大白话跨域问题的原理与多种解决方法的实现

跨域问题原理

简单来说，当一个网页中的JavaScript代码想要去访问另一个不同域名、端口或协议的服务器上的数据时，就会出现跨域问题。这是浏览器的一种安全机制，为了防止恶意网站窃取用户信息等。比如，你在自己家网站（www.example.com）上写的代码，想去访问别人家网站（www.other.com）的数据，浏览器就会觉得有风险，可能会阻止这个访问，这就是跨域问题。

解决方法及代码示例

1. JSONP（JSON with Padding）
   • 原理：利用<script>标签没有跨域限制的特点，通过动态创建<script>标签来请求数据，服务器返回的是一段JavaScript代码，把数据放在一个函数调用里。
   • 代码示例

<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>JSONP Example</title>
</head><body><script>// 定义一个函数，用来处理服务器返回的数据function handleData(data) {console.log('Received data:', data);}// 创建一个script标签var script = document.createElement('script');// 设置script标签的src属性，指向服务器接口，并且带上回调函数名script.src = 'http://example.com/api/data?callback=handleData';// 将script标签添加到页面中document.head.appendChild(script);</script>
</body></html>

- **注释**：上述代码中，先定义了`handleData`函数用于处理服务器返回的数据。然后创建`<script>`标签，设置其`src`属性为服务器接口地址，并通过`callback`参数指定回调函数名。最后将`<script>`标签添加到页面，浏览器会自动加载该脚本，服务器返回的脚本会执行`handleData`函数并传入数据。

2. CORS（Cross-Origin Resource Sharing）
   • 原理：服务器通过设置响应头，告诉浏览器哪些域名可以访问它的资源，浏览器根据这些响应头来决定是否允许跨域请求。
   • 代码示例（以Express为例）

const express = require('express');
const app = express();// 允许所有域名访问，实际应用中应限制为具体域名
app.use((req, res, next) => {res.setHeader('Access-Control-Allow-Origin', '*');res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');res.setHeader('Access-Control-Allow-Headers', 'Content-Type');next();
});app.get('/api/data', (req, res) => {const data = { message: 'Hello from server' };res.json(data);
});const port = 3000;
app.listen(port, () => {console.log(`Server running on port ${port}`);
});

- **注释**：首先引入`express`模块创建服务器。通过`app.use`中间件设置`Access-Control-Allow-Origin`响应头为`*`，表示允许所有域名访问，还设置了允许的请求方法和请求头。当访问`/api/data`接口时，服务器返回一个包含消息的JSON数据。

3. 代理服务器
   • 原理：在本地搭建一个代理服务器，浏览器先向代理服务器发送请求，代理服务器再向目标服务器请求数据，然后把数据返回给浏览器，这样就不存在跨域问题了，因为浏览器和代理服务器在同一个域。
   • 代码示例（以webpack-dev-server代理为例）

// webpack.config.js
module.exports = {// 其他配置项...devServer: {proxy: {'/api': {target: 'http://example.com',changeOrigin: true}}}
};

- **注释**：在`webpack`配置文件中，通过`devServer.proxy`设置代理。当请求以`/api`开头时，`webpack-dev-server`会将请求转发到`http://example.com`，`changeOrigin`设置为`true`表示修改请求头中的`Origin`字段，使其与目标服务器的域名一致。

4. postMessage
   • 原理：用于窗口之间的通信，比如一个页面中的iframe和父页面之间。可以通过postMessage方法发送消息，在接收方通过message事件监听接收消息。
   • 代码示例

<!-- 父页面 -->
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Parent Page</title>
</head><body><iframe id="myFrame" src="http://example.com/child.html"></iframe><script>// 监听来自子窗口的消息window.addEventListener('message', function (event) {console.log('Received message from child:', event.data);});// 向子窗口发送消息const frame = document.getElementById('myFrame');frame.contentWindow.postMessage('Hello from parent', 'http://example.com');</script>
</body></html><!-- 子页面child.html -->
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Child Page</title>
</head><body><script>// 监听来自父窗口的消息window.addEventListener('message', function (event) {console.log('Received message from parent:', event.data);// 向父窗口回复消息event.source.postMessage('Hello from child', event.origin);});</script>
</body></html>

