前端跨域解决方案

---

1. 什么是跨域

跨域，是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器对JavaScript实施的安全限制。
说白了跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。

广义的跨域

1. 资源跳转： A链接、重定向、表单提交
2. 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链
3. 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等

其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。
那么什么是同源策略？

同源策略
同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指”协议+域名+端口”三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略限制以下几种行为：

1. Cookie、LocalStorage 和 IndexDB 无法读取
2. DOM 和 Js对象无法获得
3. AJAX 请求不能发送

2. 常见跨域场景

URL	说明	是否允许通信
http://www.aaa.com/a.js http://www.aaa.com/b.js http://www.aaa.com/lab/c.js	同一域名，不同文件或路径	允许
http://www.aaa.com:8000/a.js http://www.aaa.com/b.js	同一域名，不同端口	不允许
http://www.aaa.com/a.js https://www.aaa.com/b.js	同一域名，不同协议	不允许
http://www.aaa.com/a.js http://192.168.4.12/b.js	域名和域名对应相同ip	不允许
http://www.aaa.com/a.js http://a.aaa.com/b.js http://aaa.com/c.js	主域相同，子域不同	不允许
http://www.aaa.com/a.js http://www.bbb.com/a.js	不同域名	不允许

3. 跨域解决方案

1. 通过jsonp跨域
2. document.domain + iframe跨域
3. location.hash + iframe
4. window.name + iframe跨域
5. postMessage跨域
6. 跨域资源共享（CORS）[主流，推荐]
7. nginx代理跨域 [主流，推荐]
8. node.js中间件代理跨域[推荐]
9. WebSocket协议跨域

4. 通过解决方案实现(部分用过的方式)

1. 通过jsonp跨域

   通常为了减轻web服务器的负载，我们把js、css，img等静态资源分离到另一台独立域名的服务器上，在html页面中再通过相应的标签从不同域名下加载静态资源，而被浏览器允许，基于此原理，我们可以通过动态创建script，再请求一个带参网址实现跨域通信。
   缺点：只能实现get一种请求。

   1. 原生实现：

      var script = document.createElement('script');
      script.type = 'text/javascript';
      // 传参一个回调函数名给后端，方便后端返回时执行这个在前端定义的回调函数
      script.src = 'http://www.aaa2.com:8080/login?user=admin&callback=handleCallback';
      document.head.appendChild(script);
      // 回调执行函数
      function handleCallback(res) {
      alert(JSON.stringify(res));
      }
      // 服务端返回如下（返回时即执行全局函数）：
      handleCallback({"status": true, "user": "admin"})

   2. AJAX实现

      $.ajax({
      url: 'http://www.aaa2.com:8080/login',
      type: 'get',
      dataType: 'jsonp',  // 请求方式为jsonp
      jsonpCallback: "handleCallback",    // 自定义回调函数名
      data: {}
      });

   3. vue.js(axios)实现

      this.axios.jsonp('http://www.aaa2.com:8080/login', {
      params: {},
      jsonp: 'handleCallback'
      }).then((res) => {
      console.log(res); 
      }).catch((error) => {
      console.log(error);
      })

2. 通过document.domain + iframe跨域

   两个页面都通过js强制设置document.domain为基础主域，就实现了同域。
   缺点：此方案仅限主域相同，子域不同的跨域应用场景。

   1. 父窗口(http://www.aaa.com/a.html)：
      
   2. 子窗口(http://child.aaa.com/b.html)：

      document.domain = 'aaa.com';
      // 获取父窗口中变量
      alert('get js data from parent ---> ' + window.parent.user);

3. 通过location.hash + iframe跨域

   a欲与b跨域相互通信，通过中间页c来实现。 三个页面，不同域之间利用iframe的location.hash传值，相同域之间直接js访问来通信。
   缺点：A域：a.html -> B域：b.html -> A域：c.html，a与b不同域只能通过hash值单向通信，b与c也不同域也只能单向通信，但c与a同域，所以c可通过parent.parent访问a页面所有对象

