什么是跨域?什么情况会触发跨域,应该如何解决跨域?

什么是跨域?

跨域(Cross-Origin)是指在一个网页中,发起对不同源(域名、协议或端口不同)的资源请求。由于安全原因,浏览器默认会阻止这种跨域请求,这是因为同源策略(Same-Origin Policy)的限制。同源策略是浏览器的一种安全机制,用于防止不同来源的资源之间的恶意交互。

同源策略

同源策略要求:

  1. 协议相同(例如,都是HTTP或HTTPS)。
  2. 域名相同(例如,都是example.com)。
  3. 端口相同(例如,都是80端口或443端口)。

如果三个条件中有任何一个不满足,浏览器就会认为这是一个跨域请求,默认情况下会被阻止。

触发跨域的情况

跨域请求通常是由浏览器发起的,当网页尝试从一个不同的源(域名、协议或端口不同)请求资源时,就会触发跨域。以下是一些常见会触发跨域请求的情况:

  1. 不同域名

    // 当前网页在 example.com
    fetch('https://another-domain.com/api/data'); // 跨域请求
    
  2. 不同子域名

    // 当前网页在 sub.example.com
    fetch('https://api.example.com/data'); // 跨域请求
    
  3. 不同协议

    // 当前网页在 https://example.com
    fetch('http://example.com/api/data'); // http 与 https 不同
    
  4. 不同端口

    // 当前网页在 http://example.com:80
    fetch('http://example.com:8080/api/data'); // 端口 80 与 8080 不同
    

如何解决跨域?

为了在合法的情况下允许跨域请求,有多种解决方法:

1. 使用JSONP(JSON with Padding)

JSONP是一种传统的解决跨域请求的方法,通过动态插入<script>标签来实现跨域请求。它仅支持GET请求。

<script>
    function handleResponse(data) {
        console.log(data);
    }

    var script = document.createElement('script');
    script.src = 'https://example.com/data?callback=handleResponse';
    document.body.appendChild(script);
</script>

2. 使用CORS(Cross-Origin Resource Sharing)

CORS是W3C标准,是一种更现代和强大的解决跨域请求的方法。服务器通过设置HTTP头来允许跨域请求。

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type

在服务器端,可以通过编程来设置这些头。例如,在Node.js和Express中:

const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.header('Access-Control-Allow-Origin', '*');
    res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
    res.header('Access-Control-Allow-Headers', 'Content-Type');
    next();
});

app.get('/data', (req, res) => {
    res.json({ message: 'This is CORS-enabled for all origins!' });
});

app.listen(3000, () => {
    console.log('Server is running on port 3000');
});

3. 使用服务器代理

通过在同源服务器上设置一个代理服务器,由代理服务器去请求目标服务器,从而避免跨域问题。

在Node.js中,可以使用http-proxy-middleware:

const { createProxyMiddleware } = require('http-proxy-middleware');

app.use('/api', createProxyMiddleware({
    target: 'https://example.com',
    changeOrigin: true,
}));

4. 使用Iframe + PostMessage

通过嵌入iframe并使用postMessage在父窗口和子窗口之间进行通信。

<!-- Parent Page -->
<iframe id="myFrame" src="https://example.com"></iframe>
<script>
    var frame = document.getElementById('myFrame');
    window.addEventListener('message', function(event) {
        console.log('Message received:', event.data);
    });
    frame.contentWindow.postMessage('Hello from parent', 'https://example.com');
</script>

Spring中解决跨域

在Spring开发的服务端API中,默认情况下会遵循同源策略,不会自动允许跨域请求。为了允许跨域请求,需要显式地配置CORS。

1. 使用全局CORS配置

可以通过在配置类中使用@ConfigurationWebMvcConfigurer接口来设置全局的CORS配置。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 允许所有路径
                .allowedOrigins("*") // 允许所有来源
                .allowedMethods("GET", "POST", "PUT, DELETE, OPTIONS") // 允许的方法
                .allowedHeaders("*") // 允许的请求头
                .allowCredentials(true) // 允许携带凭证
                .maxAge(3600); // 预检请求的缓存时间
    }
}

2. 使用注解配置CORS

可以在控制器方法或类上使用@CrossOrigin注解来设置CORS配置。

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@CrossOrigin(origins = "http://example.com") // 允许来自 http://example.com 的请求
@RestController
public class MyController {

    @GetMapping("/api/data")
    public String getData() {
        return "Hello, World!";
    }
}

3. 使用过滤器配置CORS

可以通过自定义过滤器来配置CORS,这种方式可以提供更灵活的控制。

import org.springframework.stereotype.Component;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class SimpleCORSFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

总结

跨域请求是由浏览器的同源策略引起的,通过配置CORS,可以在合法的情况下允许跨域请求。在实际应用中,根据具体需求选择合适的配置方法是非常重要的。例如,如果需要全局的CORS配置,使用WebMvcConfigurer接口会更为简便;如果只需要对某些特定的控制器或方法进行配置,可以使用@CrossOrigin注解。通过这些方法,可以确保在多源环境下的数据请求安全、可靠。

posted on 2024-05-27 18:32  滚动的蛋  阅读(118)  评论(0编辑  收藏  举报

导航