ajax跨域问题详解
什么是跨域前台调用后台接口的时候 ,如果请求接口和当前服务不是同一个域,则发生了跨域 如:存在两个服务,localhost:8080,localhost:8081 当前页面在服务8080端口上,但是其内部的某个方法调用了8081端口的服务,由于两个服务不在同一个域上,则发生了跨域请求 跨域请求的请求头中多一个Origin字段 何为同一个域:协议,域名,端口都一致。如上 http://localhost:8080就是一个域, http://localhost:8081是另外一个域 总言之就是一个域上的服务向另一个域的服务接口发送了请求。简单理解的话就是一个tomcat上的应用向另一个tomcat中的应用发送了请求(主要还是不同域)。 为什么发生跨域浏览器限制 后端本身是没有跨域限制的,所以发生跨域时后端返回的依然是200,(后台正常处理请求) 浏览器测出于安全限制,会对跨域请求做检查,虽然后端正常应答,但是浏览器测依然会报错,导致请求最终为失败 跨域 协议、域名、端口三要素,任何一个不同,都会产生跨域 XHR(XMLHttpRequest)请求(ajax请求) 如果发出的不是xhr请求,就算有跨域问题也不会报错 上述三个条件同时满足,才会产生跨域安全问题。 解决办法1.浏览器限制通过修改浏览器启动参数,去除安全检查,则会打破跨域问题的三要素 启动参数: --disable-web-security 2.xhr请求(jsonp解决跨域)jsonp是一种前后端的约定,解析的是js代码 ajax请求中设置dataType: jsonp即可使用 jsonp通过创建一个script,在script中把请求发出去的,用完之后script销毁 普通ajax请求的type是xhr,jsonp请求的type是script 普通ajax请求的返回类型是json对象(application/json),jsonp请求返回类型是js脚本(application/javascript) 实现方法: jsonp请求后有一个callback参数(eg:?http://a.com?callback=xxx),这里的callback是前后端的一种约定,后端发送有callback参数后就知道是jsonp请求, 然后就把返回的数据从json封装成js函数,函数名就是请求入参中callback的值,前端收到应答后,从对应的callback函数中取回里面的json数据 备注:callback字段名可以改,只要前后端达成一致即可。 jsonp的弊端 服务端需要改动代码以支持(将json的数据转换为js函数返回) 只支持get方法(script方法只能用get方法请求),即使指定post,发送的也是get 发送的不是xhr请求,所以不具有ajax的特性 总结:jsonp就是前后端的一种约定,使得前端发送的数据类型不是xhr,后端返回数据也不是json。打破了跨域请求三要素。 3.被调用方解决跨域指定允许的域(*号表示允许所有,下同),即来自这个域的请求不算跨域(这个字段是要写到应答头里给浏览器解析的) resp.addHeader("Access-Control-Allow-Origin","http://localhost:8081"); 指定允许的http方法 resp.addHeader("Access-Control-Allow-Methods","GET"); 指定允许跨域时携带Origin端的cookie resp.addHeader("Access-Control-Allow-Credentials","true"); 指定允许相应的请求头 resp.addHeader("Access-Control-Allow-Headers","Content-Type,X-My-Header"); 指定允许缓存预检命令 resp.addHeader("Access-Control-Max-Age",?"3600"); 简单请求 方法为 get、head、post 请求头里面无自定义请求头 Content-Type为以下几种: text/plain、mul.tipart/form-data、application/x-www-form-urlencode 同时满足上面三个条件的为简单请求 复杂请求 方法为put、delete的ajax请求 发送json格式的ajax请求 带自定义请求头的请求 满足上面任何一条都是非简单请求 预检命令 对于复杂请求,发生跨域时,实际浏览器会先发出一个OPTIONS预检命令给对应的服务器,然后才实际发送复杂请求 可以在请求头中设置Access-Control-Max-Age来缓存预检命令的结果 对于简单请求,浏览器直接发送请求,然后判断应答是否满足跨域请求,是否正常处理
4.调用方解决跨域使用反向代理模式,直接调用nginx或者apache,其内部做代理处理,所以调用者识别不到跨域问题。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |