同源策略?
同源策略/SOP(Same origin policy)是一种约定,属于浏览器的一个安全功能。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。
基于这个策略,有以下几种限制:
- cookie:js不能读取其它域下的cookie,否则你的登录信息,安全信息就泄露了;
- Storage和IndexDB: 道理同cookie;
- DOM 和 JS 对象;
- AJAX请求:不能发送另一个域下的Ajax请求;
什么是跨域
如果违反了同源策略,则就会产生跨域。哪些情况才算是跨域呢?
- 页面域名不同: http://a.com 和 http://b.com 不同源
- 父级域名相同,子域名不同: http://a.c.com 和 http://b.c.com 不同源
- 端口不同:http://a.com:8888 和 http://a.com:8000 不同源
- 协议不同: http://a.com 和 https://a.com 不同源
解决跨域的方式
jsonp跨域
jsonp跨域的原理很简单,借鉴了html中script脚本可以来自不同域的原理。想一想是不是script中的src属性值可以设置为来自第三方的js。
但是这也限制了jsonp只能做GET请求,同时需要后端做配合。
举例说明:
有一个跨域的请求: http://c.com/getInfo?id=xxx。因为同源策略的限制,我们通过Ajax无法操作。那么使用jsonp,该如何绕过跨域的限制呢?直接看代码:
<script src="http://c.com/getInfo?id=xxx&cb=showInfo">;
这段代码中相对于我们刚才列出接口多了个参数cb=showInfo。这个参数值代表数据请求成功后回调方法,这个方法用于处理接口返回的数据。而在服务端,在返回数据时,要做一些处理。具体方式就是返回如何格式的数据:
showInfo(data)。
data就是通过接口想要获得数据。
document.domain
如果两个源的父级域名一致,例如两个站点分别为http://a.c.com 和 http://b.c.com。 则可以通过设置window.domain = ‘c.com’这样一来,他们的域也就相同了,可以互相操作。但是这种方式的缺点就是只适用于根域名一致的情况。也就是说,我们不可以将http://a.c.com的 window.domain设置为 d.com 或者 e.com之类的。只能设置为它根域名下的某个域。
document.domain + iframe
虽然通过document.domain的方式,我们只能在根域名一致的情况下进行跨域。但是如果配合iframe,则可以扩展我们的能力范围。例如:想要使a.com页面不跳转也能得到b.com里的数据。在a.com页面中使用一个隐藏的iframe来充当一个中间人角色,由iframe去获取b.com的数据,然后a.com再去得到iframe获取到的数据。
cors跨域解决方案
CORS:一种跨域访问的机制,可以让AJAX实现跨域访问;CORS允许一个域上的网络应用向另一个域提交跨域AJAX请求。 服务器设置Access-Control-Allow-Origin HTTP响应头之后,浏览器将会允许跨域请求. 就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。
更多信息可以参考一种新的跨域解决方案
Web sockets来跨域
同源策略对websocket请求不适用。
其原理:在JS创建了web socket之后,会有一个HTTP请求发送到浏览器以发起连接。取得服务器响应后,建立的连接会使用HTTP升级从HTTP协议交换为web sockt协议。
nginx转发
通过代理设置,进行转发,一样可以达到跨域的目的。