一、什么是跨域？
在了解跨域之前，首先要知道什么是同源策略（same-origin policy）。簡單來講同源策略就是瀏覽器為了保證用戶信息的安全，防止惡意的網(wǎng)站竊取數(shù)據(jù)，禁止不同域之間的JS進(jìn)行交互。對(duì)于瀏覽器而言只要域名、協(xié)議、端口其中一個(gè)不同就會(huì)引發(fā)同源策略，從而限制他們之間如下的交互行為

二、為什么瀏覽器要限制跨域訪問呢？
原因就是安全問題：如果一個(gè)網(wǎng)頁可以隨意地訪問另外一個(gè)網(wǎng)站的資源，那么就有可能在客戶完全不知情的情況下出現(xiàn)安全問題。比如下面的操作就有安全問題：

1.用戶訪問www.mybank.com，登陸并進(jìn)行網(wǎng)銀操作，這時(shí)cookie啥的都生成并存放在瀏覽器；

2.用戶突然想起件事，并迷迷糊糊的訪問了一個(gè)邪惡的網(wǎng)站www.xiee.com；

3.這時(shí)該網(wǎng)站就可以在它的頁面中，拿到銀行的cookie，比如用戶名，登陸token等，然后發(fā)起對(duì)www.mybank.com的操作；

4.如果這時(shí)瀏覽器不予限制，并且銀行也沒有做響應(yīng)的安全處理的話，那么用戶的信息有可能就這么泄露了。

三、為什么要跨域？
既然有安全問題，那為什么又要跨域呢？ 有時(shí)公司內(nèi)部有多個(gè)不同的子域，比如一個(gè)是location.company.com ,而應(yīng)用是放在app.company.com , 這時(shí)想從 app.company.com去訪問 location.company.com 的資源就屬于跨域。

四、解決跨域問題的方法：
1.跨域資源共享（CORS）

CORS（Cross-Origin Resource Sharing）跨域資源共享，定義了必須在訪問跨域資源時(shí)，瀏覽器與服務(wù)器應(yīng)該如何溝通。CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進(jìn)行溝通，從而決定請(qǐng)求或響應(yīng)是應(yīng)該成功還是失敗。

服務(wù)器端對(duì)于CORS的支持，主要就是通過設(shè)置Access-Control-Allow-Origin來進(jìn)行的。如果瀏覽器檢測(cè)到相應(yīng)的設(shè)置，就可以允許Ajax進(jìn)行跨域的訪問。

只需要在后臺(tái)中加上響應(yīng)頭來允許域請(qǐng)求！在被請(qǐng)求的Response header中加入以下設(shè)置，就可以實(shí)現(xiàn)跨域訪問了！

如下所示：

//指定允許其他域名訪問
'Access-Control-Allow-Origin:*'//或指定域
//響應(yīng)類型
'Access-Control-Allow-Methods:GET,POST'
//響應(yīng)頭設(shè)置
'Access-Control-Allow-Headers:x-requested-with,content-type'

2.通過jsonp跨域

JSONP是JSON with Padding（填充式j(luò)son）的簡寫，是應(yīng)用JSON的一種新方法，只不過是被包含在函數(shù)調(diào)用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由兩部分組成：回調(diào)函數(shù)和數(shù)據(jù)。回調(diào)函數(shù)是當(dāng)響應(yīng)到來時(shí)應(yīng)該在頁面中調(diào)用的函數(shù)，而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)。

JSONP的原理：通過script標(biāo)簽引入一個(gè)js文件，這個(gè)js文件載入成功后會(huì)執(zhí)行我們?cè)趗rl參數(shù)中指定的函數(shù)，并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進(jìn)行相應(yīng)的配合的。（即用JavaScript動(dòng)態(tài)加載一個(gè)script文件，同時(shí)定義一個(gè)callback函數(shù)給script執(zhí)行而已。）

