前言

從剛接觸前端開發(fā)起， 跨域這個(gè)詞就一直以很高的頻率在身邊重復(fù)出現(xiàn)，一直到現(xiàn)在，已經(jīng)調(diào)試過N個(gè)跨域相關(guān)的問題了，16年時(shí)也整理過一篇相關(guān)文章，但是感覺還是差了點(diǎn)什么，于是現(xiàn)在重新梳理了一下。

題綱

關(guān)于跨域，有N種類型，本文只專注于 ajax請(qǐng)求跨域(ajax跨域只是屬于瀏覽器"同源策略"中的一部分，其它的還有Cookie跨域iframe跨域，LocalStorage跨域等這里不做介紹)，內(nèi)容大概如下：

什么是ajax跨域

原理

表現(xiàn)(整理了一些遇到的問題以及解決方案)

如何解決ajax跨域

JSONP方式

CORS方式

代理請(qǐng)求方式

如何分析ajax跨域

http抓包的分析

一些示例

什么是ajax跨域

ajax跨域的原理

ajax出現(xiàn)請(qǐng)求跨域錯(cuò)誤問題,主要原因就是因?yàn)闉g覽器的“同源策略”,可以參考

瀏覽器同源政策及其規(guī)避方法(阮一峰)

CORS請(qǐng)求原理

CORS是一個(gè)W3C標(biāo)準(zhǔn)，全稱是"跨域資源共享"（Cross-origin resource sharing）。它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而克服了AJAX只能同源使用的限制。

基本上目前所有的瀏覽器都實(shí)現(xiàn)了CORS標(biāo)準(zhǔn),其實(shí)目前幾乎所有的瀏覽器ajax請(qǐng)求都是基于CORS機(jī)制的,只不過可能平時(shí)前端開發(fā)人員并不關(guān)心而已(所以說其實(shí)現(xiàn)在CORS解決方案主要是考慮后臺(tái)該如何實(shí)現(xiàn)的問題)。

另外，這里也整理了一個(gè)實(shí)現(xiàn)原理圖(簡(jiǎn)化版):

如何判斷是否是簡(jiǎn)單請(qǐng)求?

瀏覽器將CORS請(qǐng)求分成兩類：簡(jiǎn)單請(qǐng)求（simple request）和非簡(jiǎn)單請(qǐng)求（not-so-simple request）。只要同時(shí)滿足以下兩大條件，就屬于簡(jiǎn)單請(qǐng)求。

請(qǐng)求方法是以下三種方法之一：HEAD、GET、POST。

HTTP的頭信息不超出以下幾種字段：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type(只限于三個(gè)值application/x-www-form-urlencoded、 multipart/form-data、text/plain)

凡是不同時(shí)滿足上面兩個(gè)條件，就屬于非簡(jiǎn)單請(qǐng)求。

ajax跨域的表現(xiàn)

說實(shí)話，當(dāng)初整理過一篇文章，然后作為了一個(gè)解決方案，但是后來(lái)發(fā)現(xiàn)仍然有很多人還是不會(huì)。無(wú)奈只能耗時(shí)又耗力的調(diào)試。然而就算是我來(lái)分析，也只會(huì)根據(jù)對(duì)應(yīng)的表現(xiàn)來(lái)判斷是否是跨域，因此這一點(diǎn)是很重要的。

ajax請(qǐng)求時(shí)，如果存在跨域現(xiàn)象，并且沒有進(jìn)行解決，會(huì)有如下表現(xiàn)。(注意，是ajax請(qǐng)求，請(qǐng)不要說為什么http請(qǐng)求可以，而ajax不行，因?yàn)閍jax是伴隨著跨域的，所以僅僅是http請(qǐng)求ok是不行的)

注意：具體的后端跨域配置請(qǐng)看題綱位置。

第一種現(xiàn)象

No'Access-Control-Allow-Origin'headerispresent on the requested resource,并且 Theresponse had HTTP status code404

出現(xiàn)這種情況的原因如下：

本次ajax請(qǐng)求是“非簡(jiǎn)單請(qǐng)求”,所以請(qǐng)求前會(huì)發(fā)送一次預(yù)檢請(qǐng)求(OPTIONS)

服務(wù)器端后臺(tái)接口沒有允許OPTIONS請(qǐng)求,導(dǎo)致無(wú)法找到對(duì)應(yīng)接口地址

解決方案: 后端允許options請(qǐng)求

第二種現(xiàn)象

No'Access-Control-Allow-Origin'headerispresent on the requested resource,并且 Theresponse had HTTP status code405

這種現(xiàn)象和第一種有區(qū)別,這種情況下，后臺(tái)方法允許OPTIONS請(qǐng)求,但是一些配置文件中(如 安全配置),阻止了OPTIONS請(qǐng)求,才會(huì)導(dǎo)致這個(gè)現(xiàn)象

解決方案：后端關(guān)閉對(duì)應(yīng)的安全配置

第三種現(xiàn)象

No'Access-Control-Allow-Origin'headerispresent on the requested resource,并且 status200

這種現(xiàn)象和第一種和第二種有區(qū)別,這種情況下，服務(wù)器端后臺(tái)允許OPTIONS請(qǐng)求,并且接口也允許OPTIONS請(qǐng)求,但是頭部匹配時(shí)出現(xiàn)不匹配現(xiàn)象

比如origin頭部檢查不匹配,比如少了一些頭部的支持(如常見的X-Requested-With頭部),然后服務(wù)端就會(huì)將response返回給前端,前端檢測(cè)到這個(gè)后就觸發(fā)XHR.onerror,導(dǎo)致前端控制臺(tái)報(bào)錯(cuò)

解決方案：后端增加對(duì)應(yīng)的頭部支持

第四種現(xiàn)象

heade contains multiple values'*,*'

表現(xiàn)現(xiàn)象是，后臺(tái)響應(yīng)的http頭部信息有兩個(gè) Access-Control-Allow-Origin:*

說實(shí)話，這種問題出現(xiàn)的主要原因就是進(jìn)行跨域配置的人不了解原理，導(dǎo)致了重復(fù)配置，如：

常見于.net后臺(tái)(一般在web.config中配置了一次origin,然后代碼中又手動(dòng)添加了一次origin(比如代碼手動(dòng)設(shè)置了返回*))

常見于.net后臺(tái)(在IIS和項(xiàng)目的webconfig中同時(shí)設(shè)置Origin:*)

解決方案(一一對(duì)應(yīng)):

建議刪除代碼中手動(dòng)添加的*，只用項(xiàng)目配置中的即可

建議刪除IIS下的配置*，只用項(xiàng)目配置中的即可

如何解決ajax跨域

一般ajax跨域解決就是通過JSONP解決或者CORS解決,如以下:(注意，現(xiàn)在已經(jīng)幾乎不會(huì)再使用JSONP了，所以JSONP了解下即可)

JSONP方式解決跨域問題

jsonp解決跨域問題是一個(gè)比較古老的方案(實(shí)際中不推薦使用),這里做簡(jiǎn)單介紹(實(shí)際項(xiàng)目中如果要使用JSONP,一般會(huì)使用JQ等對(duì)JSONP進(jìn)行了封裝的類庫(kù)來(lái)進(jìn)行ajax請(qǐng)求)

實(shí)現(xiàn)原理

JSONP之所以能夠用來(lái)解決跨域方案,主要是因?yàn)?/span>