什么是JS跨域、以及CORS解决方案

àì夳堔傛蜴生んèń 2023-07-08 09:15 8阅读 0赞

## 一、什么是JS跨域 ##

**1、跨域：**在了解跨域之前，首先要知道什么是同源策略（same-origin policy）。简单来讲同源策略就是浏览器为了保证用户信息的安全，防止恶意的网站窃取数据，禁止不同域之间的JS进行交互。对于浏览器而言只要域名、协议、端口其中一个不同就会引发同源策略，从而限制他们之间如下的交互行为：

**2、JS跨域:**指通过js在不同的域之间进行数据传输或通信，比如用ajax向一个**不同的域**请求数据，或者通过js获取页面中不同域的框架中(iframe)的数据。

那什么是**不同的域**呢？只要**协议**、**域名**、**端口**有任何一个不同，都被当作是**不同的域。**

**举例：**

<table style="width:500px;"> 
 <tbody> 
 <tr> 
 <td>域名</td> 
 <td colspan="1">说明</td> 
 <td>是否允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a></td> 
 <td colspan="1">协议不同</td> 
 <td>不允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">https://www.example.com</a></td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>:8080</td> 
 <td colspan="1">端口不同</td> 
 <td>不允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>:3306</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a></td> 
 <td colspan="1">域名不同</td> 
 <td>不允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.baidu.com</a></td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>/a.js</td> 
 <td colspan="1">相同域下同一文件夹</td> 
 <td>允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>/b.js</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>/a.js</td> 
 <td colspan="1">相同域下不同文件夹</td> 
 <td>允许访问</td> 
 </tr> 
 <tr> 
 <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a>/js/a.js</td> 
 </tr> 
 </tbody> 
</table>

**注意**：

1、ip相同，域名不同，也是跨域。

2、如果是协议和端口造成的跨域问题“前台”是无能为力的。

**3、为什么要限制跨域访问：安全问题。**

如果一个网页可以随意地访问另外一个网站的资源，那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题：

1.用户访问www.mybank.com，登陆并进行网银操作，这时cookie啥的都生成并存放在浏览器；

2.用户突然想起件事，并迷迷糊糊的访问了一个邪恶的网站www.xiee.com；

3.这时该网站就可以在它的页面中，拿到银行的cookie，比如用户名，登陆token等，然后发起对www.mybank.com的操作；

4.如果这时浏览器不予限制，并且银行也没有做响应的安全处理的话，那么用户的信息有可能就这么泄露了。

**4、为什么要跨域**

既然有安全问题，那为什么又要跨域呢？ 有时公司内部有多个不同的子域，比如一个是cart.jd.com ,而应用是放在app.jd.com , 这时想从 app.jd.com去访问 cart.jd.com 的资源就属于跨域。

## 二、解决方案 ##

**使用跨域资源共享（CORS）来跨域**

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

只需要在后台中加上响应头来允许域请求！在被请求的Response header中加入以下设置，就可以实现跨域访问了！

//指定允许其他域名访问
    
    'Access-Control-Allow-Origin:*'//或指定域
    
    //响应类型
    
    'Access-Control-Allow-Methods:GET,POST'
    
    //响应头设置
    
    'Access-Control-Allow-Headers:x-requested-with,content-type'

举例：

@RequestMapping("/add")
        public Result add(Long id, Integer num) {
            /*CORS*/
            response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105");
            response.setHeader("Access-Control-Allow-Credentials", "true");
            
            /* 你的逻辑代码*/
    }

Spring Framework 4.2 GA为CORS提供了第一类支持，使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持@CrossOrigin。

@CrossOrigin()注解来替代上面的两行话 参考@CrossOrigin()详解

@RequestMapping("/addGoodsToCartList")
        @CrossOrigin(origins = "http://localhost:9105", allowCredentials = "true")//默认是ture
        public Result addGoodsToCartList(Long itemId, Integer num) {
            /*CORS*/
           /* response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105");
            response.setHeader("Access-Control-Allow-Credentials", "true");*/
    
           /*逻辑代码*/
    }

**Access-Control-Allow-Origin**

Access-Control-Allow-Origin是**[HTML5][]**中定义的一种解决资源跨域的策略。

他是通过服务器端返回带有Access-Control-Allow-Origin标识的Response header，用来解决资源的跨域权限问题。

使用方法:在response添加 Access-Control-Allow-Origin，例如

<table style="width:568px;"> 
 <tbody> 
 <tr> 
 <td style="width:426.1pt;"> Access-Control-Allow-Origin:www.google.com </td> 
 </tr> 
 </tbody> 
</table>

也可以设置为 \* 表示该资源谁都可以用

前端JS代码

<table style="width:568px;"> 
 <tbody> 
 <tr> 
 <td style="vertical-align:top;width:426.1pt;"> //添加商品到购物车 $scope.addToCart=function(){ &nbsp;&nbsp;&nbsp; $http.get('http://localhost:9107/cart/addGoodsToCartList.do?itemId=' &nbsp;&nbsp;&nbsp; + $scope.sku.id +'&amp;num='+$scope.num,{'withCredentials':true}).success( &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; function(response){ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; .......&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; );&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; } </td> 
 </tr> 
 </tbody> 
</table>

调用测试，可以实现跨域了。

CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器，一方面要服务器同意，指定Access-Control-Allow-Credentials字段。另一方面，开发者必须在AJAX请求中打开withCredentials属性。否则，即使服务器同意发送Cookie，浏览器也不会发送。或者，服务器要求设置Cookie，浏览器也不会处理。

文主要介绍CORS解决方案

其他解决方案请参考 [js处理的8种跨域方法][js_8]

[HTML5]: http://lib.csdn.net/base/html5
[js_8]: https://www.cnblogs.com/lcspring/p/11079754.html