跨域问题常见的错误提示有哪些？
跨域问题出现时，浏览器或服务器通常会给出一些错误提示，以下是一些常见的错误提示及通俗解释：

• Access to XMLHttpRequest at ‘xxx’ from origin ‘xxx’ has been blocked by CORS policy
  • 解释：这句话的意思是，你的JavaScript代码通过XMLHttpRequest（一种常用的网络请求方式）去请求一个网址（‘xxx’）的数据，但是浏览器发现这个请求的来源网址（也就是你当前网页所在的网址’xxx’）和要请求的网址不一样，而且服务器那边没有设置允许你这个来源网址来请求数据，所以就按照跨域的规则把你的请求给拦住了，不允许访问。
• No ‘Access-Control-Allow-Origin’ header is present on the requested resource
  • 解释：浏览器在请求数据时，发现服务器返回的信息里面没有Access-Control-Allow-Origin这个响应头。这个响应头本来是用来告诉浏览器，哪些网址可以访问这个服务器上的资源。现在没有这个头，浏览器就不知道让不让访问，所以就认为是跨域问题，阻止了请求。
• Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at xxx
  • 解释：浏览器有一个“同源策略”，就是说一个网页里的代码通常只能访问和它在同一个域名、端口和协议下的资源。这里就是说你要访问的那个远程资源（‘xxx’）和当前网页不是同一个来源，违反了“同源策略”，所以浏览器把你的请求给拦住了，不让你读取那个远程资源的数据。
• Failed to load xxx: No ‘Access-Control-Allow-Methods’ header is present on the requested resource
  • 解释：和前面没有Access-Control-Allow-Origin头类似，这里是服务器返回的信息里没有Access-Control-Allow-Methods这个头。这个头是用来告诉浏览器，允许使用哪些HTTP方法（比如GET、POST等）来请求资源。没有这个头，浏览器就不知道能不能用你代码里的那种方法去请求，所以就报错说加载资源失败了，也是因为跨域问题导致的。
• Request header field xxx is not allowed by Access-Control-Allow-Headers in preflight response
  • 解释：在正式发送请求之前，浏览器可能会先发送一个“预检”请求，看看服务器支不支持你要发送的请求。这里说的是你请求头里面有个字段（‘xxx’），服务器在“预检”响应的Access-Control-Allow-Headers里没有允许这个字段。也就是说，服务器不允许你用这个字段来请求数据，所以就报错了，这也是跨域相关的一个错误提示。

除了JSONP，还有哪些方法可以解决跨域问题？

除了JSONP之外，解决跨域问题还有以下几种常见方法：

CORS（跨域资源共享）

• 原理：就是服务器设置一些响应头，告诉浏览器哪些域名的网页可以访问它的资源，以及允许使用哪些HTTP方法、请求头字段等。浏览器根据这些信息来判断这个跨域请求是否合法。
• 实现步骤
  • 服务端配置：在服务器端设置Access-Control-Allow-Origin响应头，指定允许访问的源。比如，如果要允许http://example.com这个域名访问，就设置Access-Control-Allow-Origin: http://example.com。如果想允许所有域名访问，就设置为*。还可以设置Access-Control-Allow-Methods来指定允许的HTTP方法，如GET、POST等；设置Access-Control-Allow-Headers来指定允许的请求头字段。
  • 客户端请求：客户端正常发送跨域请求就行，不用做特殊处理，浏览器会根据服务器返回的响应头来判断是否允许访问。
• 代码示例（以Node.js为例）

const express = require('express');
const app = express();// 设置允许跨域访问该服务的域名
app.use((req, res, next) => {res.setHeader('Access-Control-Allow-Origin', 'http://example.com');res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');res.setHeader('Access-Control-Allow-Headers', 'Content-Type');next();
});// 处理请求的路由
app.get('/data', (req, res) => {// 返回数据res.json({ message: '这是来自服务器的数据' });
});const port = 3000;
app.listen(port, () => {console.log(`服务器在端口 ${port} 上运行`);
});

