一、什麼是跨域資源共享問題?
Web應用程序通常會從不同的域(域名、端口或協議)請求數據。當瀏覽器在某個域上運行腳本時,它被限制只能腳本來源的域以及和該域共享同一來源的域(同源策略)。所以在跨域請求時就會出現跨域資源共享問題。
二、引發跨域的幾種場景及其解決方案
1、Ajax請求跨域
const xhr = new XMLHttpRequest();
const url = 'http://otherdomain.com/data';
xhr.open('GET', url);
xhr.withCredentials = true; // 設置xhr對象可以發送http cookie
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send();
解決方案:
服務器設置響應頭 Access-Control-Allow-Origin 添加來源源文件的IP地址或者域名。例如JavaScript代碼的執行環境處於 http://www.example.com/index.html,那麼Access-Control-Allow-Origin響應頭可以設置為 http://www.example.com,以允許該頁面所有的Ajax請求都能夠通過跨域限制。但是,如果Access-Control-Allow-Origin的值為*,則表示該資源誰都可以訪問。
res.setHeader('Access-Control-Allow-Origin', 'http://www.example.com');
2、圖片標籤、腳本標籤等跨域
<img src='http://www.imgdomain.com/image.jpg'/>
<script src='http://www.jsdomain.com/script.js'>解決方案:
服務器設置CORS響應頭 Access-Control-Allow-Origin 即可。
res.setHeader('Access-Control-Allow-Origin', '*');
3、Web字體跨域
@font-face {
font-family: 'MyFont';
src: url('http://www.fontdomain.com/fonts/MyFont.woff');
}
解決方案:
服務器設置CORS響應頭 Access-Control-Allow-Origin 即可。
res.setHeader('Access-Control-Allow-Origin', '*');
4、跨站腳本攻擊(XSS)
<script>
const username = 'Bob';
document.cookie = `username=${username}`;
</script>
解決方案:
在服務端對任何輸入輸出進行過濾以及防範XSS攻擊等安全漏洞。
三、使用代理服務器的解決方案
以上方案解決跨域問題涉及到後端修改代碼,無法在開發階段解決。因此,一個通用的解決方案是使用代理服務器將所有請求轉發到同一域名下,然後在該域名下進行請求。這樣,對於瀏覽器而言就不會涉及到跨域問題了。比如使用webpack-dev-server的proxy配置,可以將所有請求轉發到本地的/api路徑下。
devServer: {
proxy: {
'/api': {
target: 'http://localhost:3000',
pathRewrite: {'^/api': ''}
}
}
}
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/303605.html
微信掃一掃 
支付寶掃一掃 