1、概述

前后端数据交互经常会碰到请求跨域，什么是跨域，为什么需要跨域，以及常用有哪几种跨域方式，这是本文要探讨的内容。

同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

同源策略是一种约定，它是浏览器最核心也是最基本的安全功能。出于安全考虑，浏览器限制从JS脚本发起的跨源HTTP请求。

通俗的理解：浏览器规定，A 网站的 JavaScript，不允许和非同源的网站 C 之间，进行资源的交互，例如：

①无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。

②无法接触非同源网页的 DOM。

③无法向非同源地址发送 Ajax 请求。

同源指的是两个 URL 的协议、域名、端口一致，反之，则是跨域。出现跨域的根本原因：浏览器的同源策略不允许非同源的 URL 之间进行资源的交互。

例如网页(
http://www.test.com/index.html)和接口(
http://www.api.com/userlist)，非同源的URL，浏览器允许发起跨域请求，但是，跨域请求回来的数据，会被浏览器拦截，无法被页面获取到。

2、为什么要跨域？

跨域是浏览器受同源（协议、域名、端口）策略的限制，不允许不同源的站点之间进行某些操作（如发送ajax请求，操作dom，读取cookie），如果不进行特殊配置是不能操作成功的，并且控制台会报如下跨域错误：

`No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'xxxxxx' is therefore not allowed access

跨域的根本原因是浏览器的“同源策略”，同源 就是【协议+域名+端口号】相同，即为同源，只能向同源的服务发起AJAX请求。

可通过location.origin、window.origin获取当前文档的源

为什么要同源呢？

这是浏览器故意设计的，是浏览器的基本安全策略，否则会很容易受到XSS、CSRF攻击。只能向同源的服务发起AJAX请求，不可跨域请求，会被浏览器拦截。

有哪些限制规则呢？

• ? 访问其他源的图片、CSS、JS是可以的，允许、、

  JSONP的实现：

  function jsonp(url, args, cbName) {
    return new Promise((resolve, reject) => {
      const ele = document.createElement('script');
      window[cbName] = (data) => {
        resolve(data);
        document.body.removeChild(ele);
      }
      args = { ...args, callback: cbName };
      ele.src = `${url}?${Object.keys(args).map(k => `${k}=${args[k]}`).join('&')}`;
      document.body.appendChild(ele);
    });
  }
  //使用，api为360的公开接口
  jsonp('https://sug.so.360.cn/suggest', { format: 'jsonp', word: 'china' }, 'search')
    .then(function (data) {
      console.log(data)
    });

  3.2、CORS跨域

  CORS是什么？—— 跨域资源共享 （cross-origin resource sharing），让AJAX可以跨域访问数据。这是为了满足跨域请求的需求，W3C新增加的特性，需要服务端的支持，不支持IE8/9。

  当浏览器发送一个跨域请求时，它会首先发送一个预检请求（OPTIONS请求），检查后端是否支持跨域请求。这个预检请求会包含一些CORS相关的HTTP头，如Origin、
  Access-Control-Request-Method和
  Access-Control-Request-Headers。后端收到预检请求后，会检查请求中的Origin头，与自己在CORS配置中设置的allowedOrigins进行对比，如果匹配成功，就会在响应中设置相应的CORS头，如
  Access-Control-Allow-Origin、
  Access-Control-Allow-Methods和
  Access-Control-Allow-Headers等。

  一旦预检请求通过，浏览器就会发送实际的跨域请求。在接收到实际请求的响应后，浏览器会再次检查响应中的CORS头，确保它们与预检请求中的设置一致。如果一切正常，浏览器就会允许前端JavaScript代码访问响应中的数据。

  通过这种方式，后端通过显式配置CORS参数，告知浏览器哪些源有权访问其资源，从而实现了跨域访问的功能。这既保证了安全性（只允许指定的源进行访问），又提供了灵活性（可以根据需要配置不同的CORS策略）。

  根据请求方式，浏览器将CORS分为两种情况：

  • 简单请求（安全请求）：只支持GET、POST、HEAD，Header只支持部分字段。
  • 复杂请求（其他请求）：简单请求以外的其他跨域请求。

  简单请求

  基本原理就是在请求头加入一个身份来源标识，服务端根据这个标识来判等是否允许访问，如果允许则给一个允许的标记并返回响应。

  • 只支持GET、POST、HEAD。
  • header —— 我们仅能设置基础的安全字段：
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type 的值为 application/x-www-form-urlencoded，multipart/form-data 或 text/plain。

  具体过程比较简单，前端只要在Header加入“Origin”即可：

  • 请求头Header加入要跨域的源：origin:http://www.main.com

  GET /api HTTP/1.1
  Origin: http://www.main.com             //本次请求来自哪个源
  Host: http://www.third.com              //请求的第三方API
  Accept-Language: en-US
  Connection: keep-alive
  User-Agent: Mozilla/5.0
  ...

