=>{
    const cb = ctx.query.cb
    const data = '给前端的数据'
    const str = `${cb}('${data}')`
    ctx.body = str
}
app.use(main)
app.listen(3000,()=>{
    console.log('server is running on port 3000');
});

后端根据前端发送请求,返回一个函数的调用,该函数是前端指定的回调函数,将数据作为参数传递给前端。

这样下来,前端就能成功拿到数据:

Jsonp 这种方式解决跨域的缺点是:

  • 需要后端配合
  • 只能发 GET 请求

Node代理

Node 代理是指使用 Node 编写的服务器应用程序,用于代理客户端和目标服务器之间的网络请求。通过 Node 代理,可以在服务器端拦截客户端发出的请求,并将这些请求转发到目标服务器,然后将目标服务器的响应返回给客户端。

实现

因为 Vite 是用 Node 写的,官方提供了一个代理的功能(详见Vite 官方中文文档 | server-proxy)

只需在 vite.config.js 文件中配置开发服务器的自定义代理规则:

 

//vite.config.js
import { defineConfig } from 'vite'
import vue from '@vitejs/plugin-vue'

// https://vitejs.dev/config/
export default defineConfig({
  plugins: [vue()],
  server: {
    proxy:{
      '/api':{
        target: 'http://localhost:3000',
        changeOrigin: true,
        rewrite: path => path.replace(/^\/api/, '')
      }
    }
  },
})

这里我们将发给'/api'的请求转发到 target 路径下,即'http://localhost:3000',vite 帮我们启动了一个 node 服务,且帮我们朝 target 路径发起请求,因为后端没有同源策略,所以,vite 中的 node 服务能直接请求到数据,再提供给前端使用。

 

<!-- app.vue -->
<script setup>
import { onMounted } from 'vue';
import axios from 'axios';

onMounted(()=>{
  axios.get('/api').then((res)=>{
    console.log(res)
  })
})
</script>

这里我们直接向'/api'路径发请求。

 

//app.js
const http = require('http');
const server = http.createServer((req, res) => {
    let data ={
        msg:'Hello node-proxy'
    }
    res.end(JSON.stringify(data)); //向前端返回数据
});
server.listen(3000,()=>{
    console.log('Server is running on port 3000');
});

成功解决跨域,拿到数据!

 前端面试题库 (面试必备)            推荐:★★★★★

地址:前端面试题库

Nginx代理

Nginx代理是指使用Nginx作为反向代理服务器,接收客户端发来的请求,然后将这些请求转发到其他服务器上进行处理,并将处理结果返回给客户端。Nginx是一种高性能的Web服务器和反向代理服务器,因其性能优异、配置简单而被广泛应用于互联网领域。

实现

编辑 Nginx 的配置文件(nginx.conf)。

 

server {
    listen       2222;
    server_name  localhost;
    
    location / {
        root   html;
        index  index.html index.htm;
    }

    location /api {
        proxy_pass  http://127.0.0.1:3000;
        add_header  Access-Control-Allow-Origin *;
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

将 localhost:2222/api 路径下的请求转发到http://127.0.0.1:3000来代理,并且添加响应头 Access-Control-Allow-Origin *,设置白名单,允许跨域请求,这里类似 Cors 。

 

const http = require('http');
const server = http.createServer((req, res) => {
    let data ={
        msg:'Hello nginx-proxy'
    }
    res.end(JSON.stringify(data));
});
server.listen(3000,()=>{
    console.log('Server is running on port 3000');
});

后端提供数据

 

<button id="btn">获取数据</button>
<script>
    let btn = document.getElementById('btn');
    btn.addEventListener('click',()=>{
        fetch('http://localhost:2222/api')
        .then(res=>res.json())
        .then(data=>{
            console.log(data);
        })
    })
</script>

前端向 http://localhost:2222/api 发请求,将被 Nginx 反向代理到 http://127.0.0.1:3000

所有工作准备完毕,点击按钮,拿到数据,成功解决跨域

window.postMessage

window.postMessage  方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为 https),端口号(443 为 https 的默认值),以及主机 (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage  方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。

 

<h2>父级页面</h2>
<iframe src="http://127.0.0.1:5501/postMessage/child.html" id="iframe" width="100px" height="100px"></iframe>
<script>
    let iframe = document.getElementById('iframe');
    iframe.onload = function () {
        let data = {
            msg:'父页面的数据'
        }
        iframe.contentWindow.postMessage(JSON.stringify(data),'http://127.0.0.1:5501');
    }
    //监听子页面传过来的数据
    window.addEventListener('message',(e)=>{
        console.log(e.data);
    })
</script>

在父级页面中嵌入了一个 <iframe> 元素,当它加载完成,使用 contentWindow.postMessage() 方法,向 iframe 发送了一个消息,目标地址为 http://127.0.0.1:5501。并且监听有没有消息传回来。

