同源：協(xié)議、域名、端口相同

跨域通信： js進行DOM操作，通信時如果目標與當前窗口不滿足同源條件，瀏覽器為了安全阻止跨域操作。

跨域通信通常有以下方法

CORS
JSONP
使用iframe 配置document.domain和window.name
H5的window.postMessage
websocket
單向通信
Ngnix代理
Node中間件
webpack.config.js || package.json

二、為什么瀏覽器要限制跨域訪問呢？

原因就是安全問題：如果一個網(wǎng)頁可以隨意地訪問另外一個網(wǎng)站的資源，那么就有可能在客戶完全不知情的情況下出現(xiàn)安全問題。比如下面的操作就有安全問題：

1. 用戶訪問www.mybank.com ，登陸并進行網(wǎng)銀操作，這時cookie啥的都生成并存放在瀏覽器
2. 用戶突然想起件事，并迷迷糊糊地訪問了一個邪惡的網(wǎng)站 www.xiee.com
3. 這時該網(wǎng)站就可以在它的頁面中，拿到銀行的cookie，比如用戶名，登陸token等，然后發(fā)起對www.mybank.com 的操作。
4. 如果這時瀏覽器不予限制，并且銀行也沒有做響應(yīng)的安全處理的話，那么用戶的信息有可能就這么泄露了。

三、為什么要跨域？

既然有安全問題，那為什么又要跨域呢？ 有時公司內(nèi)部有多個不同的子域，比如一個是location.company.com ,而應(yīng)用是放在app.company.com , 這時想從 app.company.com去訪問 location.company.com 的資源就屬于跨域。

四、解決跨域問題的方法

（1）跨域資源共享（CORS）

CORS（Cross-Origin Resource Sharing）跨域資源共享，定義了必須在訪問跨域資源時，瀏覽器與服務(wù)器應(yīng)該如何溝通。CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進行溝通，從而決定請求或響應(yīng)是應(yīng)該成功還是失敗。

服務(wù)器端對于CORS的支持，主要就是通過設(shè)置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應(yīng)的設(shè)置，就可以允許Ajax進行跨域的訪問。

只需要在后臺中加上響應(yīng)頭來允許域請求！在被請求的Response header中加入以下設(shè)置，就可以實現(xiàn)跨域訪問了！

//指定允許其他域名訪問
'Access-Control-Allow-Origin:*'//或指定域
//響應(yīng)類型
'Access-Control-Allow-Methods:GET,POST'
//響應(yīng)頭設(shè)置
'Access-Control-Allow-Headers:x-requested-with,content-type'

（2）通過jsonp跨域

JSONP是JSON with Padding（填充式j(luò)son）的簡寫，是應(yīng)用JSON的一種新方法，只不過是被包含在函數(shù)調(diào)用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由兩部分組成：回調(diào)函數(shù)和數(shù)據(jù)。回調(diào)函數(shù)是當響應(yīng)到來時應(yīng)該在頁面中調(diào)用的函數(shù)，而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)。

JSONP的原理：通過script標簽引入一個js文件，這個js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。（即用javascript動態(tài)加載一個script文件，同時定義一個callback函數(shù)給script執(zhí)行而已。）

在js中，我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時，是不可以的。但是，在頁面上引入不同域上的js腳本文件卻是可以的，jsonp正是利用這個特性來實現(xiàn)的。 例如：

有個a.html頁面，它里面的代碼需要利用ajax獲取一個不同域上的json數(shù)據(jù)，假設(shè)這個json數(shù)據(jù)地址是http://example.com/data.php,那么a.html中的代碼就可以這樣：

<script type="text/javascript">
    function dosomething(jsondata){
        //處理獲得的json數(shù)據(jù)
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。

<?php
$callback = $_GET['callback'];//得到回調(diào)函數(shù)名
$data = array('a','b','c');//要返回的數(shù)據(jù)
echo $callback.'('.json_encode($data).')';//輸出
?>

最終，輸出結(jié)果為：dosomething(['a','b','c']);

image

如果你的頁面使用jquery，那么通過它封裝的方法就能很方便的來進行jsonp操作了。

<script type="text/javascript">
    $.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
        //處理獲得的json數(shù)據(jù)
    });
</script>

jquery會自動生成一個全局函數(shù)來替換callback=?中的問號，之后獲取到數(shù)據(jù)后又會自動銷毀，實際上就是起一個臨時代理函數(shù)的作用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。

