什么是跨域&跨域的解决方案

什么是同源策略？

同源是指"协议+域名+端口"三者相同。

同源策略

什么是跨域?

当协议、子域名、主域名、端口号中任意一个不相同时，都算作不同域。不同域之间相互请求资源，就算作“跨域”。

• 同源策略限制内容有：
  Cookie、LocalStorage、IndexedDB 等存储性内容
  DOM 和 Js对象无法获得
  AJAX 请求发送后，结果被浏览器拦截了

• 但是有三个标签是允许跨域加载资源：
  <img src=XXX>
  <link href=XXX>
  <script src=XXX>

• 在跨域问题上，仅仅是通过“URL的首部”来识别而不会根据域名对应的IP地址是否相同来判断。“URL的首部”可以理解为“协议, 域名和端口必须匹配。

• 请求跨域了，那么请求到底发出去没有？
  跨域并不是请求发不出去，请求能发出去，服务端能收到请求并正常返回结果，只是结果被浏览器拦截了。你可能会疑问明明通过表单的方式可以发起跨域请求，为什么 Ajax 就不会?因为归根结底，跨域是为了阻止用户读取到另一个域名下的内容，Ajax 可以获取响应，浏览器认为这不安全，所以拦截了响应。但是表单并不会获取新的内容，所以可以发起跨域请求。同时也说明了跨域并不能完全阻止 CSRF，因为请求毕竟是发出去了。

跨域的解决方案?

• 1.jsonp

• JSONP原理:
  利用 <script> 标签没有跨域限制的漏洞，网页可以得到从其他来源动态产生的 JSON 数据。JSONP请求一定需要对方的服务器做支持才可以。

• JSONP和AJAX对比
  JSONP和AJAX相同，都是客户端向服务器端发送请求，从服务器端获取数据的方式。但AJAX属于同源策略，JSONP属于非同源策略（跨域请求）

• JSONP优缺点
  JSONP优点是简单兼容性好，可用于解决主流浏览器的跨域数据访问的问题。
  缺点是仅支持get方法具有局限性,不安全可能会遭受XSS攻击。

• JSONP的实现流程:
  Web前端事先定义一个用于获取跨域响应数据的回调函数，并通过没有同源策略限制的script标签发起一个请求（将回调函数的名称放到这个请求的query参数里），然后服务端返回这个回调函数的执行，并将需要响应的数据放到回调函数的参数里，前端的script标签请求到这个执行的回调函数后会立马执行，于是就拿到了执行的响应数据。

• 2.cors

CORS 需要浏览器和后端同时支持，但实现 CORS 通信的关键还是后端。

服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源，如果设置通配符则表示所有网站都可以访问资源。

虽然设置 CORS 和前端没什么关系，但是通过这种方式解决跨域问题的话，会在发送请求时出现两种情况，分别为简单请求和复杂请求。
（1）简单请求 ：
GET：发送一个请求来取得服务器上的某一资源。
HEAD：只请求页面的首部。
POST：向URL指定的资源提交数据或附加新的数据。
且Content-Type 的值仅限于下列三者之一：
text/plain
multipart/form-data
application/x-www-form-urlencoded
（2）复杂请求：不是简单请求的都属于复杂请求。
PUT：跟POST方法很像，也是想服务器提交数据。但是，它们之间有不同。PUT指定了资源在服务器上的位置，而POST没有。
DELETE：删除服务器上的某资源。
OPTIONS：它用于获取当前URL所支持的方法。如果请求成功，会有一个Allow的头包含类似“GET,POST”这样的信息。
TRACE：该方法被用于激发一个远程的，应用层的请求消息回路。
CONNECT：把请求连接转换到透明的TCP/IP通道。

• 3.postMessage

postMessage是可以跨域操作的window属性。

用于解决以下方面的问题：
多窗口之间消息传递；
页面与嵌套的iframe消息传递；

postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信，可以实现跨文本档、多窗口、跨域消息传递。
document.getElementById('frame').contentWindow.postMessage(传递的信息, 目标路径url, 可选对象);

• 4.websocket

Websocket是HTML5的一个持久化的协议，它实现了浏览器与服务器的全双工通信，同时也是跨域的一种解决方案。WebSocket和HTTP都是应用层协议，都基于 TCP 协议。但是 WebSocket 是一种双向通信协议，在建立连接之后，WebSocket 的 server 与 client 都能主动向对方发送或接收数据。同时，WebSocket 在建立连接时需要借助 HTTP 协议，连接建立好了之后 client 与 server 之间的双向通信就与 HTTP 无关了。

• 5. Node中间件代理(两次跨域)

实现原理：同源策略是浏览器需要遵循的标准，而如果是服务器向服务器请求就无需遵循同源策略。 代理服务器，需要做以下几个步骤：

• 接受客户端请求

• 将请求 转发给服务器

• 拿到服务器 响应 数据

• 将 响应 转发给客户端
  原理

6.nginx反向代理
实现原理类似于Node中间件代理，需要你搭建一个中转nginx服务器，用于转发请求。

使用nginx反向代理实现跨域，是最简单的跨域方式。只需要修改nginx的配置即可解决跨域问题，支持所有浏览器，支持session，不需要修改任何代码，并且不会影响服务器性能。
实现思路：通过nginx配置一个代理服务器（域名与domain1相同，端口不同）做跳板机，反向代理访问domain2接口，并且可以顺便修改cookie中domain信息，方便当前域cookie写入，实现跨域登录。

参考文章：
九种跨域方式实现原理（完整版）
前端常见跨域解决方案（全）
深入跨域问题(4) - 利用代理解决跨域