2. 程式人生 > >跨域問題(前端面試最常問)

跨域問題(前端面試最常問)

阿新 發佈:2019-02-04

為什麼要跨域?

跨域問題是瀏覽器同源策略限制,當前域名的js只能讀取同域下的視窗屬性。 
一個網站的網址組成包括協議名,子域名,主域名,埠號。比如https://www.github.com/80

其中https是協議名,www.github.com是子域名,github.com是主域名,埠號是80,當在在頁面中從一個url請求資料時,如果這個url的協議名、子域名、主域名、埠號任意一個有一個不同,就會產生跨域問題。

PS:下瀏覽器中的 file://域擁有的許可權很高,WebKit可以讀取磁碟上的檔案,IE可以執行CMD,這裡大家可以盡情發揮想象,能做的事情太多了!

跨域解決方法小結

  1. 最簡單也最常見:使用jsonp ,即json with padding(內填充),顧名思義,就是把JSON填充到一個盒子裡
  2. 一勞永逸:直接在伺服器端設定跨域資源訪問 CORS(Cross-Origin Resource Sharing),設定Request Header頭中Access-Control-Allow-Origin為指定可獲取資料的域名
  3. 簡單有效:直接請求一張圖片
  4. 找”爸爸”:通過修改document.domain來跨子域
  5. 哥倆好:通過window.name來跨域接收資料
  6. 新石器時代:使用HTML5的window.postMessage方法跨域

jsonp

核心思想:瀏覽器的script、img、iframe標籤是不受同源策略限制的 ,所以通過script標籤引入一個js檔案,這個js檔案載入成功後會執行我們在url引數中指定的callback函式,並把把我們需要的json資料作為引數傳入。在伺服器端,當req.params引數中帶有callback屬性時,則把資料作為callback的引數執行,並拼接成一個字串後返回。 
- 優點:相容性好,在很古老的瀏覽器中也可以用,簡單易用,支援瀏覽器與伺服器雙向通訊。 
- 缺點:只支援GET請求,且只支援跨域HTTP請求這種情況(不支援HTTPS

網頁端的程式碼如下 
jsonp 
建立一個函式tryJSONPadding,並在script標籤的源地址中加入這個函式名,伺服器端(Node.js寫的後端)的處理如下 
伺服器端的處理

CORS

核心思想:在伺服器端通過檢查請求頭部的origin,從而決定請求應該成功還是失敗。具體的方法是在服務端設定Response Header響應頭中的Access-Control-Allow-Origin為對應的域名,實現了CORS(跨域資源共享),這裡出於在安全性方面的考慮就是儘量不要用 *,但對於一些不重要的資料則隨意,例如圖片。下圖是某公司阿里雲伺服器上的CORS設定 
CROS

Node.js實現CORS的方法也很簡單,如圖。 
NodeJS

圖片ping

因為在瀏覽器中,JS指令碼和圖片是可以跨域的,所以我們可以直接新建一個圖片物件,然後在地址中存放一些簡單,這種方法只支援get秦秋,且只能單向地向伺服器傳送請求,在統計廣告曝光次數中比較常見。 
圖片ping

尋找相同主域document.domain

對於以下的這兩個域名,可以看到他們的主域名都是 example.com,相同於有一個共同的爸爸,且此方法只適用於兩個iframe之間的跨域

http://www.example.com/a.html 和http://bbs.example.com/b.html)
  • 1
  • 2

下面是另外一篇文章中的例子。 
框架一
框架二

window.name

window物件中其實包含了黑魔法的,window.name屬性就是其中之一,不同域的框架把想要共享的資訊放在window.name裡面且此方法只適用於兩個iframe之間的跨域

a.com/getDomainData.htmla.com/getDomainData.htmlb.com/data.htmlb.com/data.htmla.com/null.htmla.com/null.html獲得資料將iframe的src改為a.com/null.html,跳回原來的域執行回撥函式,並銷燬iframe,關閉null.html