JSONP的優(yōu)缺點

JSONP的優(yōu)點是：它不像XMLHttpRequest對象實現(xiàn)的Ajax請求那樣受到同源策略的限制；它的兼容性更好，在更加古老的瀏覽器中都可以運行，不需要XMLHttpRequest或ActiveX的支持；并且在請求完畢后可以通過調(diào)用callback的方式回傳結(jié)果。

JSONP的缺點則是：它只支持GET請求而不支持POST等其它類型的HTTP請求；它只支持跨域HTTP請求這種情況，不能解決不同域的兩個頁面之間如何進行JavaScript調(diào)用的問題。

CORS和JSONP對比

CORS與JSONP相比，無疑更為先進、方便和可靠。

    1、 JSONP只能實現(xiàn)GET請求，而CORS支持所有類型的HTTP請求。

    2、 使用CORS，開發(fā)者可以使用普通的XMLHttpRequest發(fā)起請求和獲得數(shù)據(jù)，比起JSONP有更好的錯誤處理。

    3、 JSONP主要被老的瀏覽器支持，它們往往不支持CORS，而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS）。

（3）通過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的交互操作的。
不同的框架之間是可以獲取window對象的，但卻無法獲取相應(yīng)的屬性和方法。比如，有一個頁面，它的地址是http://www.example.com/a.html ， 在這個頁面里面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它里面的iframe框架是不同域的，所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的：

<script type="text/javascript">
    function test(){
        var iframe = document.getElementById('ifame');
        var win = document.contentWindow;//可以獲取到iframe里的window對象，但該window對象的屬性和方法幾乎是不可用的
        var doc = win.document;//這里獲取不到iframe里的document對象
        var name = win.name;//這里同樣獲取不到window對象的name屬性
    }
</script>
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>

這個時候，document.domain就可以派上用場了，我們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是，document.domain的設(shè)置是有限制的，我們只能把document.domain設(shè)置成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 可以設(shè)成a.b.example.com、b.example.com 、example.com中的任意一個，但是不可以設(shè)成 c.a.b.example.com,因為這是當前域的子域，也不可以設(shè)成baidu.com,因為主域已經(jīng)不相同了。

1.在頁面 http://www.example.com/a.html 中設(shè)置document.domain:

<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
    document.domain = 'example.com';//設(shè)置成主域
    function test(){
        alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 對象
    }
</script>

2.在頁面 http://example.com/b.html 中也設(shè)置document.domain:

<script type="text/javascript">
    document.domain = 'example.com';//在iframe載入這個頁面也設(shè)置document.domain，使之與主頁面的document.domain相同
</script>

修改document.domain的方法只適用于不同子域的框架間的交互。

（4）使用window.name來進行跨域

window對象有個name屬性，該屬性有個特征：即在一個窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個window.name的，每個頁面對window.name都有讀寫的權(quán)限，window.name是持久存在一個窗口載入過的所有頁面中的，并不會因新頁面的載入而進行重置。

比如：有一個頁面a.html,它里面有這樣的代碼：

image

再看看b.html頁面的代碼：

image

a.html頁面載入后3秒，跳轉(zhuǎn)到了b.html頁面，結(jié)果為：

image

我們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設(shè)置的值。如果在之后所有載入的頁面都沒對window.name進行修改的話，那么所有這些頁面獲取到的window.name的值都是a.html頁面設(shè)置的那個值。當然，如果有需要，其中的任何一個頁面都可以對window.name的值進行修改。注意，window.name的值只能是字符串的形式，這個字符串的大小最大能允許2M左右甚至更大的一個容量，具體取決于不同的瀏覽器，但一般是夠用了。

上面的例子中，我們用到的頁面a.html和b.html是處于同一個域的，但是即使a.html與b.html處于不同的域中，上述結(jié)論同樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎么樣通過window.name來跨域獲取數(shù)據(jù)的。還是舉例說明。

