跨域请求的概念和解决办法

相关概念

同源是指相同的协议、域名、端口，三者都相同才属于同源。

同源策略浏览器处于安全考虑，在全局层面禁止了页面加载或执行与自身来源不同的域的任何脚本，站外其他来源的脚本同页面的交互则被严格限制。

跨域由于浏览器同源策略，凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域

跨域资源共享（Cross Origin Resource Sharing，CORS）是一个解决跨域问题的好办法，从而可以使用XHR从不同的源加载数据和资源。

看看哪些情况下属于跨域访问：

解决办法

幸好，除CORS以外还有几个方法可以用来从外部的数据源将数据加载到应用中。

• document.domain+iframe
• 动态创建script
• location.hash+iframe
• window.name
• HTML5 postMessage
• flash
• JSONP（不能成为真正的Ajax，本质上仍是动态创建script）
• proxy代理（服务器代理）
• CORS
• XDR

JSONP

JSONP 就是 JSON With Padding… 我真的不知道这个名字的含义到底有什么卵用…

一开始在使用JSONP时, 就是使用jquery的$.ajax函数就可以了。但这造成了一个很不好的impression. 总是让我们以为JSONP 和 ajax有什么关联似的。而事实上，他们两个是完全不同的机制。xhr原理大家已经很清楚了，就是完完全全的异步操作。但JSONP的原理是什么呢？

JSONP原理

JSONP 其实是和< script> 标签有很大的关系。JSONP最大的优势就是实现异步跨域的作用,那么他到底是怎么做到的呢？

其实, JSONP就是利用script 的src属性，实现跨域的功能

<script>
    function processJSON (json) {
        // Do something with the JSON response
    }
</script>

<script src='http://www.girls.hustonline.net?callback=processJSON&name=jimmy&age=18'></script>
           

上面的写法有点不符合前端风味. 说明一下, 其实processJSON,其实就相当于一个回调函数而已。在script–src里面的内容我们来瞧一瞧. 使用jsoncallback 来指定回调函数名字, 并且传入一些参数name = jimmy&age = 18

这就是前端发送JSONP的全部. 那应该怎么执行呢？或者说，返回的内容是什么呢？

很简单, 根据jsoncallback里面指定的函数名–processJSON. 在返回的js里面使用processJSON(data); 来执行.

服务器端返回的js内容：

processJSON({
    message:"I've already received"
});
           

然后,浏览器收到后,直接执行即可. 这里，我们来模拟一下服务器端该怎样执行一个JSONP的函数。

JSONP深入模拟

我们可以模拟一下实实在在的JSONP请求。上面是直接将script 写死在html内部, 这样造成的结果可能会阻塞页面的加载. 所以，我们需要以另外一种方式进行，使用异步添加script方法。

这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制，同时资源加载到页面后会立即执行（没有阻塞的情况下）。

var sendJSONP = function(url,callbackName){
    var script = docuemnt.createELement('script');
    script.src = `${url}&callback=${callbackName}`;
    document.head.appendChild(script);
}
var sayName = function(name){
    console.log(`your name is ${name}`);
}
sendJSONP('http://girls.hustonline.net?name=jimmy','sayName');
           

上面就是一个精简版的JSONP了。

另外，也推荐使用jquery的getJSON()和ajax()进行请求。

先看一下$.getJSON()

$.getJSON("http://girls.hustonline.net?callback=?", function(result){
  console.log(result);
});
           

这里，我们需要关注一下URL中callback=?里的?的内涵。 jquery使用自动生成数的方式, 省去了我们给回调命名的困扰。 其实，最后?会被一串字符代替，比如:json23153123. 这个就代表你的回调函数名。

不过，还是推荐使用ajax,因为你一不小心就有可能忘掉最后的?。

使用$.ajax()发送jsonp

$.ajax({
    url: 'http://girls.hustonline.net?name=jimmy',
    dataType: 'jsonp',
    success: function(name){
            console.log(name);
    }
});
           

JSONP缺点

1. 这种方式无法发送post请求（这里）
2. 另外要确定jsonp的请求是否失败并不容易，大多数框架的实现都是结合超时时间来判定。

proxy代理

这种方式首先将请求发送给后台服务器，通过服务器来发送请求，然后将请求的结果传递给前端。

<script>
    var f = function (data) {
        alert(data.name);
    };
    var xhr = new XMLHttpRequest();
    xhr.onload = function () {
        alert(xhr.responseText);
    };
    xhr.open('POST', 'http://localhost:8888/proxy?http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
    xhr.send("f=json");
</script>
           

var proxyUrl = "";
    if (req.url.indexOf('?') > -) {
        proxyUrl = req.url.substr(req.url.indexOf('?') + );
        console.log(proxyUrl);
    }
    if (req.method === 'GET') {
        request.get(proxyUrl).pipe(res);
    } else if (req.method === 'POST') {
        var post = '';     //定义了一个post变量，用于暂存请求体的信息

        req.on('data', function (chunk) {    //通过req的data事件监听函数，每当接受到请求体的数据，就累加到post变量中
            post += chunk;
        });

        req.on('end', function () {    //在end事件触发后，通过querystring.parse将post解析为真正的POST请求格式，然后向客户端返回。
            post = qs.parse(post);
            request({
                method: 'POST',
                url: proxyUrl,
                form: post
            }).pipe(res);
        });
    }
           