HTML5 中的window.postMessage方法

window.postMessage(message,targetOrigin) 方法是html5新引進的特性,可以使用它來向其它的window物件傳送訊息,無論這個window物件是屬於同源或不同源,目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支援window.postMessage方法。這種方法不能和服務端交換資料,只能在兩個視窗(iframe)之間交換資料 
www.example.com中主動發起連線 
發起連線
處於安全考慮,另一個域下的指令碼中需要驗證訊息orgin來源後為http://www.example.com後再發送訊息 
驗證後傳送訊息 
event物件,這裡的origin為http://localhost:81,僅作為演示 
origin示意圖

相關推薦

問題前端面試

為什麼要跨域? 跨域問題是瀏覽器同源策略限制,當前域名的js只能讀取同域下的視窗屬性。  一個網站的網址組成包括協議名,子域名,主域名,埠號。比如https://www.github.com/80 其中https是協議名,www.github.com是子域名,gith

前端面試的問題

play section 深克隆 數據類型 use count () group flex布局   1、event loop是什麽?    主線程和任務隊    2、HTTP協議與狀態碼,HTTP2.0等,狀態碼301、302等    3、原生實現promise    //

【搞定 Java 併發面試面試的 Java 併發基礎見面試題總結!

本文為 SnailClimb 的原創,目前已經收錄自我開源的 JavaGuide 中(61.5 k Star!【Java學習+面試指南】 一份涵蓋大部分Java程式設計師所需要掌握的核心知識。歡迎 Star!)。 另外推薦一篇原創:終極推薦!可能是最適合你的Java學習路線+方法+網站+書籍推薦! Jav

Linux 面試的十個問題

如果你要去面試一個Linux系統運維工程師的職位,下面這十個最常見的問題一定要會,否則你的面試可能就危險了。這些都是比較基本的問題,大家要理解,不能光死記硬背。    1、如何檢視系統核心的版本   這裡有兩種方法: 1) uname -a uname 這個命令是用來列印系統資訊

Webpack devServer中的 proxy 實現用nodejs代理轉發請求

假設,我需要請求的介面的入口為 http://www.xxx.com/api, 修改 /config/index.js 配置檔案,修改 dev 選項下 proxyTable 的值為如下: 你需要請求的介面的入口為 http://www.xxx.com/rest, 而程式

cors以及和jsonp的區別

上次我們說到,jsonp只支援get方式跨域,不支援post,是因為底層是使用script標籤去接受請求,jsonp通過給script的src中的url設定回撥函式,傳給服務端後,服務端返回一個回撥函式的呼叫,把資料包在這個回撥函式裡面,然後我們在全域性中

同源、、jsonp面試

          提到跨域,就不得不說一下同源策略,同源策略是瀏覽器的一種安全策略,也就說a網站不能隨便讀取b網站的內容,試想一下,如果網站之間都可以隨便讀取互相的檔案,比如一個黑客程式,他利用IF

常用設計模式總結面試

Singleton(單例模式) 一句話總結:一個類在Java虛擬機器中只有一個物件,並提供一個全域性訪問點。 生活中例子:太陽、月亮、國家主席等。 解決什麼問題:物件的唯一性,效能浪費太多。 專案裡面怎麼用:資料庫連線物件,屬性配置檔案的讀取物件。 模式結構:分為餓漢式和懶漢式(

史上前端面試全知識點附答案

一.html & js & css 1.AMD和CMD是什麼?它們的區別有哪些? AMD和CMD是二種模組定義規範。現在都使用模組化程式設計,AMD,非同步模組定義;CMD,通用模組定義。AMD依賴前置,CMD依賴就近。CMD的API職責單一,沒有全域性

