51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

跨域请求产生错误的原因及处理方法

作者: 疯狂的技术宅
开发 前端
如果你在开发网站时曾经尝试通过框架或是浏览器的 fetch、XHR 请求过外部 API 的话,那么一定遇到过跨域请求,还有那个触目惊心的 CORS 错误信息;今天咱们来讨论跨域问题的原因以及解决方法。

如果你在开发网站时曾经尝试通过框架或是浏览器的 fetch、XHR 请求过外部 API 的话,那么一定遇到过跨域请求,还有那个触目惊心的 CORS 错误信息;今天咱们来讨论跨域问题的原因以及解决方法。

[[358796]]

跨域请求

如果你没有没有遇过,可以试着在浏览器的 console 页输入下面的代码:

  1. const xhr = new XMLHttpRequest() 
  2. xhr.onreadystatechange = () => { 
  3.   if (xhr.readyState === 4) { 
  4.     console.log(xhr.status === 200 ? xhr.responseText : 'error') 
  5.   } 
  7. xhr.open('GET', 'https://google.com') 
  8. xhr.send() 

这段代码通过调用浏览器的 XMLHttpRequest 对 Google 发出请求,而得到的结果如图所示:

这就是跨域请求问题,当通过 JavaScript 对不同的来源发送请求时,这个请求的响应就会被浏览器拦截,不交给 JavaScript 处理。这里的“不同来源”指的是目标资源与当前网页的域(domain)、通讯协议(protocol)或网络端口(port)只要有任一项不同,就算是不同来源。例如下面这几个例子:

  1. 假设当前用户在:https://example.com : 
  2. [✅] https://example.com/test -> 同域 
  3. [❌] https://m.example.com -> 不同域 
  4. [❌] https://example.com:3000 -> 端口不同 
  5. [❌] http://example.com -> 通讯协议不同 

理解什么是跨域了,那为什么浏览器要把跨域请求资源拦截掉呢?

其实这是考虑到用户的信息安全。

假设小黑是一个恶意开发者,他编写的网站会尝试通过 XHR 打向百度、微博等目标网站;如果使用者原先就有目标网站的登录状态,小黑便能窥探他的隐私,得到不该取得的数据。再想想看,如果目标网站换成 Email、银行、电商,如果没有浏览器限制跨域请求的保护,恶意开发者便能为所欲为。

注意:跨域请求虽然会被浏览器拦截下来,但拦截的是响应(Response)而不是请求(Request)。

解决方案

关于跨域请求的解决方案有很多,例如 JSONP,也就是通过 HTML 中没有跨域限制的标签如 img、script 等,再通过指定回调函数,将响应的内容介接回 JavaScript 中;或是通过 iframe,绕过跨域保护获取目标资源等。下面仅说明两种常见也相对正规的解决方式。

1. CORS

最标准、正确的解决方法是通过 W3C 规范 的“ 跨域资源共享(Cross-Origin Resource Sharing ,CORS)”,通过服务器在 HTTP 头中的设置,可以使浏览器能够获取不同来源的资源。

CORS 规范中,清楚定义了跨域存取控制的运作方式。

首先服务器端需要在响应头中加上如 Access-Control-Allow-Origin、Access-Control-Request-Method、Access-Control-Request-Headers 等设定,来限制服务器所能接受的来源、请求的方法、可携带的头等等。

当浏览器发送资源请求时,如果是简单请求便会直接送出请求;若不符合前述条件,则会通过预检(Preflighted)请求先敲敲门,确认是否可以通过服务器的限制,然后才会发送正式的请求。

CORS 除了上述內容外,也有关于 Cookies 的传送方式,如何允许跨域写入 Cookies 等内容。

2. 代理服务器

由于 CORS 的头设置是在服务器端,如果服务器是自己的,那么可以轻易的调整服务器设置,让前端能取得必要的资源;但如果你请求的是外部 API,总不能每次遇到 CORS 错误,就要求别人去修改头设置吧。

简单暴力的方法就是通过代理服务器帮我们获取资源;由于跨域保护的限制是浏览器的规范,只要不通过浏览器发送请求,自然也就不会有限制。

常见的作法是通过 nginx 做简单的反向代理;例如在自己的开发环境,前后端分离的架构,前后端服务分别启动在 3000 和 5000 端口,则可以用这样的配置:

  1. server{ 
  2.   listen 3000; 
  3.   server_name localhost; 
  4.   location ^~ /api { 
  5.   proxy_pass http://localhost:5000; 
  6.   } 

当前端需要发送 API 请求时,可以直接请求 localhost:3000/api/...,这个请求会被 nginx 拦截,并转发给后端所在的 localhost:5000,这样就能简单的绕过跨域保护了。

总结

跨域是前端常见的需求,CORS 的错误信息也是我们很容易被卡住的地方;其实只要清楚 CORS 规范中的 HTTP 头设置,并在服务器端做对应的调整,就可以顺利的完成跨域请求。

 

责任编辑:赵宁宁 来源: 前端先锋
跨域请求开发CORS
相关推荐
前端请求原理实践
跨域请求并非是浏览器限制了发起跨站请求,而是请求可以正常发起,到达服务器端,但是服务器返回的结果会被浏览器拦截。

2017-05-25 09:45:35

MPLS VPN实现方法特点
随着ALLIP趋势的明朗,运营商建设统一的IP承载网已经势在必行,各种业务承载在一张IP网络上,为了保证不同业务的QOS水平,业务之间的有效隔离成为大家关注的一个焦点,下面我们给大家介绍一下MPLSVPN跨域实现方法及特点。