   1. a.html：(http://www.aaa1.com/a.html)：
      
   2. b.html：(http://www.aaa2.com/b.html)：
      
   3. c.html：(http://www.aaa1.com/c.html)

      // 监听b.html传来的hash值
      window.onhashchange = function () {
      // 再通过操作同域a.html的js回调，将结果传回
      window.parent.parent.onCallback('hello: ' + location.hash.replace('#user=', ''));
      };

4. 跨域资源共享（CORS）

   普通跨域请求：只服务端设置Access-Control-Allow-Origin即可，前端无须设置，若要带cookie请求：前后端都需要设置。
   目前，所有浏览器都支持该功能(IE8+：IE8/9需要使用XDomainRequest对象来支持CORS）)，CORS也已经成为主流的跨域解决方案。
   注意：由于同源策略的限制，所读取的cookie为跨域请求接口所在域的cookie，而非当前页。如果想实现当前页cookie的写入，可参考下文nginx反向代理中设置proxy_cookie_domain和NodeJs中间件代理中cookieDomainRewrite参数的设置。

   1. 原生ajax：(前端设置)：

      // 前端设置是否带cookie
      xhr.withCredentials = true;

   2. 示例代码

      var xhr = new XMLHttpRequest(); // IE8/9需用window.XDomainRequest兼容
      // 前端设置是否带cookie
      xhr.withCredentials = true;
      xhr.open('post', 'http://www.domain2.com:8080/login', true);
      xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
      xhr.send('user=admin');
      xhr.onreadystatechange = function() {
      if (xhr.readyState == 4 && xhr.status == 200) {
      alert(xhr.responseText);
      }
      };

   3. vue.js实现

      // axios
      axios.defaults.withCredentials = true
      // vue-resource
      Vue.http.options.credentials = true

5. nginx反向代理接口跨域

   同源策略是浏览器的安全策略，不是HTTP协议的一部分。服务器端调用HTTP接口只是使用HTTP协议，不会执行JS脚本，不需要同源策略，也就不存在跨越问题。
   通过nginx配置一个代理服务器（域名与domain1相同，端口不同）做跳板机，反向代理访问domain2接口，并且可以顺便修改cookie中domain信息，方便当前域cookie写入，实现跨域登录。

   1. nginx具体配置：

      // proxy服务器
      server {
      listen       81;
      server_name  www.aaa1.com;
      location / {
        proxy_pass   http://www.aaa2.com:8080;  // 反向代理
        proxy_cookie_domain www.aaa2.com www.aaa1.com; // 修改cookie里域名
        index  index.html index.htm;
        // 当用webpack-dev-server等中间件代理接口访问nignx时，此时无浏览器参与，故没有同源限制，下面的跨域配置可不启用
        add_header Access-Control-Allow-Origin http://www.aaa1.com;  // 当前端只跨域不带cookie时，可为*
        add_header Access-Control-Allow-Credentials true;
      }
      }

   2. 前端代码示例：

      var xhr = new XMLHttpRequest();
      // 前端开关：浏览器是否读写cookie
      xhr.withCredentials = true;
      // 访问nginx中的代理服务器
      xhr.open('get', 'http://www.aaa1.com:81/?user=admin', true);
      xhr.send();

6. Nodejs代理跨域

   这里只说明vue框架跨域（1次跨域）
   利用node + webpack + webpack-dev-server代理接口跨域。在开发环境下，由于vue渲染服务和接口代理服务都是webpack-dev-server同一个，所以页面与代理接口之间不再跨域，无须设置headers跨域信息了。

   1. webpack.config.js部分配置：

      module.exports = {
      entry: {},
      module: {},
      ...
      devServer: {
        historyApiFallback: true,
        proxy: [{
          context: '/login',
          target: 'http://www.aaa2.com:8080',  // 代理跨域目标接口
          changeOrigin: true,
          secure: false,  // 当代理某些https服务报错时用
          cookieDomainRewrite: 'www.aaa1.com'  // 可以为false，表示不修改
        }],
        noInfo: true
      }
      }