跨域產生的原因

根本原因是由于瀏覽器的同源策略。

同源策略/SOP（Same origin policy）是一種約定，由Netscape公司1995年引入瀏覽器，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，瀏覽器很容易受到XSS、CSRF等攻擊。所謂同源是指"協議+域名+端口"三者相同，即便兩個不同的域名指向同一個ip地址，也非同源。

解決方法

方法一：通過jsonp跨域

前端JS原生實現：

<script>    var script = document.createElement('script');    script.type = 'text/JAVAscript';    // 傳參一個回調函數名給后端，方便后端返回時執行這個在前端定義的回調函數    script.src = 'http://www.domain2.com:8080/login?user=admin&callback=handleCallback';    document.head.AppendChild(script);    // 回調執行函數    function handleCallback(res) {        alert(JSON.stringify(res));    } </script>

node服務端實現

let querystring = require('querystring');let http = require('http');let server = http.createServer();server.on('request', function(req, res) {    let params = qs.parse(req.url.split('?')[1]);    let fn = params.callback;    // jsonp返回設置    res.writeHead(200, { 'Content-Type': 'text/JavaScript' });    res.write(fn + '(' + JSON.stringify(params) + ')');    res.end();});server.listen('8080');console.log('Server is running at port 8080...');

缺點：只能使用get請求，安全性差

方法二：document.domain + iframe跨域

實現原理：兩個頁面都通過js強制設置document.domain為基礎主域，就實現了同域。

缺點：此方案僅限主域相同，子域不同的跨域應用場景。

代碼實現：

//父頁面：(http://www.domain.com/a.html)<iframe id="iframe" src="http://child.domain.com/b.html"></iframe><script>    document.domain = 'domain.com';    var user = 'admin';</script>//子窗口：(http://child.domain.com/b.html)<script>    document.domain = 'domain.com';    // 獲取父窗口中變量    alert('get js data from parent ---> ' + window.parent.user);</script>

此外還有 location.hash + iframe跨域、window.name + iframe、postMessage等跨域方式。大伙可以自行網上查閱。

方法三：Nginx代理跨域

nginx配置解決iconfont跨域

瀏覽器跨域訪問js、css、img等常規靜態資源被同源策略許可，但iconfont字體文件(eot|otf|ttf|woff|svg)例外，此時可在nginx的靜態資源服務器中加入以下配置。

//nginx配置解決iconfont跨域location / {  add_header Access-Control-Allow-Origin *;}

nginx反向代理接口跨域

跨域原理： 同源策略是瀏覽器的安全策略，不是HTTP協議的一部分。服務器端調用HTTP接口只是使用HTTP協議，不會執行JS腳本，不需要同源策略，也就不存在跨越問題。

實現思路：通過nginx配置一個代理服務器（域名與domain1相同，端口不同）做跳板機，反向代理訪問domain2接口，并且可以順便修改cookie中domain信息，方便當前域cookie寫入，實現跨域登錄。

nginx具體配置：

#proxy服務器server {    listen       81;    server_name  www.domain1.com;    location / {        proxy_pass   http://www.domain2.com:8080;  #反向代理        proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名        index  index.html index.htm;        # 當用webpack-dev-server等中間件代理接口訪問nignx時，此時無瀏覽器參與，故沒有同源限制，下面的跨域配置可不啟用        add_header Access-Control-Allow-Origin http://www.domain1.com;  #當前端只跨域不帶cookie時，可為*        add_header Access-Control-Allow-Credentials true;    }}

前端代碼示例：

var xhr = new XMLHttpRequest();// 前端開關：瀏覽器是否讀寫cookiexhr.withCredentials = true;// 訪問nginx中的代理服務器xhr.open('get', 'http://www.domain1.com:81/?user=admin', true);xhr.send();

Nodejs后臺示例：

var http = require('http');var server = http.createServer();var qs = require('querystring');server.on('request', function(req, res) {    var params = qs.parse(req.url.substring(2));    // 向前臺寫cookie    res.writeHead(200, {        'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'    });    res.write(JSON.stringify(params));    res.end();});server.listen('8080');console.log('Server is running at port 8080...');

方法三：Nodejs中間件代理跨域

node中間件實現跨域代理，原理大致與nginx相同，都是通過啟一個代理服務器，實現數據的轉發，也可以通過設置cookieDomainRewrite參數修改響應頭中cookie中域名，實現當前域的cookie寫入，方便接口登錄認證。

前端代碼示例：

var xhr = new XMLHttpRequest();// 前端開關：瀏覽器是否讀寫cookiexhr.withCredentials = true;// 訪問http-proxy-middleware代理服務器xhr.open('get', 'http://www.domain1.com:3000/login?user=admin', true);

中間件服務器：

var express = require('express');var proxy = require('http-proxy-middleware');var app = express();app.use('/', proxy({    // 代理跨域目標接口    target: 'http://www.domain2.com:8080',    changeOrigin: true,    // 修改響應頭信息，實現跨域并允許帶cookie    onProxyRes: function(proxyRes, req, res) {        res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');        res.header('Access-Control-Allow-Credentials', 'true');    },    // 修改響應信息中的cookie域名    cookieDomainRewrite: 'www.domain1.com'  // 可以為false，表示不修改}));app.listen(3000);console.log('Proxy server is listen at port 3000...');

方法四：跨域資源共享（CORS）

普通跨域請求：只服務端設置Access-Control-Allow-Origin即可，前端無須設置，若要帶cookie請求：前后端都需要設置。

目前，所有瀏覽器都支持該功能(IE8+：IE8/9需要使用XDomainRequest對象來支持CORS）)，CORS也已經成為主流的跨域解決方案。

Java后臺代碼示例：

/* * 導入包：import javax.servlet.http.HttpServletResponse; * 接口參數中定義：HttpServletResponse response */// 允許跨域訪問的域名：若有端口需寫全（協議+域名+端口），若沒有端口末尾不用加'/'response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com"); // 允許前端帶認證cookie：啟用此項后，上面的域名不能為'*'，必須指定具體的域名，否則瀏覽器會提示response.setHeader("Access-Control-Allow-Credentials", "true"); // 提示OPTIONS預檢時，后端需要設置的兩個常用自定義頭response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");

Nodejs后臺代碼示例：

var http = require('http');var server = http.createServer();var qs = require('querystring');server.on('request', function(req, res) {    var postData = '';    // 數據塊接收中    req.addListener('data', function(chunk) {        postData += chunk;    });    // 數據接收完畢    req.addListener('end', function() {        postData = qs.parse(postData);        // 跨域后臺設置        res.writeHead(200, {            'Access-Control-Allow-Credentials': 'true',     // 后端允許發送Cookie            'Access-Control-Allow-Origin': 'http://www.domain1.com',    // 允許訪問的域（協議+域名+端口）            /*              * 此處設置的cookie還是domain2的而非domain1，因為后端也不能跨域寫cookie(nginx反向代理可以實現)，             * 但只要domain2中寫入一次cookie認證，后面的跨域接口都能從domain2中獲取cookie，從而實現所有的接口都能跨域訪問             */            'Set-Cookie': 'l=a123456;Path=/;Domain=www.domain2.com;HttpOnly'  // HttpOnly的作用是讓js無法讀取cookie        });        res.write(JSON.stringify(postData));        res.end();    });});server.listen('8080');console.log('Server is running at port 8080...');