哈喽小伙伴们大家好!新的一周开始啦~距离2024年结束也仅有两个月了,不知道大家年初给自己制定的目标实现了多少?不管怎样,接下来的两个月都请继续加油哦!我们坚持下来了,我们就是最棒的!
今天,继续来给大家分享一道面试题
在开发中,我们经常会遇到跨域的问题,尤其是开发前后端分离的项目,大家有没有想过为什么会出现跨域呢?
简单的来给大家举个例子
你要跟qq的一个人发消息,但是你没有添加他的好友,那么你们能直接进行交流吗?肯定是不能的
那你们后来添加了好友,但是你是在线的一个状态(这是在线指的是网络连接正常),而你的好朋友是离线的状态,那么尽管你发了消息,对方能收到吗?
那如果以上两个条件都满足了,你是qq发的消息,对方微信能收到吗?显然不能
那么,同理,我们来看看软件开发中的跨域
什么是跨域?
跨域(Cross-Origin Resource Sharing,CORS)是指浏览器在执行 AJAX 请求时,由于安全原因,对不同源(协议、域名或端口不同)之间的请求做出了限制。这种限制被称为同源策略(Same-Origin Policy),它防止一个域的文档或脚本与另一个域的资源进行交互。
为什么需要跨域?
同源策略是为了防止恶意文档获取对另一个域的敏感数据。例如,如果一个网站可以读取另一个网站的内容,那么它可能会读取用户的私人信息,如银行账户信息。
跨域问题的常见场景
-
**前端请求API**:当你的前端应用尝试从一个不同的域(如第三方API)获取数据时。
-
**前后端分离**:前端和后端部署在不同的域上。
-
**单页面应用(SPA)**:SPA框架(如React、Vue、Angular)通常需要从后端API获取数据。
怎么解决跨域?
- **CORS响应头**:
-
服务器可以在响应头中设置`Access-Control-Allow-Origin`来指定哪些源可以访问资源。
-
例如,`Access-Control-Allow-Origin: *`允许所有域访问,或者指定具体的源,如`Access-Control-Allow-Origin: https://example.com`。
- **JSONP(已过时)**:
-
JSONP(JSON with Padding)是一种早期的解决方案,通过`<script>`标签绕过同源策略。
-
由于安全性问题和限制,JSONP已被CORS取代。
- **代理服务器**:
-
在前端和后端之间设置一个代理服务器,所有前端请求先发送到代理服务器,然后由代理服务器转发到目标服务器。
-
这种方式可以隐藏后端服务的实际地址,并且可以处理跨域问题。
- **文档.domain**:
- 如果两个域名属于同一个主域(例如`sub1.example.com`和`sub2.example.com`),可以通过设置`document.domain`来允许它们之间的交互。
- **窗口消息(Window.postMessage)**:
- 使用`window.postMessage`方法在不同源的窗口之间安全地传递消息。
- **CORS Anywhere(Node.js代理)**:
- 使用Node.js创建一个代理服务,如CORS Anywhere,它可以在开发环境中临时解决跨域问题。
- **浏览器插件**:
- 对于开发和测试目的,可以使用浏览器插件来禁用同源策略。
好啦,今天的分享就到这里,我是程序媛小李,一位正在往全栈方向发展的前端小姐姐,希望今天的分享对你有帮助,我们下期再见!