一、什么是 AJAX 跨域问题
同源策略规定,AJAX 请求(XMLHttpRequest
)只能发给同源的网址,否则就会出错。所谓的同源策略是指 3 个相同:协议相同、域名相同、端口相同。
比如 http://www.example.com/index.html
这个网址,协议是http
,域名是 www.example.com
,端口是默认的 80
。如果你在这个网站上使用 AJAX 发送 http://www.example1.com/index.html
请求,就会出错,因为域名不同。
AJAX 跨域的根本原因是浏览器不允许这么做(不是服务端的问题),浏览器限制 AJAX 跨域请求的目的是为了保证用户信息的安全,防止数据被恶意获取。
二、JSONP 解决跨域问题
2.1 JSONP 如何解决跨域问题
- AJAX 请求非同源资源会发生跨域问题,但是有的 HTML 标签支持非同源请求,举例来说:
<img src="">
与<script src="">
标签 - 使用 JSONP 解决跨域问题,有一种方法,前端以
<script>
同样的方式发送请求,把返回的 JSON 数据封装,然后以 JS 脚本形式返回 - JSONP 允许客户端传递一个
callback
参数请求跨域服务端,服务端返回数据时用callback
参数名作为返回的函数名来包裹住返回的 JSON 数据
2.2 JSONP 示例
这里我们以 MOOC 网为例,当访问 https://www.imooc.com/
时,会发送一个 https://www.imooc.com/index/getstarlist
AJAX 请求,下面是访问后返回的 JSON 数据。
我们以 JONP 的形式(https://www.imooc.com/index/getstarlist?callback=test
)访问。
2.3 JSONP 的弊端
- 需要在后端改动代码,比如在 Spring 后台代码中需要配置一个
AbstractJsonpResponseBodyAdvice
切面,不过现在这个类已经过时了,也就是说现在不推荐使用 JSONP 来解决跨域问题 - JSONP 默认只支持
GET
方式的请求 - 发送的不是
XMLHttpRequest
请求(script
),所以不支持异步事件等,不过这也是为什么 JSONP 可以解决跨域问题的原因
三、CORS 解决跨域问题
CORS 跨资源共享(Cross-origin resource sharing)是一种机制,它通过添加 HTTP 头信息,解决 AJAX 跨域资源访问问题。
CORS 请求可以分为两类:简单请求与非简单请求,主要区别是非简单请求在进行访问之前,会发送一个预检请求。“预检”请求首先通过 OPTIONS 方法向另一域上的资源发送HTTP请求,以便确定实际请求是否安全发送。为了防止每次非简单请求之前都发送预检请求,可以在服务端设置预检请求的缓存的时间。
3.1 简单请求
- 请求方法为
HEAD
、GET
、POST
中的 1 种 - 请求的
header
中没有自定义的请求头 -
Content-Type
为以下几种:application/x-www-form-urlencoded
、multipart/form-data
、text/plain
3.2 非简单请求
-
header
中包含自定义请求头 的 AJAX 请求 -
PUT
、DELETE
形式的 AJAX 请求 -
Content-Type
字段的类型是application/json
等
我自己在本地写了一个测试跨域的 demo(Spring Boot),通过端口 8082 发出请求(携带自定义的请求头)访问端口为 8081 的服务。下面是 Chrome 控制台有关 HTTP 的控制信息。
通过上面的图可以看出 CORS 解决跨域问题的关键所在,添加必要的请求头与响应头信息,下面是有关的头信息介绍。
3.3 HTTP 响应首部字段
-
Access-Control-Allow-Origin
:指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。 -
Access-Control-Allow-Methods
:指明了实际请求所允许使用的 HTTP 方法 -
Access-Control-Expose-Headers
:在跨域访问时,XMLHttpRequest
对象的getResponseHeader()
方法只能拿到一些最基本的响应头,如果要携带自定义的请求头,需要在该首部中进行允许的请求头放入白名单 -
Access-Control-Max-Age
:非简单请求预检命令的最大缓存时间,在缓存时间内,对于非简单请求,不会再发送预检请求 -
Access-Control-Allow-Credentials
:是否允许携带身份凭证(Cookie)的请求
3.4 HTTP 请求首部字段
-
Origin
:表明预检请求或实际请求的源 URL -
Access-Control-Request-Method
:用于预检请求。其作用是,将实际请求所使用的 HTTP 方法告诉服务器 -
Access-Control-Request-Headers
:用于预检请求。其作用是,将实际请求所携带的首部字段告诉服务器
四、other
能解决跨域的方式还有很多,比如禁止浏览器的跨域、Nginx 解决跨域等。这里只讲解了两种常见的跨域方式,因为 JSONP 存在一些弊端,因此推荐使用 CORS 等方式来解决跨域问题。
跨域问题,涉及到很多有关 HTTP 协议 的知识,希望大家重视计算机基础知识。上面那个测试的 demo 上传到了 GitHub,demo 是用 Spring Boot 实现的,有需要的可以点我前往~
参考资料
跨域资源共享 CORS 详解l
【原创】说说JSON和JSONP,也许你会豁然开朗,含jQuery用例
Cross-Origin Resource Sharing (CORS)
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。