2011-11-07 11:15:31

SVN错误如何产生解决方法专家剖析
在学习SVN的过程中,你可能会遇到SVN错误问题,那么SVN错误是如何发生的?如何解决SVN错误呢?对于这些问题本文会给你一一解答,欢迎大家一起来学习SVN错误方面的知识。

2010-06-01 15:58:14

SVN错误
迁移学习与推荐,以及解决推荐方法
迁移学习(TransferLearning,TL)是属于机器学习的一种研究领域。本文主要是详细介绍一下跨域推荐

2021-04-27 15:20:41

人工智能机器学习技术
SSD硬盘故障4个原因处理方法
尽管NVMeSSD硬盘是一种高度可靠的存储技术,但它们仍然容易发生偶发故障。以下是使SSD硬盘保持最佳状态的一些最佳做法。

2020-04-02 10:08:52

SSD硬盘存储硬盘故障
解析网站快照不更新原因处理方法
本文主要介绍了网站快照不更新的原因寄处理方法,希望对大家有帮助,一起来看。

2011-06-22 18:50:03

浏览器请求机制:CORS
CORS真正的形态是非简单请求,它不会立即发送真正的请求,而是额外发送OPTION方法的预检请求,让服务端来决定是否允许即将发送的请求。

2022-04-29 09:11:14

CORS浏览器
分享JavaScript共享方法
本文介绍的是javascript的跨域共享的方法,希望对你有帮助,一起来看。

2011-07-05 10:48:41

javascript
(CORS)产生原因分析与解决方案,这一次彻底搞懂它
本文会先从一个示例开始,分析是浏览器还是服务器的限制,之后讲解什么时候会产生预检请求,在整个过程中,也会讲解一下解决该问题的实现方法,文末会再总结如何使用Node.js中的cors模块和Nginx反向代理来解决跨域问题。

2020-08-13 07:04:45

跨域CORS浏览器
Cors(一):深入理解请求概念及其根因
本文用很长的篇幅介绍了Cors跨域资源共享的相关知识,并且用代码做了示范,希望能助你通关Cors这个狗皮膏药一样粘着我们的硬核知识点。本文文字叙述较多,介绍了同源、跨域、Cors的几乎所有概念,虽然略显难啃,但这些是指导我们实践的说明书。

2021-06-10 18:11:02

Cors跨域Web开发Cors
SQL Server数据库复制错误原因解决方法
在使用SQLServer数据库中,有时在复制时会出现错误,下面就为你分类介绍SQLServer数据库复制错误的原因及解决方法,希望对您学习SQLServer数据库有所帮助。

2010-09-08 15:28:50

SQL Server复制
服务器时间不正确原因处理方法
服务器时间不正确可能有多种原因,一起来列举几个常见的原因。

2023-03-16 23:54:19

服务器vmtoolsd组件
面试官 -- 请求如何携带 Cookie ?
(常规的面试套路,一般都会顺着你的回答往深了问)由于之前的项目都是同源的,不牵涉跨域访问,所以一时没有回答出来,后来研究了下,所以有了这篇文章。

2022-04-01 12:38:32

cookie代码面试
理解常用解决方案
跨域,相信大家无论是在工作中还是在面试中经常遇到这个问题,常常在网上看到别人所整理的一些方法,看似知道是怎么回事,但如果没有动手实践过,总觉得自己没有真正的掌握,在这里,通过自己认真思考整理一些常用的方法。

2018-12-12 15:50:13

机房安防系统常见故障原因处理方法
机房对安防是非常重视的,经常对火灾自动报警系统进行管理和维护,火灾自动报警系统是一门先进的消防技术设施,档案资料的管理、触发装置在使用中常出现的问题及排除、保证联动控制系统的正常运行等,能在防火灭火中充分发挥作用,保证机房设备安全运行,下面分享六大安防系统常见故障原因以及处理方法。

2018-09-18 09:02:18

机房故障处理
JavaScript10种共享方法总结
本文主要讲述了JavaScript跨越共享的10种方法,JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。跨域就是因为JavaScript同源策略的限制。在客户端编程语言中,如javascript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。

2011-04-08 09:16:12

JavaScript
用Dojo实现Ajax请求:XHR、、及其他
在任何浏览器上方便地实现Ajax请求是每一个Ajax框架的初衷。Dojo在这方面无疑提供了非常丰富的支持。除了XMLHttpRequest之外,动态script、iframe、RPC也应有尽有,并且接口统一,使用方便,大多数情况下都只需要一句话就能达到目的,从而免除重复造轮子的麻烦。

2011-01-24 13:12:01

AjaxDojojavascript
Go 框架 Gin 怎么实现允许前端请求
本文我们介绍了Go语言框架Gin的中间件CORS,该中间件提供了三种使用方式,我们可以按照实际开发需求选择合适的使用方式。

2022-12-26 00:00:01

Go框架前端
请求伪造CSRF防护方法
CSRF(Crosssiterequestforgery跨站请求伪造,也被称成为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

2013-08-19 10:59:48

可能不是你原因!网站要做好!
有一些黑客利用iframe技术将支付宝,银行等真正的登录页面嵌套到黑客自己的页面里面,这样的话,如果你的网站没有同源限制,那么你所输入的用户名密码就被黑客利用JavaScript脚本轻易的获取走了,从而造成不必要的损失。

2019-02-25 08:08:18

网站跨域数据泄露黑客
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服