在子页面监听事件,当从任何来源收到消息时,会处理这个事件,打印数据,并一秒钟后会返回给父窗口一个消息。

当 iframe 加载完毕,拿到父页面的数据,一秒后回应父页面,父页面成功接收。

document.domain

通过设置 document.domain 属性,可以在 iframe 中实现跨域访问。当父级页面和子级页面的子域不相同时,浏览器会因为同源策略而阻止它们之间的通信。但是,如果两者的基础域名相同,我们可以通过设置 document.domain 将它们设置为相同的基础域名,从而绕过同源策略的限制。


在子级页面访问父级页面中设置的变量 msg,这在非同源情况下是不允许的。但是由于设置了相同的 document.domain,浏览器会认为这两个页面位于相同的源(即 '127.0.0.1'),从而允许它们通信。

但是

document.domain 破坏了同源策略所提供的安全保护。它使浏览器中的源模型复杂化,导致互操作性问题和安全漏洞。现在已被弃用。

还是推荐使用window.postMessage解决跨域,比较安全。

最后

以上就是一些我自己收集解决跨域的手段,总结不易,如果描述不当欢迎指出。希望能帮助到大家,如果这篇文章对您有帮助,希望能够点赞,收藏,评论!一键三连,这次一定哦~

前端面试题库 (面试必备)            推荐:★★★★★

地址:前端面试题库

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/499199.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

javaWeb项目-火车票订票信息系统功能介绍

项目关键技术 开发工具&#xff1a;IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7 框架&#xff1a;ssm、Springboot 前端&#xff1a;Vue、ElementUI 关键技术&#xff1a;springboot、SSM、vue、MYSQL、MAVEN 数据库工具&#xff1a;Navicat、SQLyog 1、Spring Boot框架 …

IP/TCP--解决为什么电脑连上了有线网就不能再连WIFI【转载】

文章目录 第一种情况&#xff1a;WIFI与有线网在同一网段下1、查看路由信息2、调整跃点数 第二种情况&#xff1a;WIFI与有线网不在同一网段下跃点数概念路由器设置入口 【注意适用情型&#xff1a;需要同时用到内网&#xff08;不能上公网的内部网络&#xff09;和互联网。】 …

Spring Cloud+Spring Alibaba笔记

Spring CloudSpring Alibaba 文章目录 Spring CloudSpring AlibabaNacos服务发现配置中心 OpenFeign超时机制开启httpclient5重试机制开启日志 SeataSentinel流量控制熔断降级热点控制规则持久化集成 OpenFeign集成 Gateway MicrometerZipKinGateway路由断言过滤器 Nacos 服务…

什么是广告可见性测量 如何测量广告可见性

广告可见性测量 & 如何测量广告可见性 --- 一起来来认识MOAT 现在是2024年&#xff0c;大家或许还记得大约8年前广告可见性&#xff08;Ad viewability&#xff09;成为数字媒体世界的一种货币以来&#xff0c;出版商一直处于不利地位。当广告商用不同的工具和技术武装自…

在微信上处理小程序用户反馈具体的方法

想必大家在开发小程序的时候&#xff0c;一定遇到这种情况&#xff1a; 为了用户有更好的体验&#xff0c;我们会定期登陆微信小程序来查看用户反馈并对用户的问题进行回复和处理&#xff0c;但是这种方法的缺点就是最多间隔48小时要进行登陆一次以及回复用户不及时。 这样的话…

2月运动鞋行业线上电商数据分析:国产品牌高歌猛进,占据热榜90%

随着天气回暖&#xff0c;踏青出行的人越来越多&#xff0c;运动鞋市场呈现出繁荣状态&#xff0c;尤其是国产品牌。 根据鲸参谋数据显示&#xff0c;2024年2月在京东平台的运动鞋销量表现强劲&#xff0c;累计约233万件&#xff0c;同比上个月涨幅了58%&#xff1b;销售额累计…

泛型的通配符及擦除机制详解

目录 一、通配符解决什么问题 二、通配符上界 三、通配符下界 ​编辑 四、泛型类的擦除机制 引言&#xff1a; 在这篇文章中&#xff0c;我主要介绍前一篇泛型没介绍完整的泛型通配符和泛型的擦除机制Java中泛型的详细介绍 ? 用于在泛型的使用&#xff0c;即为通配符 一、通…

Qt+OpenGL入门教程(二)——OpenGL渲染管线

渲染管线是图形学不可或缺的&#xff0c;在学习它之前&#xff0c;我们先了解一下什么是管线&#xff1f; 管线/流水线 当我们谈到管线时&#xff0c;我们指的是一个由多个阶段组成的过程&#xff0c;每个阶段都完成任务的一部分。在现实世界中&#xff0c;流水线的概念在许多…