在js中，我們直接用XMLHttpRequest請(qǐng)求不同域上的數(shù)據(jù)時(shí)，是不可以的。但是，在頁面上引入不同域上的js腳本文件卻是可以的，jsonp正是利用這個(gè)特性來實(shí)現(xiàn)的。 例如：有個(gè)a.html頁面，它里面的代碼需要利用ajax獲取一個(gè)不同域上的json數(shù)據(jù)，假設(shè)這個(gè)json數(shù)據(jù)地址是http://example.com/data.php，那么a.html中的代碼就可以這樣：

?<script type="text/javascript">
function dosomething(jsondata){
//處理獲得的json數(shù)據(jù)
}
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

js文件載入成功后會(huì)執(zhí)行我們?cè)趗rl參數(shù)中指定的函數(shù)，并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進(jìn)行相應(yīng)的配合的。

?<?php
$callback = $_GET['callback'];//得到回調(diào)函數(shù)名
$data = array('a','b','c');//要返回的數(shù)據(jù)
echo $callback.'('.json_encode($data).')';//輸出
?>

最終，輸出結(jié)果為：dosomething(['a','b','c']);

如果你的頁面使用jquery，那么通過它封裝的方法就能很方便的來進(jìn)行jsonp操作了。jquery會(huì)自動(dòng)生成一個(gè)全局函數(shù)來替換callback=?中的問號(hào)，之后獲取到數(shù)據(jù)后又會(huì)自動(dòng)銷毀，實(shí)際上就是起一個(gè)臨時(shí)代理函數(shù)的作用。$.getJSON方法會(huì)自動(dòng)判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法；跨域的話，則會(huì)以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)

?<script type="text/javascript">
$.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
//處理獲得的json數(shù)據(jù)
});
</script>

JSONP的優(yōu)缺點(diǎn)：

JSONP的優(yōu)點(diǎn)是：它不像XMLHttpRequest對(duì)象實(shí)現(xiàn)的Ajax請(qǐng)求那樣受到同源策略的限制；它的兼容性更好，在更加古老的瀏覽器中都可以運(yùn)行，不需要XMLHttpRequest或ActiveX的支持；并且在請(qǐng)求完畢后可以通過調(diào)用callback的方式回傳結(jié)果。

JSONP的缺點(diǎn)則是：它只支持GET請(qǐng)求而不支持POST等其它類型的HTTP請(qǐng)求；它只支持跨域HTTP請(qǐng)求這種情況，不能解決不同域的兩個(gè)頁面之間如何進(jìn)行JavaScript調(diào)用的問題。

CORS和JSONP對(duì)比：

CORS與JSONP相比，無疑更為先進(jìn)、方便和可靠。

（1）JSONP只能實(shí)現(xiàn)GET請(qǐng)求，而CORS支持所有類型的HTTP請(qǐng)求；

（2）使用CORS，開發(fā)者可以使用普通的XMLHttpRequest發(fā)起請(qǐng)求和獲得說句，比起JSONP有更好的錯(cuò)誤處理；

（3）JSONP主要被老的瀏覽器支持，它們往往不支持CORS，而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS；

3.通過修改document.domain來跨子域

上面的jsonp是來解決ajax跨域請(qǐng)求的，那么如果是需要處理 Cookie 和 iframe 該怎么辦呢？這時(shí)候就可以通過修改document.domain來跨子域。兩個(gè)網(wǎng)頁一級(jí)域名相同，只是二級(jí)域名不同，瀏覽器允許通過設(shè)置document.domain共享 Cookie或者處理iframe。比如A網(wǎng)頁是http://w1.example.com/a.html，B網(wǎng)頁是http://w2.example.com/b.html，那么只要設(shè)置相同的document.domain，兩個(gè)網(wǎng)頁就可以共享Cookie。

?document.domain = 'example.com';
//現(xiàn)在，A網(wǎng)頁通過腳本設(shè)置一個(gè) Cookie。
document.cookie = "test1=hello";
//B網(wǎng)頁就可以讀到這個(gè) Cookie。
var allCookie = document.cookie;
注意，這種方法只適用于 Cookie 和 iframe 窗口，LocalStorage 和 IndexDB 無法通過這種方法，規(guī)避同源政策，而要使用下文介紹的PostMessage API。
另外，服務(wù)器也可以在設(shè)置Cookie的時(shí)候，指定Cookie的所屬域名為一級(jí)域名，比如.example.com。