比如有一個www.example.com/a.html頁面,需要通過a.html頁面里的js來獲取另一個位于不同域上的頁面www.cnblogs.com/data.html里的數(shù)據(jù)。

data.html頁面里的代碼很簡單，就是給當前的window.name設(shè)置一個a.html頁面想要得到的數(shù)據(jù)值。data.html里的代碼：

image

那么在a.html頁面中，我們怎么把data.html頁面載入進來呢？顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面，因為我們想要即使a.html頁面不跳轉(zhuǎn)也能得到data.html里的數(shù)據(jù)。答案就是在a.html頁面中使用一個隱藏的iframe來充當一個中間人角色，由iframe去獲取data.html的數(shù)據(jù)，然后a.html再去得到iframe獲取到的數(shù)據(jù)。

充當中間人的iframe想要獲取到data.html的通過window.name設(shè)置的數(shù)據(jù)，只需要把這個iframe的src設(shè)為www.cnblogs.com/data.html就行了。然后a.html想要得到iframe所獲取到的數(shù)據(jù)，也就是想要得到iframe的window.name的值，還必須把這個iframe的src設(shè)成跟a.html頁面同一個域才行，不然根據(jù)前面講的同源策略，a.html是不能訪問到iframe里的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

image

上面的代碼只是最簡單的原理演示代碼，你可以對使用js封裝上面的過程，比如動態(tài)的創(chuàng)建iframe,動態(tài)的注冊各種事件等等，當然為了安全，獲取完數(shù)據(jù)后，還可以銷毀作為代理的iframe。網(wǎng)上也有很多類似的現(xiàn)成代碼，有興趣的可以去找一下。

通過window.name來進行跨域，就是這樣子的。

（5）使用HTML5的window.postMessage方法跨域

window.postMessage(message,targetOrigin) 方法是html5新引進的特性，可以使用它來向其它的window對象發(fā)送消息，無論這個window對象是屬于同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

調(diào)用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數(shù)message為要發(fā)送的消息，類型只能為字符串；第二個參數(shù)targetOrigin用來限定接收消息的那個window對象所在的域，如果不想限定域，可以使用通配符 * 。

需要接收消息的window對象，可是通過監(jiān)聽自身的message事件來獲取傳過來的消息，消息內(nèi)容儲存在該事件對象的data屬性中。

上面所說的向其他window對象發(fā)送消息，其實就是指一個頁面有幾個框架的那種情況，因為每一個框架都有一個window對象。在討論第二種方法的時候，我們說過，不同域的框架間是可以獲取到對方的window對象的，而且也可以使用window.postMessage這個方法。下面看一個簡單的示例，有兩個頁面

image

image

我們運行a頁面后得到的結(jié)果:

image

我們看到b頁面成功的收到了消息。

使用postMessage來跨域傳送數(shù)據(jù)還是比較直觀和方便的，但是缺點是IE6、IE7不支持，所以用不用還得根據(jù)實際需要來決定。

適用場景： 所有瀏覽器創(chuàng)建口，包括iframe
安全性： 監(jiān)聽onmessage判斷event.origin來源，決定是否接受

（6）web sockets

web sockets是一種瀏覽器的API，它的目標是在一個單獨的持久連接上提供全雙工、雙向通信。(同源策略對web sockets不適用)

web sockets原理：在js創(chuàng)建了web socket之后，會有一個HTTP請求發(fā)送到瀏覽器以發(fā)起連接。取得服務(wù)器響應(yīng)后，建立的連接會使用HTTP升級從HTTP協(xié)議交換為web sockt協(xié)議。

只有在支持web socket協(xié)議的服務(wù)器上才能正常工作。

var ws = new WebSocket('ws://127.0.0.1:8080/url'); //新建一個WebSocket對象，注意服務(wù)器端的協(xié)議必須為“ws://”或“wss://”，其中ws開頭是普通的websocket連接，wss是安全的websocket連接，類似于https。
ws.onopen = function() {
    // 連接被打開時調(diào)用
};
ws.onerror = function(e) {
    // 在出現(xiàn)錯誤時調(diào)用，例如在連接斷掉時
};
ws.onclose = function() {
    // 在連接被關(guān)閉時調(diào)用
};
ws.onmessage = function(msg) {
    // 在服務(wù)器端向客戶端發(fā)送消息時調(diào)用
    // msg.data包含了消息
};
// 這里是如何給服務(wù)器端發(fā)送一些數(shù)據(jù)
ws.send('some data');
// 關(guān)閉套接口
ws.close();

模擬真實場景

1.）前端代碼：

<div>user input：<input type="text"></div>
<script src="./socket.io.js"></script>
<script>
var socket = io('http://www.domain2.com:8080');