集合深淺拷貝以及經常遇到的坑面試

之前只是知道淺拷貝只是拷貝地址,深拷貝是內容的拷貝,具體怎麼使用,卻不是很清楚。這篇文章對深淺拷貝做了通俗易懂的講解,還列出了作者踩過的坑,希望對讀者有一些幫助。 引言 根據拷貝內容的不同,分為深淺拷貝 深拷貝:指標賦值,且內容拷貝 淺拷貝:只是簡單的指

java 面試到的18個演算法問題

演算法是比較複雜又基礎的學科,每個學程式設計的人都會學習大量的演算法。而根據統計,以下這18個問題是面試中最容易遇到的,本文給出了一些基本答案,供演算法方向工程師或對此感興趣的程式設計師參考。 1)請簡單解釋演算法是什麼? 演算法是一個定義良好的計算過程,它將一些值作為輸入併產生相應的輸出值

使用Nginx 實現純前端轉載+彙總

你是否厭倦了老是依賴後臺去處理跨域,把握不了主動權 你是否想模仿某個app倒騰一個demo,卻困於介面無法跨域 那麼很幸運,接下來我將現實不依賴任何後臺,隨心所欲的想訪問哪個域名就訪問哪個! 下載完之後,我們就可以 愉快的玩耍啦。本文是在window 系統下的操作的

TCP 傳輸層面試的問題彙總你所不知道的傳輸層

1. 傳輸層的主要功能是什麼? 2. 傳輸層如何區分不同應用程式的資料流?3. 傳輸層有哪些協議?4. 什麼是UDP協議?5. 為什麼有了UDP,還需要TCP?6. 什麼是TCP協議?7. 怎麼理解協議和程式?8. TCP是否真的有連結?9. 連結是如何建立的(邏輯上)?1

25個面試的問題和答案

原文連結:https://dzone.com/articles/top-25-java-inte

ARP地址解析協議面試

ARP是地址解析協議工作原理: 1:首先,每個主機都會在自己的ARP緩衝區中建立一個ARP列表,以表示IP地址和MAC地址之間的對應關係。 2:當源主機要傳送資料時,首先檢查ARP列表中是否有對應

Web前端面試 面試問題

面試官喜歡問的問題 以下會列出一些我們面試官的問題,請提前做好準備。 需要注意的是,校招和社招的是不一樣的,校招會更加關注基礎知識,而社招會更加關注之前做過的專案情況。 專案相關 面試其實說白了就是根據一個人之前的經歷,來判斷出後續這人會做得怎樣,如果你

前端開發工程師的問題

本文收集總結了一些優質的前端面試題,初學者閱後也要用心鑽研其中的原理,重要知識需要系統學習,透徹學習,形成自己的知識鏈。萬不可投機取巧,只求面試過關是錯誤的! 前端界新的行業標準, 框架, 庫不斷在更新和新增,正如赫門在2015深JS大會上《前端服務化之路》主題演講中說

Git與SVN的區別面試

log 就是 開發者 sha-1 動作 等待 網絡問題 man 檢測 1、Git是分布式的,而SVN不是分布式的 2、Git把內容按元數據方式存儲,而SVN是按文件 3、Git沒有一個全局版本號,SVN有,目前為止這是SVN相比Git缺少的最大的一個特征 4、Git的

初學編程的幾個問題!

愛創課堂 web前端初學編程最常問的幾個問題!隔行如隔山,初學編程往往不知道從何入手,非常迷茫,以下幾個問題是我經常被問到的,總結出來分享給讀者。1多久能學會編程?這是一個沒有答案的問題。每個人投入的時間、學習效率和基礎都不一樣。如果你每天都拿出大把的時間來學習,那麽兩三個月就可以學會web前端,不到半年時間

ajax

導致 simple version 發生 分享 err web服務 描述 自己的 題綱 關於跨域,有N種類型,本文只專註於ajax請求跨域(,ajax跨域只是屬於瀏覽器”同源策略”中的一部分,其它的還有Cookie跨域iframe跨域,LocalStorage跨域等這裏不做