Set-Cookie: key=value; domain=.example.com; path=/
//這樣的話，二級(jí)域名和三級(jí)域名不用做任何設(shè)置，都可以讀取這個(gè)Cookie。
不同的iframe 之間（父子或同輩），是能夠獲取到彼此的window對(duì)象的，但是你卻不能使用獲取到的window對(duì)象的屬性和方法(html5中的postMessage方法是一個(gè)例外，還有些瀏覽器比如ie6也可以使用top、parent等少數(shù)幾個(gè)屬性)，總之，你可以當(dāng)做是只能獲取到一個(gè)幾乎無用的window對(duì)象。
首先說明一下同域之間的iframe是可以操作的。比如http://127.0.0.1/JSONP/a.html里面嵌入一個(gè)iframe指向http://127.0.0.1/myPHP/b.html。那么在a.html里面是可以操作iframe里面的DOM的。

<iframe src="http://127.0.0.1/myPHP/b.html" frameborder="1"></iframe>
<body>
<script type="text/javascript">
var iframe = document.querySelector("iframe");
iframe.onload = function(){
var win = iframe.contentWindow;
var doc = win.document;
var ele = doc.querySelector(".text1");
var text = ele.innerHTML="123456";
}
</script>

如果兩個(gè)網(wǎng)頁不同源，就無法拿到對(duì)方的DOM。典型的例子是iframe窗口和window.open方法打開的窗口，它們與父窗口無法通信。如果兩個(gè)窗口一級(jí)域名相同，只是二級(jí)域名不同，那么document.domain屬性，就可以規(guī)避同源政策，拿到DOM。

4.使用window.name來進(jìn)行跨域

window對(duì)象有個(gè)name屬性，該屬性有個(gè)特征：即在一個(gè)窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個(gè)window.name的，每個(gè)頁面對(duì)window.name都有讀寫的權(quán)限，window.name是持久存在一個(gè)窗口載入過的所有頁面中的，并不會(huì)因新頁面的載入而進(jìn)行重置。這個(gè)屬性的最大特點(diǎn)是，無論是否同源，只要在同一個(gè)窗口里，前一個(gè)網(wǎng)頁設(shè)置了這個(gè)屬性，后一個(gè)網(wǎng)頁可以讀取它。
比如：有一個(gè)頁面a.html,它里面有這樣的代碼：

window.name = "我是a頁面設(shè)置的";
setTimeout(function(){
window.location = "http://127.0.0.1/JSONP/b.html";
},1000)
b.html頁面的代碼：

?console.log(window.name);

a.html頁面載入后1秒，跳轉(zhuǎn)到了b.html頁面，結(jié)果b頁面打印出了：

我是a頁面設(shè)置的
可以看到在b.html頁面上成功獲取到了它的上一個(gè)頁面a.html給window.name設(shè)置的值。如果在之后所有載入的頁面都沒對(duì)window.name進(jìn)行修改的話，那么所有這些頁面獲取到的window.name的值都是a.html頁面設(shè)置的那個(gè)值。當(dāng)然，如果有需要，其中的任何一個(gè)頁面都可以對(duì)window.name的值進(jìn)行修改。注意，window.name的值只能是字符串的形式，這個(gè)字符串的大小最大能允許2M左右甚至更大的一個(gè)容量，具體取決于不同的瀏覽器，但一般是夠用了。
利用window.name可以對(duì)同域或者不同域的之間的js進(jìn)行交互。
那么在a.html頁面中，我們?cè)趺窗裝.html頁面載入進(jìn)來呢？顯然我們不能直接在a.html頁面中通過改變window.location來載入b.html頁面，因?yàn)槲覀兿胍词筧.html頁面不跳轉(zhuǎn)也能得到b.html里的數(shù)據(jù)。答案就是在a.html頁面中使用一個(gè)隱藏的iframe來充當(dāng)一個(gè)中間人角色，由iframe去獲取b.html的數(shù)據(jù)，然后a.html再去得到iframe獲取到的數(shù)據(jù)。

