跨域及解决方案

teeeeeeemo2025-08-16 12:14

跨域(Cross-Origin)是指浏览器在执行 JavaScript 的时候,因为同源策略(Same-Origin Policy)的限制,阻止了一个网页去请求不同源(域名、端口、协议有任意一个不同)的资源。

1. 什么是同源策略?

  • 同源指:
  • 必须全部相同才算同源。
  • 只要有一个不同,就算跨域。

例子:

javascript 复制代码 
当前页面地址:http://www.a.com:8080
以下都是跨域:
1. http://www.b.com:8080    // 不同域名
2. https://www.a.com:8080   // 不同协议
3. http://www.a.com:8081    // 不同端口

2. 跨域是如何造成的?

  • 跨域的根本原因是浏览器的安全限制。
  • 浏览器为了防止恶意网站窃取数据,不允许前端脚本直接读取其他源的响应数据。

注意:跨域限制只存在于浏览器端的 Ajax/Fetch 请求,后端请求(比如 Node.js 调用接口)是没有跨域限制的。

3. 前端开发常见跨域解决方案

  • 方案 1:CORS(最常用)
    • 核心原理:后端在响应头中加 Access-Control-Allow-Origin 等字段,告诉浏览器允许该域访问。

示例:

javascript 复制代码 
Access-Control-Allow-Origin: http://www.a.com
Access-Control-Allow-Methods: GET,POST,PUT,DELETE
Access-Control-Allow-Headers: Content-Type
  • 优点:标准、安全、灵活。
  • 缺点:需要后端配合。
  • 方案 2:JSONP(老旧方法,只支持 GET)
    • 原理:利用 <script>标签不受同源策略限制的特性,通过回调函数接收数据。

示例:

html 复制代码 
<script src="http://api.b.com/data?callback=handleData"></script>
<script>
function handleData(data) {
    console.log(data);
}
</script>
  • 优点:简单,不需要改浏览器。
  • 缺点:只能 GET,请求安全性低,现在基本淘汰。
  • 方案 3:反向代理(本地开发常用)
    • 原理:在本地开发服务器(如 Webpack devServer、Vite、Nginx)配置代理,把请求转发到后端,避开浏览器跨域限制。

示例(vite.config.js):

javascript 复制代码 
export default {
  server: {
    proxy: {
      '/api': {
        target: 'http://backend.com',
        changeOrigin: true,
        rewrite: path => path.replace(/^\/api/, '')
      }
    }
  }
}

示例(Nginx加 CORS 响应头):

bash 复制代码 
server {
    listen 80;
    server_name www.example.com;

    location /api/ {
        proxy_pass http://api.example.com/;
        
        # 添加 CORS 头
        add_header Access-Control-Allow-Origin *;
        add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
        add_header Access-Control-Allow-Headers 'Origin, Content-Type, Accept, Authorization';
        
        # 预检请求(OPTIONS)直接返回
        if ($request_method = OPTIONS) {
            return 204;
        }
    }
}
  • 方案 4:PostMessage / iframe
    • 原理:如果需要跨域页面之间通信,可以用 window.postMessage。
    • 用途:跨域 iframe、跨窗口通信。
  • 方案 5:跨域资源共享(特殊标签)
    • <img>, <script>, <link> 天生可以跨域加载资源,但不能直接获取内容(除非设置 CORS)。
  • 方案 6:同源策略的"放宽"
    • 修改浏览器配置(比如 Chrome 启动参数 --disable-web-security),但只建议本地调试,生产不可用。
相关推荐
阿虎儿7 分钟前
React Context 详解:从入门到性能优化
前端·vue.js·react.js
颜酱30 分钟前
理解二叉树最近公共祖先(LCA):从基础到变种解析
javascript·后端·算法
Sailing31 分钟前
🚀 别再乱写 16px 了!CSS 单位体系已经进入“计算时代”,真正的响应式布局
前端·css·面试
FansUnion1 小时前
我如何用 Next.js + Supabase + Cloudflare R2 搭建壁纸销售平台——月成本接近 $0
javascript
喝水的长颈鹿1 小时前
【大白话前端 03】Web 标准与最佳实践
前端
爱泡脚的鸡腿1 小时前
Node.js 拓展
前端·后端
左夕2 小时前
分不清apply,bind,call?看这篇文章就够了
前端·javascript
Zha0Zhun3 小时前
一个使用ViewBinding封装的Dialog
前端
兆子龙3 小时前
从微信小程序 data-id 到 React 列表性能优化:少用闭包,多用 data-*
前端
滕青山3 小时前
文本行过滤/筛选 在线工具核心JS实现
前端·javascript·vue.js
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08Window 10部署openclaw报错node.exe : npm error code 12809小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10OpenClaw大龙虾机器人完整安装教程