// 連接成功處理
socket.on('connect', function() {
    // 監(jiān)聽服務(wù)端消息
    socket.on('message', function(msg) {
        console.log('data from server: ---> ' + msg); 
    });

    // 監(jiān)聽服務(wù)端關(guān)閉
    socket.on('disconnect', function() { 
        console.log('Server socket has closed.'); 
    });
});

document.getElementsByTagName('input')[0].onblur = function() {
    socket.send(this.value);
};
</script>

2.）Nodejs socket后臺：

var http = require('http');
var socket = require('socket.io');

// 啟http服務(wù)
var server = http.createServer(function(req, res) {
    res.writeHead(200, {
        'Content-type': 'text/html'
    });
    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');

// 監(jiān)聽socket連接
socket.listen(server).on('connection', function(client) {
    // 接收信息
    client.on('message', function(msg) {
        client.send('hello：' + msg);
        console.log('data from client: ---> ' + msg);
    });

    // 斷開處理
    client.on('disconnect', function() {
        console.log('Client socket has closed.'); 
    });
});

（7）圖像ping（單向）

1、什么是圖像ping： 

    圖像ping是與服務(wù)器進行簡單、單向的跨域通信的一種方式，請求的數(shù)據(jù)是通過查詢字符串的形式發(fā)送的，而相應(yīng)可以是任意內(nèi)容，但通常是像素圖或204相應(yīng)（No Content）。 圖像ping有兩個主要缺點：首先就是只能發(fā)送get請求，其次就是無法訪問服務(wù)器的響應(yīng)文本。

2、使用方法：

var img = new Image();
img.onload = img.onerror = function(){
alert("done!");
};
img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg";
document.body.insertBefore(img,document.body.firstChild);

然后頁面上就可以顯示我放在我的github上某個地方的照片啦。

與<img>類似的可以跨域內(nèi)嵌資源的還有:

(1)<script src=""></script>標簽嵌入跨域腳本。語法錯誤信息只能在同源腳本中捕捉到。上面jsonp也用到了呢。
(2) <link src="">標簽嵌入CSS。由于CSS的松散的語法規(guī)則，CSS的跨域需要一個設(shè)置正確的Content-Type消息頭。不同瀏覽器有不同的限制： IE, Firefox, Chrome, Safari 和 Opera。
(3)<video> 和 <audio>嵌入多媒體資源。
(4)<object>, <embed> 和 <applet>的插件。
(5)@font-face引入的字體。一些瀏覽器允許跨域字體（ cross-origin fonts），一些需要同源字體（same-origin fonts）。
(6) <frame> 和 <iframe>載入的任何資源。站點可以使用X-Frame-Options消息頭來阻止這種形式的跨域交互

（7）nginx代理跨域

1、 nginx配置解決iconfont跨域

瀏覽器跨域訪問js、css、img等常規(guī)靜態(tài)資源被同源策略許可，但iconfont字體文件(eot|otf|ttf|woff|svg)例外，此時可在nginx的靜態(tài)資源服務(wù)器中加入以下配置。

location / {
  add_header Access-Control-Allow-Origin *;
}

2、 nginx反向代理接口跨域

跨域原理： 同源策略是瀏覽器的安全策略，不是HTTP協(xié)議的一部分。服務(wù)器端調(diào)用HTTP接口只是使用HTTP協(xié)議，不會執(zhí)行JS腳本，不需要同源策略，也就不存在跨越問題。

實現(xiàn)思路：通過nginx配置一個代理服務(wù)器（域名與domain1相同，端口不同）做跳板機，反向代理訪問domain2接口，并且可以順便修改cookie中domain信息，方便當前域cookie寫入，實現(xiàn)跨域登錄。

nginx具體配置：

#proxy服務(wù)器
server {
    listen       81;
    server_name  www.domain1.com;

    location / {
        proxy_pass   http://www.domain2.com:8080;  #反向代理
        proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
        index  index.html index.htm;

        # 當用webpack-dev-server等中間件代理接口訪問nignx時，此時無瀏覽器參與，故沒有同源限制，下面的跨域配置可不啟用
        add_header Access-Control-Allow-Origin http://www.domain1.com;  #當前端只跨域不帶cookie時，可為*
        add_header Access-Control-Allow-Credentials true;
    }
}