5.使用HTML5的window.postMessage方法跨域

上面兩種方法都屬于破解，HTML5為了解決這個(gè)問題，引入了一個(gè)全新的API：跨文檔通信 API（Cross-document messaging）。
這個(gè)API為window對(duì)象新增了一個(gè)window.postMessage方法，允許跨窗口通信，不論這兩個(gè)窗口是否同源。目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。
舉例來說，父窗口http://a.com向子窗口http://b.com發(fā)消息，調(diào)用postMessage方法就可以了。
a頁面：

<iframe id="frame1" src="http://127.0.0.1/JSONP/b.html" frameborder="1"></iframe>
document.getElementById('frame1').onload = function(){
var win = document.getElementById('frame1').contentWindow;
win.postMessage("我是來自a頁面的","http://127.0.0.1/JSONP/b.html")
}

b頁面通過監(jiān)聽message事件可以接受到來自a頁面的消息。

window.onmessage = function(e){
e = e || event;
console.log(e.data);//我是來自a頁面的
}

子窗口向父窗口發(fā)送消息的寫法類似。

window.opener.postMessage('我是來自b頁面的', 'http://a.com');
//父窗口和子窗口都可以通過message事件，監(jiān)聽對(duì)方的消息。
通過window.postMessage，讀寫其他窗口的 LocalStorage 也成為了可能。
下面是一個(gè)例子，主窗口寫入iframe子窗口的localStorage。
父窗口發(fā)送消息代碼：

var win = document.getElementsByTagName('iframe')[0].contentWindow;
var obj = { name: 'Jack' };
// 存入對(duì)象
win.postMessage(JSON.stringify({key: 'storage', method: 'set', data: obj}), 'http://b.com');
// 讀取對(duì)象
win.postMessage(JSON.stringify({key: 'storage', method: "get"}), "*");
window.onmessage = function(e) {
if (e.origin != 'http://a.com') return;
// "Jack"
console.log(JSON.parse(e.data).name);
};

子窗口接收消息的代碼：

window.onmessage = function(e) {
if (e.origin !== 'http://bbb.com') return;
var payload = JSON.parse(e.data);
switch (payload.method) {
case 'set':
localStorage.setItem(payload.key, JSON.stringify(payload.data));
break;
case 'get':
var parent = window.parent;
var data = localStorage.getItem(payload.key);
parent.postMessage(data, 'http://aaa.com');
break;
case 'remove':
localStorage.removeItem(payload.key);
break;
}
};

6.通過WebSocket進(jìn)行跨域

WebSocket協(xié)議是HTML5的新協(xié)議。能夠?qū)崿F(xiàn)瀏覽器與服務(wù)器全雙工通信，同時(shí)允許跨域，是服務(wù)端推送技術(shù)的一種很好的實(shí)現(xiàn)。

web sockets是一種瀏覽器的API，它的目標(biāo)是在一個(gè)單獨(dú)的持久連接上提供全雙工、雙向通信。(同源策略對(duì)web sockets不適用)

web sockets原理：在js創(chuàng)建了web socket之后，會(huì)有一個(gè)HTTP請(qǐng)求發(fā)送到瀏覽器以發(fā)起連接。取得服務(wù)器響應(yīng)后，建立的連接會(huì)使用HTTP升級(jí)從HTTP協(xié)議交換為web sockt協(xié)議。

只有在支持web socket協(xié)議的服務(wù)器上才能正常工作。

 <script>

var WebSocketServer = require('websocket').server;
var http = require('http');
  
var server = http.createServer(function(request, response) {
  response.writeHead(404);
  response.end();
});
server.listen(8080, function() {
  console.log('Server is listening on port 8080');
});
  
wsServer = new WebSocketServer({
    httpServer: server,
    autoAcceptConnections: false
});
  
function originIsAllowed(origin) {
  return true;
}
  
wsServer.on('request', function(request) {
    if (!originIsAllowed(request.origin)) {
      request.reject();
      console.log('Connection from origin ' + request.origin + ' rejected.');
      return;
    }
     
    var connection = request.accept('echo-protocol', request.origin);
    console.log('Connection accepted.');
    connection.on('message', function(message) {
      if (message.type === 'utf8') {
        const reqData = JSON.parse(message.utf8Data);
        reqData.test -= 1;
        connection.sendUTF(JSON.stringify(reqData));
      }
    });
    connection.on('close', function() {
      console.log('close');
    });
});