  • 服务端收到请求后检查Origin，如果同意请求则正常响应，同时在响应的Header中加入特殊的“Access-Control-Allow-Origin”字段，申明支持的源，也可以用“*”表示支持任何源访问。
  • 浏览器收到响应后会检查“Access-Control-Allow-Origin”，和当前源对比，如果不合法则会报错——跨域。

  Access-Control-Allow-Origin: http://www.main.com        //请求允许的源
  Access-Control-Allow-Credentials: true                          //是否允许cookie，cors默认不发送cookie，如果要发送，还需AJAX中设置withCredentials
  Access-Control-Expose-Headers: Content-Length,API-Key   //如果客户端想要访问其他非安全字段，则需要服务端明确定义哪些Header字段暴露出来
  Content-Type: text/html; charset=utf-8

  复杂请求

  不是简单请求的都称为复杂请求（非简单请求），如请求方法是PUT、DELETE，或Content-Type=application/json。相比于简单请求，复杂请求多了一次预请求。

  预请求：

  • 正式发送请求前，浏览器会自动发送一个预请求，问问服务端是否允许本次请求，如果回应允许才正式发送请求，后面就和简单请求相同了。
  • 预请求及其响应都没有body，采用OPTIONS方法。

  JSONP 与`CORS 的对比

  JSONP 是很早很成熟的解决方案，但是，只能进行 GET 请求，无法实现上传数据等操作。

  反观：CORS 虽然分 预请求 和 非预请求 ，但是，无疑支持的功能是非常强大的 ！！！

  3.3、Nginx反向代理

  跨域是浏览器的保护机制，如果绕过浏览器，使用代理服务器去请求目标服务器上的数据，就不会受跨域影响。因此前端可以通过脚手架或webpack配置devSever下的proxy选项，将/api开头的请求转发到真实服务器上。

  在生产环境下也可以使用nginx配置反向代理来解决跨域。

  Nginx 则是通过反向代理的方式，（这里也需要自定义一个域名）这里就是保证我当前域，能获取到静态资源和接口，不关心是怎么获取的。

  配置下 hosts

  127.0.0.1 local.test

  配置 nginx

  server {
          listen 80;
          server_name local.test;
          location /api {
              proxy_pass http://localhost:8080;
          }
          location / {
              proxy_pass http://localhost:8000;
          }
  }

