一、同源策略
端口、域名和协议 必须都要相同。这是NetScape提出的安全策略,Web构建在同源策略基础上的,浏览器为安全考虑只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,是不能读写对方的资源。
同源策略限制:cookie,localStorage 和 indexDB无法获取,DOM 和 JS对象也无法获取,Ajax请求也不能发送。
二、如何解决跨域
什么是浏览器跨域?就是一个域的页面去请求另一个不同域的资源
详细可见:https://segmentfault.com/a/1190000011145364
简单的跨域请求jsonp即可,复杂的cors,窗口之间JS跨域postMessage,开发环境下接口跨域用nginx反向代理或node中间件比较方便。
1、 通过jsonp跨域
2、 document.domain + iframe跨域
3、 location.hash + iframe
4、 window.name + iframe跨域
5、 postMessage跨域
6、 跨域资源共享(CORS)
7、 nginx代理跨域
8、 nodejs中间件代理跨域
9、 WebSocket协议跨域
01、使用JSONP解决跨域
JSONP的原理:动态添加一个<script>标签,而<script>标签的src属性是没有跨域的限制的。(<script>标签的src属性并不被同源策略所约束,所以可以获取任何服务器上脚本并执行)
JSONP的原型:创建一个回调函数,然后在远程服务上调用这个函数并且将JSON 数据形式作为参数传递,完成回调。
将JSON数据填充进回调函数,这就是JSONP的JSON+Padding的含义吧。
详细可看看这儿:https://www.cnblogs.com/soyxiaobi/p/9616011.html
JSONP即JSON with Padding,由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源。如果要进行跨域请求, 我们可以通过使用html的script标记来进行跨域请求,并在响应中返回要执行的script代码,其中可以直接使用JSON传递javascript对象,这种跨域的通讯方式称为JSONP。
JSON 是一种数据格式,JSONP 是一种数据调用的方式
JSONP的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。
JSONP的缺点则是:它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
02、跨域资源共享(CORS)
普通跨域请求:只服务端设置Access-Control-Allow-Origin即可,前端无须设置,若要带cookie请求:前后端都需要设置。
目前,所有浏览器都支持该功能(IE8+:IE8/9需要使用XDomainRequest对象来支持CORS)),CORS也已经成为主流的跨域解决方案