需要注意的是如果你代理的是https协议的请求，那么你的proxy首先需要信任该证书（尤其是自定义证书）或者忽略证书检查，否则你的请求无法成功。12306就提供了一个鲜活的例子。

还需要注意一点，对于同一请求浏览器通常会从缓存中读取数据，我们有时候不想从缓存中读取，所以会加一个preventCache参数，这个时候请求url变成：url?preventCache=12345567….;这本身没有什么问题，问题出在当使用某些前端框架（比如jquery）发送proxy代理请求时，请求url为proxy?url，同时设置preventCache：true，框架不能正确处理这个参数，结果发出去的请求变成proxy?url&preventCache=123456（正长应为proxy?url?preventCache=12356）;后端截取后发送的请求为url&preventCache=123456，根本没有这个地址，所以你得不到正确结果。

CORS

这是现代浏览器支持跨域资源请求的一种方式。

当你使用XMLHttpRequest发送请求时，浏览器发现该请求不符合同源策略，会给该请求加一个请求头：Origin，后台进行一系列处理，如果确定接受请求则在返回结果中加入一个响应头：Access-Control-Allow-Origin;浏览器判断该响应头中是否包含Origin的值，如果有则浏览器会处理响应，我们就可以拿到响应数据，如果没有浏览器直接驳回，这时我们无法拿到响应数据。

<script>
    /*var f = function(data){
     alert(data.name);
     }*/
    var xhr = new XMLHttpRequest();
    xhr.onload = function(){
        alert(xhr.responseText);
    };
    xhr.open('POST', 'http://localhost:8888/cors', true);
    xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    xhr.send("f=json");
</script>

<script>
    /* var _script = document.createElement('script');
     _script.type = "text/javascript";
     _script.src = "http://localhost:8888/jsonp?callback=f";
     document.head.appendChild(_script);*/
</script>
           

<script>
    if (req.headers.origin) {

        res.writeHead(, {
            "Content-Type": "text/html; charset=UTF-8",
            "Access-Control-Allow-Origin":'http://localhost'/*,
             'Access-Control-Allow-Methods': 'GET, POST, OPTIONS',
             'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'*/
        });
        res.write('cors');
        res.end();
    }
</script>
           

如果我们把Access-Control-Allow-Origin去掉，浏览器会驳回响应，我们也就拿不到数据。

需要注意的一点是Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法，以及不同类型的主题内容。总结如如：

　　1、非GET 、POST请求

　　2、POST请求的content-type不是常规的三个：application/x- www-form-urlencoded（使用 HTTP 的 POST 方法提交的表单）、multipart/form-data（同上，但主要用于表单提交时伴随文件上传的场合）、text/plain（纯文本）

　　3、POST请求的payload为text/html

　　4、设置自定义头部

　　OPTIONS请求头部中会包含以下头部：Origin、Access-Control-Request-Method、Access-Control-Request-Headers，发送这个请求后，服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。

　　Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

XDR

这是IE8、IE9提供的一种跨域解决方案，功能较弱只支持get跟post请求，而且对于协议不同的跨域是无能为力的，比如在http协议下发送https请求。看一下微软自己的例子就行

<!DOCTYPE html>

<html>
<body>
  <h2>XDomainRequest</h2>
  <input type="text" id="tbURL" value="http://www.contoso.com/xdr.txt" style="width: 300px"><br>
  <input type="text" id="tbTO" value="10000"><br>
  <input type="button" onclick="mytest()" value="Get">&nbsp;&nbsp;&nbsp;
    <input type="button" onclick="stopdata()" value="Stop">&nbsp;&nbsp;&nbsp;
    <input type="button" onclick="readdata()" value="Read">
  <br>
  <div id="dResponse"></div>
  <script>
    var xdr;
    function readdata()
    {
      var dRes = document.getElementById('dResponse');
      dRes.innerText = xdr.responseText;
      alert("Content-type: " + xdr.contentType);
      alert("Length: " + xdr.responseText.length);
    }

    function err()
    {
      alert("XDR onerror");
    }

    function timeo()
    {
      alert("XDR ontimeout");
    }

    function loadd()
    {
      alert("XDR onload");
      alert("Got: " + xdr.responseText);
    }

    function progres()
    {
      alert("XDR onprogress");
      alert("Got: " + xdr.responseText);
    }

    function stopdata()
    {
      xdr.abort();
    }

    function mytest()
    {
      var url = document.getElementById('tbURL');
      var timeout = document.getElementById('tbTO');
      if (window.XDomainRequest)
      {
        xdr = new XDomainRequest();
        if (xdr)
        {
          xdr.onerror = err;
          xdr.ontimeout = timeo;
          xdr.onprogress = progres;
          xdr.onload = loadd;
          xdr.timeout = tbTO.value;
          xdr.open("get", tbURL.value);
          xdr.send();
        }
        else
        {
          alert("Failed to create");
        }
      }
      else
      {
        alert("XDR doesn't exist");
      }
    }
  </script>
</body>
</html>
           

以上就是我在实际项目中遇到的跨域请求资源的情况，有一种跨域需要特别注意就是在https协议下发送https请求，除了使用proxy代理外其他方法都无解，会被浏览器直接block掉。如果哪位道友知道解决方法，麻烦你告诉我一声。