代理服务器

• 原理：把跨域请求先发给自己服务器上的一个代理接口，然后由这个代理接口再去请求目标服务器的数据，最后把数据返回给客户端。因为代理接口和客户端代码在同一个域名下，所以就不存在跨域问题了。
• 实现步骤
  • 搭建代理服务器：在自己的服务器上设置一个代理服务，它可以接收客户端的请求，然后转发到目标服务器。
  • 配置代理规则：告诉代理服务器哪些请求需要转发，以及转发到哪里。比如，把客户端对/api/*路径的请求转发到http://targetserver.com/api/*。
  • 客户端请求：客户端把原本要发给目标服务器的请求，改成发给代理服务器的接口。
• 代码示例（以使用http-proxy-middleware为例）

const express = require('express');
const { createProxyMiddleware } = require('http-proxy-middleware');const app = express();// 创建代理中间件
const proxy = createProxyMiddleware('/api', {target: 'http://targetserver.com', // 目标服务器地址changeOrigin: true
});// 使用代理中间件
app.use(proxy);const port = 3000;
app.listen(port, () => {console.log(`服务器在端口 ${port} 上运行`);
});

WebSocket

• 原理：WebSocket是一种在单个TCP连接上进行全双工通信的协议，它不受同源策略的限制，可以在不同源的客户端和服务器之间进行通信。
• 实现步骤
  • 服务端实现：在服务器端使用WebSocket库来创建WebSocket服务器，监听客户端的连接请求，接收和处理客户端发送的消息，向客户端发送消息。
  • 客户端实现：在客户端使用WebSocket API来连接服务器，发送和接收消息。
• 代码示例

<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>WebSocket示例</title>
</head><body><script>// 创建WebSocket连接const socket = new WebSocket('ws://example.com:8080');// 连接成功后的回调socket.onopen = function () {console.log('连接成功');// 发送消息socket.send('这是客户端发送的消息');};// 接收消息的回调socket.onmessage = function (event) {console.log('收到服务器消息：', event.data);};// 连接关闭的回调socket.onclose = function () {console.log('连接关闭');};</script>
</body></html>

const WebSocket = require('ws');// 创建WebSocket服务器
const wss = new WebSocket.Server({ port: 8080 });wss.on('connection', function (ws) {console.log('有客户端连接');// 接收客户端消息ws.on('message', function (message) {console.log('收到客户端消息：', message);// 向客户端发送消息ws.send('这是服务器回复的消息');});// 客户端关闭连接的处理ws.on('close', function () {console.log('客户端连接关闭');});
});

postMessage

• 原理：HTML5的postMessage API允许在不同源的窗口之间进行安全的跨域通信。比如在一个网页中嵌入了另一个不同源的iframe，就可以通过postMessage来实现它们之间的通信。
• 实现步骤
  • 发送消息：在发送消息的窗口中，使用postMessage方法发送消息，指定要发送的数据和目标窗口的源。
  • 接收消息：在接收消息的窗口中，监听message事件，在事件回调中处理接收到的消息。
• 代码示例

<!-- 主页面 -->
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>主页面</title>
</head><body><iframe id="myFrame" src="http://example.com/iframe.html"></iframe><script>const iframe = document.getElementById('myFrame');// 向iframe发送消息iframe.contentWindow.postMessage('这是主页面发送的消息', 'http://example.com');// 接收来自iframe的消息window.addEventListener('message', function (event) {if (event.origin === 'http://example.com') {console.log('收到iframe的消息：', event.data);}});</script>
</body></html>