7.圖像ping（單向）

什么是圖像ping： 圖像ping是與服務(wù)器進(jìn)行簡單、單向的跨域通信的一種方式，請(qǐng)求的數(shù)據(jù)是通過查詢字符串的形式發(fā)送的，而相應(yīng)可以是任意內(nèi)容，但通常是像素圖或204相應(yīng)（No Content）。 圖像ping有兩個(gè)主要缺點(diǎn)：首先就是只能發(fā)送get請(qǐng)求，其次就是無法訪問服務(wù)器的響應(yīng)文本。

使用方法：

var img = new Image();
img.onload = img.onerror = function(){
alert("done!");
};
img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg";
document.body.insertBefore(img,document.body.firstChild);

然后頁面上就可以顯示我放在我的github上某個(gè)地方的照片啦。

與<img>類似的可以跨域內(nèi)嵌資源的還有:

(1)<script src=""></script>標(biāo)簽嵌入跨域腳本。語法錯(cuò)誤信息只能在同源腳本中捕捉到。上面jsonp也用到了呢。

(2) <link src="">標(biāo)簽嵌入CSS。由于CSS的松散的語法規(guī)則，CSS的跨域需要一個(gè)設(shè)置正確的Content-Type消息頭。不同瀏覽器有不同的限制： IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera。

(3)<video> 和 <audio>嵌入多媒體資源。

(4)<object>, <embed> 和 <applet>的插件。

(5)@font-face引入的字體。一些瀏覽器允許跨域字體（ cross-origin fonts），一些需要同源字體（same-origin fonts）。

(6) <frame> 和 <iframe>載入的任何資源。站點(diǎn)可以使用X-Frame-Options消息頭來阻止這種形式的跨域交互。

8.nginx 代理跨域

原理：同源策略是瀏覽器的安全策略，不是HTTP協(xié)議的一部分。服務(wù)器端調(diào)用HTTP接口只是使用HTTP協(xié)議，不存在跨越問題。

實(shí)現(xiàn)：通過nginx配置代理服務(wù)器（域名與test1相同，端口不同）做跳板機(jī)，反向代理訪問test2接口，且可以修改cookie中test信息，方便當(dāng)前域cookie寫入，實(shí)現(xiàn)跨域登錄。

#proxy服務(wù)器
server {
    listen       81;
    server_name  www.test1.com;
 
    location / {
        proxy_pass   http://www.test2.com:8080;  #反向代理
        proxy_cookie_test www.test2.com www.test1.com; #修改cookie里域名
        index  index.html index.htm;
 
        add_header Access-Control-Allow-Origin http://www.test1.com;  #當(dāng)前端只跨域不帶cookie時(shí)，可為*
        add_header Access-Control-Allow-Credentials true;
    }
}

1.) 前端代碼示例：

var xhr = new XMLHttpRequest();

// 前端開關(guān)：瀏覽器是否讀寫cookie
xhr.withCredentials = true;

// 訪問nginx中的代理服務(wù)器
xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);
xhr.send();

2.) Nodejs后臺(tái)示例：

var http = require('http');
var server = http.createServer();
var qs = require('querystring');

server.on('request', function(req, res) {
    var params = qs.parse(req.url.substring(2));

    // 向前臺(tái)寫cookie
    res.writeHead(200, {
        'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'   // HttpOnly:腳本無法讀取
    });

    res.write(JSON.stringify(params));
    res.end();
});

server.listen('8080');
console.log('Server is running at port 8080...');

9、 Nodejs中間件代理跨域

node中間件實(shí)現(xiàn)跨域代理，原理大致與nginx相同，都是通過啟一個(gè)代理服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)。

————————————————
版權(quán)聲明：本文為CSDN博主「luckylareina」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/lareinalove/article/details/84107476