1.) 前端代碼示例：

var xhr = new XMLHttpRequest();

// 前端開關(guān)：瀏覽器是否讀寫cookie
xhr.withCredentials = true;

// 訪問nginx中的代理服務(wù)器
xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);
xhr.send();

2.) Nodejs后臺示例：

var http = require('http');
var server = http.createServer();
var qs = require('querystring');

server.on('request', function(req, res) {
    var params = qs.parse(req.url.substring(2));

    // 向前臺寫cookie
    res.writeHead(200, {
        'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'   // HttpOnly:腳本無法讀取
    });

    res.write(JSON.stringify(params));
    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');

（8） Nodejs中間件代理跨域

node中間件實現(xiàn)跨域代理，原理大致與nginx相同，都是通過啟一個代理服務(wù)器，實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，也可以通過設(shè)置cookieDomainRewrite參數(shù)修改響應(yīng)頭中cookie中域名，實現(xiàn)當前域的cookie寫入，方便接口登錄認證

(1)1、 非vue框架的跨域（2次跨域）

利用node + express + http-proxy-middleware搭建一個proxy服務(wù)器。

1.）前端代碼示例

var xhr = new XMLHttpRequest();

// 前端開關(guān)：瀏覽器是否讀寫cookie
xhr.withCredentials = true;

// 訪問http-proxy-middleware代理服務(wù)器
xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);
xhr.send();

2.）中間件服務(wù)器：

var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();

app.use('/', proxy({
    // 代理跨域目標接口
    target: 'http://www.domain2.com:8080',
    changeOrigin: true,

    // 修改響應(yīng)頭信息，實現(xiàn)跨域并允許帶cookie
    onProxyRes: function(proxyRes, req, res) {
        res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
        res.header('Access-Control-Allow-Credentials', 'true');
    },

    // 修改響應(yīng)信息中的cookie域名
    cookieDomainRewrite: 'www.domain1.com'  // 可以為false，表示不修改
}));

app.listen(3000);
console.log('Proxy server is listen at port 3000...');

3.）Nodejs后臺同（(7)：nginx）

2、 vue框架的跨域（1次跨域）

利用node + webpack + webpack-dev-server代理接口跨域。在開發(fā)環(huán)境下，由于vue渲染服務(wù)和接口代理服務(wù)都是webpack-dev-server同一個，所以頁面與代理接口之間不再跨域，無須設(shè)置headers跨域信息了。

webpack.config.js部分配置

    devServer: {
        proxy: {
          // 凡是 `/api` 開頭的 http 請求，都會被代理到 localhost:3000 上，由 koa 提供 mock 數(shù)據(jù)。
          // koa 代碼在 ./mock 目錄中，啟動命令為 npm run mock
          '/api': {
            target: 'http://localhost:3000',
            secure: false
          }
        },
        contentBase: "./public", //本地服務(wù)器所加載的頁面所在的目錄
        colors: true, //終端中輸出結(jié)果為彩色
        historyApiFallback: true, //不跳轉(zhuǎn)
        inline: true, //實時刷新
        hot: true  // 使用熱加載插件 HotModuleReplacementPlugin
    }

其實，也可以直接配置package.json中的proxy，參考create-react-app官方

  "proxy": {
      "/api": {
        "target": "http://localhost:4000",
        "secure": false
      }
  }

如果您需要指定多個代理，您可以通過指定其他條目來完成。匹配是正則表達式，因此您可以使用正則表達式來匹配多個路徑。

{
  // ...
  "proxy": {
    // Matches any request starting with /api
    "/api": {
      "target": "<url_1>",
      "ws": true
      // ...
    },
    // Matches any request starting with /foo
    "/foo": {
      "target": "<url_2>",
      "ssl": true,
      "pathRewrite": {
        "^/foo": "/foo/beta"
      }
      // ...
    },
    // Matches /bar/abc.html but not /bar/sub/def.html
    "/bar/[^/]*[.]html": {
      "target": "<url_3>",
      // ...
    },
    // Matches /baz/abc.html and /baz/sub/def.html
    "/baz/.*/.*[.]html": {
      "target": "<url_4>"
      // ...
    }
  }
  // ...
}

JS中的跨域問題
淺談WEB跨域的實現(xiàn)（前端向）
前端常見跨域解決方案（全）