<!-- iframe页面 -->
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>iframe页面</title>
</head><body><script>// 接收来自主页面的消息window.addEventListener('message', function (event) {if (event.origin === 'http://main.com') {console.log('收到主页面的消息：', event.data);// 向主页面发送回复消息window.parent.postMessage('这是iframe页面的回复', 'http://main.com');}});</script>
</body></html>

如何在前后端分离的项目中处理跨域问题？
在前后端分离的项目里，处理跨域问题主要有在前端处理和在后端处理两种思路，以下是一些常见的方法及具体做法：

前端处理

• 使用代理服务器
  • 原理：利用开发服务器提供的代理功能，将前端对后端接口的请求转发到真实的后端服务器地址，让浏览器以为所有请求都在同一个域内，从而避开浏览器的跨域限制。
  • 操作：以Vue项目为例，在vue.config.js文件中可以进行如下配置：

module.exports = {devServer: {proxy: {'/api': {target: 'http://backendserver.com', // 后端服务器地址changeOrigin: true,pathRewrite: {'^/api': '' // 重写路径，去除/api前缀}}}}
};

- **效果**：这样配置后，前端代码中所有以`/api`开头的请求都会被代理到`http://backendserver.com`，就像请求本地资源一样，解决了跨域问题。

后端处理

• CORS（跨域资源共享）
  • 原理：服务器通过设置特定的响应头，告诉浏览器哪些域名的前端页面可以访问它的资源，以及允许使用哪些HTTP方法、请求头字段等，让浏览器能够判断这个跨域请求是否合法。
  • 操作：以使用Express框架的Node.js后端为例，可以这样设置：

const express = require('express');
const app = express();// 设置允许跨域访问该服务的域名
app.use((req, res, next) => {res.setHeader('Access-Control-Allow-Origin', 'http://frontend.com'); // 替换为前端域名res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');res.setHeader('Access-Control-Allow-Headers', 'Content-Type');next();
});// 处理请求的路由
app.get('/data', (req, res) => {// 返回数据res.json({ message: '这是来自服务器的数据' });
});const port = 3000;
app.listen(port, () => {console.log(`服务器在端口 ${port} 上运行`);
});

- **效果**：上述代码设置了允许`http://frontend.com`这个域名的前端页面访问后端的`/data`接口，并且允许使用`GET`、`POST`、`PUT`、`DELETE`这些HTTP方法，请求头中可以包含`Content-Type`字段。

• JSONP
  • 原理：利用<script>标签不受同源策略限制的特点，通过动态创建<script>标签来请求跨域数据，服务器返回的是一段JavaScript代码，通常是一个函数调用，把数据作为参数传递给这个函数，前端通过定义这个函数来处理接收到的数据。
  • 操作：后端代码示例（以Express为例）：

const express = require('express');
const app = express();app.get('/data.jsonp', (req, res) => {const callback = req.query.callback;const data = { message: '这是来自服务器的JSONP数据' };// 将数据包装成函数调用的形式返回res.send(`${callback}(${JSON.stringify(data)})`);
});const port = 3000;
app.listen(port, () => {console.log(`服务器在端口 ${port} 上运行`);
});

- **效果**：前端页面可以通过以下方式请求数据：

<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>JSONP示例</title>
</head><body><script>function handleData(data) {console.log(data.message);}// 动态创建script标签const script = document.createElement('script');script.src = 'http://backendserver.com/data.jsonp?callback=handleData';document.head.appendChild(script);</script>
</body></html>

上述代码中，前端通过动态创建<script>标签，请求后端的/data.jsonp接口，并指定callback参数为handleData，后端将数据包装成handleData({ message: '这是来自服务器的JSONP数据' })的形式返回，前端的handleData函数就可以接收到并处理数据。不过要注意，JSONP只支持GET请求。