什么是跨域
前台调用后台接口的时候 ,如果请求接口和当前服务不是同一个域,则发生了跨域
如:存在两个服务,localhost:8080, localhost:8081
当前页面在服务8080端口上,但是其内部的某个方法调用了8081端口的服务,由于两个服务不在同一个域上,则发生了跨域请求
跨域请求的请求头中多一个Origin字段
何为同一个域:协议,域名,端口都一致。如上 http://localhost:8080就是一个域, http://localhost:8081是另外一个域
总言之就是一个域上的服务向另一个域的服务接口发送了请求。简单理解的话就是一个tomcat上的应用向另一个tomcat中的应用发送了请求(主要还是不同域)。
为什么发生跨域
浏览器限制
后端本身是没有跨域限制的,所以发生跨域时后端返回的依然是200,(后台正常处理请求)
浏览器测出于安全限制,会对跨域请求做检查,虽然后端正常应答,但是浏览器测依然会报错,导致请求最终为失败
跨域
协议、域名、端口三要素,任何一个不同,都会产生跨域
XHR(XMLHttpRequest)请求(ajax请求)
如果发出的不是xhr请求,就算有跨域问题也不会报错
上述三个条件同时满足,才会产生跨域安全问题。
解决办法
1.浏览器限制
通过修改浏览器启动参数,去除安全检查,则会打破跨域问题的三要素
启动参数: --disable-web-security
2.xhr请求(jsonp解决跨域)
jsonp是一种前后端的约定,解析的是js代码
ajax请求中设置dataType: jsonp即可使用
jsonp通过创建一个script,在script中把请求发出去的,用完之后script销毁
普通ajax请求的type是xhr,jsonp请求的type是script
普通ajax请求的返回类型是json对象(application/json),jsonp请求返回类型是js脚本(application/javascript)
实现方法:
jsonp请求后有一个callback参数(eg: http://a.com?callback=xxx),这里的callback是前后端的一种约定,后端发送有callback参数后就知道是jsonp请求,
然后就把返回的数据从json封装成js函数,函数名就是请求入参中callback的值,前端收到应答后,从对应的callback函数中取回里面的json数据
备注:callback字段名可以改,只要前后端达成一致即可。
jsonp的弊端
服务端需要改动代码以支持(将json的数据转换为js函数返回)
只支持get方法(script方法只能用get方法请求),即使指定post,发送的也是get
发送的不是xhr请求,所以不具有ajax的特性
总结:jsonp就是前后端的一种约定,使得前端发送的数据类型不是xhr,后端返回数据也不是json。打破了跨域请求三要素。
3.被调用方解决跨域
指定允许的域(*号表示允许所有,下同),即来自这个域的请求不算跨域(这个字段是要写到应答头里给浏览器解析的)
resp.addHeader("Access-Control-Allow-Origin", "http://localhost:8081");
指定允许的http方法
resp.addHeader("Access-Control-Allow-Methods", "GET");
指定允许跨域时携带Origin端的cookie
resp.addHeader("Access-Control-Allow-Credentials", "true");
指定允许相应的请求头
resp.addHeader("Access-Control-Allow-Headers", "Content-Type,X-My-Header");
指定允许缓存预检命令
resp.addHeader("Access-Control-Max-Age", "3600");
简单请求
方法为 get、head、post
请求头里面无自定义请求头
Content-Type为以下几种: text/plain、mul.tipart/form-data、application/x-www-form-urlencode
同时满足上面三个条件的为简单请求
复杂请求
方法为put、delete的ajax请求
发送json格式的ajax请求
带自定义请求头的请求
满足上面任何一条都是非简单请求
预检命令
对于复杂请求,发生跨域时,实际浏览器会先发出一个OPTIONS预检命令给对应的服务器,然后才实际发送复杂请求
可以在请求头中设置Access-Control-Max-Age来缓存预检命令的结果
对于简单请求,浏览器直接发送请求,然后判断应答是否满足跨域请求,是否正常处理
4.调用方解决跨域
使用反向代理模式,直接调用nginx或者apache,其内部做代理处理,所以调用者识别不到跨域问题。