如果你在開發網站時曾經嘗試通過框架或是瀏覽器的 fetch、XHR 請求過外部 API 的話,那麼一定遇到過跨域請求,還有那個觸目驚心的 CORS 錯誤信息;今天咱們來討論跨域問題的原因以及解決方法。
跨域請求
如果你沒有沒有遇過,可以試著在瀏覽器的 console 頁輸入下面的代碼:
這段代碼通過調用瀏覽器的 XMLHttpRequest 對 Google 發出請求,而得到的結果如圖所示:
這就是跨域請求問題,當通過 JavaScript 對不同的來源發送請求時,這個請求的響應就會被瀏覽器攔截,不交給 JavaScript 處理。這裡的「不同來源」指的是目標資源與當前網頁的域(domain)、通訊協議(protocol)或網絡埠(port)只要有任一項不同,就算是不同來源。例如下面這幾個例子:
理解什麼是跨域了,那為什麼瀏覽器要把跨域請求資源攔截掉呢?
其實這是考慮到用戶的信息安全。
假設小黑是一個惡意開發者,他編寫的網站會嘗試通過 XHR 打向百度、微博等目標網站;如果使用者原先就有目標網站的登錄狀態,小黑便能窺探他的隱私,得到不該取得的數據。再想想看,如果目標網站換成 Email、銀行、電商,如果沒有瀏覽器限制跨域請求的保護,惡意開發者便能為所欲為。
注意:跨域請求雖然會被瀏覽器攔截下來,但攔截的是響應(Response)而不是請求(Request)。
解決方案
關於跨域請求的解決方案有很多,例如 JSONP,也就是通過 HTML 中沒有跨域限制的標籤如 img、script 等,再通過指定回調函數,將響應的內容介接回 JavaScript 中;或是通過 iframe,繞過跨域保護獲取目標資源等。下面僅說明兩種常見也相對正規的解決方式。
1. CORS
最標準、正確的解決方法是通過 W3C 規範 的「 跨域資源共享(Cross-Origin Resource Sharing ,CORS)」,通過伺服器在 HTTP 頭中的設置,可以使瀏覽器能夠獲取不同來源的資源。
CORS 規範中,清楚定義了跨域存取控制的運作方式。
首先伺服器端需要在響應頭中加上如 Access-Control-Allow-Origin、Access-Control-Request-Method、Access-Control-Request-Headers 等設定,來限制伺服器所能接受的來源、請求的方法、可攜帶的頭等等。
當瀏覽器發送資源請求時,如果是簡單請求便會直接送出請求;若不符合前述條件,則會通過預檢(Preflighted)請求先敲敲門,確認是否可以通過伺服器的限制,然後才會發送正式的請求。
CORS 除了上述內容外,也有關於 Cookies 的傳送方式,如何允許跨域寫入 Cookies 等內容。
2. 代理伺服器
由於 CORS 的頭設置是在伺服器端,如果伺服器是自己的,那麼可以輕易的調整伺服器設置,讓前端能取得必要的資源;但如果你請求的是外部 API,總不能每次遇到 CORS 錯誤,就要求別人去修改頭設置吧。
簡單暴力的方法就是通過代理伺服器幫我們獲取資源;由於跨域保護的限制是瀏覽器的規範,只要不通過瀏覽器發送請求,自然也就不會有限制。
常見的作法是通過 nginx 做簡單的反向代理;例如在自己的開發環境,前後端分離的架構,前後端服務分別啟動在 3000 和 5000 埠,則可以用這樣的配置:
當前端需要發送 API 請求時,可以直接請求 localhost:3000/api/...,這個請求會被 nginx 攔截,並轉發給後端所在的 localhost:5000,這樣就能簡單的繞過跨域保護了。
總結
跨域是前端常見的需求,CORS 的錯誤信息也是我們很容易被卡住的地方;其實只要清楚 CORS 規範中的 HTTP 頭設置,並在伺服器端做對應的調整,就可以順利的完成跨域請求。
【責任編輯:
趙寧寧TEL:(010)68476606】