小白了解Pinia第2集 · 三大核心状态Getters、Actions以及Plugins 插件

三大核心状态 state 第1集有详细讲解&#xff1a;https://blog.csdn.net/qq_51463650/article/details/137137080?spm1001.2014.3001.5501 getters Getter 完全等同于 Store 状态的 计算值。 它们可以用 defineStore() 中的 getters 属性定义。 他们接收“状态”作为第一个…

C++从入门到精通——缺省参数

缺省参数 前言一、缺省参数概念二、缺省参数分类位置参数的缺省参数全缺省参数半缺省参数 关键字参数的缺省参数函数指针的缺省参数lambda表达式 三、缺省参数的具体代码展示main.cpp 前言 缺省参数是在函数定义时指定的默认值&#xff0c;当调用函数时未提供该参数的值时&…

统信 UOS V20 一键安装 Oracle 12CR2(220118)单机版

Oracle 一键安装脚本&#xff0c;演示 统信 UOS V20 一键安装 Oracle 12CR2&#xff08;220118&#xff09;单机版过程&#xff08;全程无需人工干预&#xff09;&#xff1a;&#xff08;脚本包括 ORALCE PSU/OJVM 等补丁自动安装&#xff09; ⭐️ 脚本下载地址&#xff1a;…

云主机8核16G配置租用优惠价格1198元1年、4688元三年

京东云8核16G租用优惠价格1198元1年、4688元三年&#xff0c;配置为8C16G-270G SSD系统盘-5M带宽-500G月流量&#xff0c;华北-北京地域。京东云8核16G服务器活动页面 atengyun.com/go/jd 京东云8核16G租用优惠价格 京东云&#xff1a;轻量云主机CPU内存&#xff1a;8C16G公网带…

AIGC重塑金融 | 大模型在金融行业的应用场景和落地路径

作者&#xff1a;林建明 来源&#xff1a;IT阅读排行榜 本文摘编自《AIGC重塑金融&#xff1a;AI大模型驱动的金融变革与实践》&#xff0c;机械工业出版社出版 目录 01 大模型在金融领域的 5 个典型应用场景 02 大模型在金融领域应用所面临的风险及其防范 03 AIGC 技术的科…

职场沟通教训 程序汪改了一行代码,导致测试和开发大战

本文章有视频的&#xff0c;请到B站 我是程序汪 观看 程序汪改了一行代码&#xff0c;导致测试和开发大战&#xff0c;职场沟通教训 程序汪改了一行代码&#xff0c;导致测试和开发大战 鸡汤文 每个人都会在沟通上出问题 工作上沟通出问题可能让你郁闷一天、丢了客户、损失金…

解决Nginx请求转发将POST变为GET的问题

先说问题 我配置了Nginx代理&#xff0c;目的是将请求转发到指定的后端&#xff0c;对于普通的JSON数据&#xff0c;没有什么问题。 但是有文件上传的就不一样了&#xff0c;我需要指定到第3方的地址。然而常规的配置完成后,Nginx实际的转发动作改变了我的请求方式 location …

鸿蒙开发人才紧缺!这份《HarmonyOS教学视频》帮你更快上手鸿蒙

去年9月&#xff0c;华为宣布鸿蒙原生应用全面启动&#xff0c;基于开源鸿蒙开发的 HarmonyOS NEXT 鸿蒙星河版将在今年秋天正式和消费者见面。该版本系统底座将由华为全线自研&#xff0c;去掉传统安卓 AOSP 代码。 这意味着&#xff0c;鸿蒙星河版将不再兼容安卓应用&#xf…

系统分析师-参考模型

前言 网络术语中的参考模型指的是OSI参考模型&#xff0c;由ISO&#xff08;国际标准化组织&#xff09;制定的一套普遍适用的规范集合&#xff0c;以使得全球范围的计算机平台可进行开放式通信。 ISO创建了一个有助于开发和理解计算机的通信模型&#xff0c;即开放系统互联OS…

SQL复习专题

请结合B站-技术蛋老师 视频学习 核心语法 一、增&#xff1a;数据库/表格 create create database 数据库名&#xff1b;#创建表&#xff08;列名类型&#xff09; mysql> create table eggs_record(-> id int,-> egg_name varchar(10),-> sold date-> ); 这…

基于单片机控制的智能轿车停车场设计

**单片机设计介绍&#xff0c;基于单片机控制的智能轿车停车场设计 文章目录 一 概要二、功能设计设计思路 三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于单片机控制的智能轿车停车场设计是一个集成了现代电子技术、自动化技术、计算机技术的综合性项目。该设计旨…

com.alibaba.boot.nacos.config.binder.NacosBootConfigurationPropertiesBinder解决记录

一直正常的服务突然启动失败了&#xff0c;控制台报错 查询后发现是spring-boot-starter版本2.4和nacos-config 0.2.8版本冲突了 于是看了下nacos-config版本&#xff0c;发现有两个如下 但是原来启动正常&#xff0c;看了下老版本代码发现nacos-config-springboot-autoconfig…