  对于前端开发而言，大部分的跨域问题，都是通过代理解决的

  代理适用的场景是：生产环境不发生跨域，但开发环境发生跨域

  4、小结

  因为同源是浏览器的限制，跨域的方法无非就是绕过，或采用CORS。

  跨域方案	基本原理	是否需要服务端支持
  JSONP	借助 nginx cors 上一篇：使用Nginx轻松搞定跨域问题 下一篇：【Nginx基础】反向代理支持跨域请求 相关推荐 bios正确设置（bios正确设置方法） 方法/步骤1/8目前市面上较流行的主板BIOS主要有AwardBIOS、AMIBIOS、PhoenixBIOS三种类型，由于phoenix公司与AMI公司合并了，所以现在常用的只有award和... 安全模式进不去蓝屏（安全模式进不去一直蓝屏） 如果在Windows10中遇到蓝屏问题，并且无法进入安全模式，可以尝试以下方法：1.使用高级启动选项：重启计算机，并在启动过程中按住Shift键，直到出现高级启动选项。从列表中选择"故障排... win732位系统多大（win732位系统支持多大硬盘） 您好，32位Windows7的所有版本均支持4GB内存，但32位的Windows7实际可利用的最大内存只有3.25GB左右。64位的Windows7家庭普通版能支持8GB内存，家庭高级版能支持1... win10修改电脑开机密码（win10修改电脑开机密码在哪里） win10系统这样重设开机密码：具体的步骤如下：1、点击Win10的“开始”按钮，继续点击“设置”选项。2、点击“账户”选项。3、点击左侧的“登录选项”，接着在“密码”选项下点击“更改”。4、首先会弹... 办公软件office下载（office办公软件正版下载） office字体都变成了英文是因为设置了英文模式。具体的解决步骤如下：我们需要准备的材料分别是：电脑、Word文档。1、首先我们打开Word文档，点击打开左上角的文件中的“选项”。2、然后我们在弹出来... windows打开注册表（windows打开注册表编辑器的命令） 如果装了杀毒软件，并且开了注册表保护功能，关闭此功能，如果关闭后可以正常写入了，说明是这个问题造成的，之所以打开后不能写入了，是由于注册表保护功能的提示项目被关闭了，打开设置项目，打开提示即可，这样以... win7本地组策略编辑器怎么打开 1、在桌面上新建一个记事本文件，随后双击打开它将下方的代码全部复制粘贴进去：　　@echooff　　pushd"%~dp0"　　dir/bC:\Windows\servicing\Packag... 笔记本连接不上无线网（笔记本连接不上无线网络） 1、笔记本电脑连不上wifi原因有很多，如果是所有WIFI都连接不上，那就是电脑自身设置出错。2、方法一：电脑连不上wifi，图标会有黄色叹号，在右下角右键点击无线wifi图标，再点击打开网络和共享中... 国内杀毒软件（国内杀毒软件有哪些完整名单） 小米手机自带的安全中心中就有病毒扫描功能，可能小米与360不太兼容，不过我觉得小米自带的杀毒也可以的，不用再单独下载一个杀毒软件了，我觉得是软件问题，因为有的软件手机是不支持的，强行安装后就会出现启动... tplink18r18e如何设置（tplink19216811路由器设置） TL-H28R路由器恢复了出厂设置，现在要设置其连接宽带上网，需要经过以下几个步骤：1、TL-H28R路由器与TL-H28E扩展器注册；将TL-H28R路由器和TL-H28E扩展器分别插到电源插座上，... win7现在还能用吗（win7现在还能用么2021年） WINDOWS7系统还可以用多久？什么时候会被淘汰？先不说WINDOWS7系统可以用多久，先说说XP系统到目前为止可以在系统之家上搜索，并且下载，只要硬件支持，XP系统都可以继续在使用，也不用担心，XP系统在使用的过程中系统出现崩溃或者... 2025-12-03 21:03 off999 免费下载升级（免费下载升级拖拉机两副牌80分） 以创维E530E系列为例：1、第一步：到创维社区下载官方本地升级包，将升级包放到U盘的根目录下，不能放到文件夹中否则检测不到升级包2、将U盘插入电视背后的USB接口。插上U盘后，电视会检测到U盘，选择... win10家庭版是多少位（win10家庭版是32位吗） win10家庭版包含32位win10家庭版和64位win10家庭版。32位操作系统针对的32位的CPU设计。CPU内部寄存器和寻址总线是32位，指令集可以运行32位数据指令，也就是说一次可以提取32位... 联想投诉电话人工服务（联想总部投诉热线95539有用吗） 投诉某家联想售后服务中心的话，你可以按照以下步骤来进行操作：1.收集证据：整理好所有的证据材料，包括维修单据、交流记录、照片或视频等，以便提供给投诉部门。2.联系联想客服：首先，你可以尝试通过联想... win7旗舰版bios设置（win7旗舰版bios设置教程） Win7旗舰版的BIOS高级模式指的是进入计算机主板的BIOS（基本输入输出系统）设置中的一种模式，该模式提供了更高级的设置选项，可以更好地控制硬件性能和外设的功能。高级模式比标准模式更加复杂，需要进... 取消回复欢迎 你 发表评论: 一周热门 抖音上好看的小姐姐，Python给你都下载了 全网最简单易懂!495页Python漫画教程，高清PDF版免费下载 Python 3.14 的 UUIDv6/v7/v8 上新，别再用 uuid4 () 啦! 飞牛NAS部署TVGate Docker项目，实现内网一键转发、代理、jx python入门到脱坑 输入与输出—str()函数 宝塔面板如何添加免费waf防火墙?（宝塔面板开启https） Python三目运算基础与进阶_python三目运算符判断三个变量 (新版)Python 分布式爬虫与 JS 逆向进阶实战吾爱分享 慕ke 前端工程师2024「完整」 失业程序员复习python笔记——条件与循环 最近发表 bios正确设置（bios正确设置方法） 安全模式进不去蓝屏（安全模式进不去一直蓝屏） win732位系统多大（win732位系统支持多大硬盘） win10修改电脑开机密码（win10修改电脑开机密码在哪里） 办公软件office下载（office办公软件正版下载） windows打开注册表（windows打开注册表编辑器的命令） win7本地组策略编辑器怎么打开 笔记本连接不上无线网（笔记本连接不上无线网络） 国内杀毒软件（国内杀毒软件有哪些完整名单） tplink18r18e如何设置（tplink19216811路由器设置） 标签列表 python计时 (73) python安装路径 (56) python类型转换 (93) python进度条 (67) python吧 (67) python的for循环 (65) python格式化字符串 (61) python静态方法 (57) python列表切片 (59) python面向对象编程 (60) python 代码加密 (65) python串口编程 (77) python封装 (57) python写入txt (66) python读取文件夹下所有文件 (59) python操作mysql数据库 (66) python获取列表的长度 (64) python接口 (63) python调用函数 (57) python多态 (60) python匿名函数 (59) python打印九九乘法表 (65) python赋值 (62) python异常 (69) python元祖 (57) Copyright Your WebSite.Some Rights Reserved. 首页 收录 顶部