什么是跨域問(wèn)題

跨域問(wèn)題（Cross-Origin Resource Sharing, CORS）是瀏覽器出于安全考慮實(shí)施的一種同源策略限制。當(dāng)網(wǎng)頁(yè)嘗試從一個(gè)與當(dāng)前頁(yè)面不同源（協(xié)議、域名或端口任一不同）的服務(wù)器請(qǐng)求資源時(shí)，瀏覽器會(huì)阻止這種請(qǐng)求，除非服務(wù)器明確允許。

同源策略要求以下三個(gè)必須相同：

• 協(xié)議（http/https）

• 域名（example.com）

• 端口（80/443等）

常見(jiàn)的跨域場(chǎng)景

1. 前端應(yīng)用（http://localhost:3000）訪問(wèn)后端API（http://localhost:8080）

2. 主站（https://www.example.com）訪問(wèn)子域API（https://api.example.com）

3. 使用第三方API服務(wù)（如支付、地圖等）

前端解決跨域的方案

1. 代理服務(wù)器

開(kāi)發(fā)環(huán)境中，可以通過(guò)配置代理服務(wù)器來(lái)解決跨域問(wèn)題：

// vue.config.js (Vue項(xiàng)目)module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'http://localhost:8080',
        changeOrigin: true,
        pathRewrite: {
          '^/api': ''
        }
      }
    }
  }}// webpack.config.js (React項(xiàng)目)module.exports = {
  // ...
  devServer: {
    proxy: {
      '/api': {
        target: 'http://localhost:8080',
        secure: false,
        changeOrigin: true
      }
    }
  }}

2. JSONP（僅限GET請(qǐng)求）

JSONP利用<script>標(biāo)簽不受同源策略限制的特性：

function handleResponse(data) {
  console.log('Received data:', data);}const script = document.createElement('script');script.src = 'https://api.example.com/data?callback=handleResponse';document.body.appendChild(script);

3. CORS（跨源資源共享）

雖然CORS主要由后端配置，但前端需要了解：

fetch('https://api.example.com/data', {
  method: 'GET',
  mode: 'cors', // 這是默認(rèn)值，可以省略
  headers: {
    'Content-Type': 'application/json'
  },
  credentials: 'include' // 如果需要發(fā)送cookies}).then(response => response.json()).then(data => console.log(data)).catch(error => console.error('Error:', error));

4. WebSocket

WebSocket協(xié)議不受同源策略限制：

const socket = new WebSocket('wss://api.example.com/ws');socket.onopen = function(e) {
  console.log('Connection established');
  socket.send(JSON.stringify({message: 'Hello'}));};socket.onmessage = function(event) {
  console.log('Data received:', event.data);};

5. postMessage

用于不同窗口/iframe間通信：

// 發(fā)送方const targetWindow = document.getElementById('iframe').contentWindow;targetWindow.postMessage('Hello there!', 'https://target.example.com');// 接收方window.addEventListener('message', (event) => {
  if (event.origin !== 'https://trusted.source.com') return;
  console.log('Received message:', event.data);});

生產(chǎn)環(huán)境解決方案

1. Nginx反向代理：

   nginx

   復(fù)制

   下載

   server {
     listen 80;
     server_name yourdomain.com;
     
     location /api/ {
       proxy_pass http://api-server:8080/;
       proxy_set_header Host $host;
       proxy_set_header X-Real-IP $remote_addr;
     }}

2. CDN設(shè)置CORS：在CDN服務(wù)商處配置CORS頭

3. API網(wǎng)關(guān)：通過(guò)API網(wǎng)關(guān)統(tǒng)一處理跨域請(qǐng)求

常見(jiàn)錯(cuò)誤及解決

1. 預(yù)檢請(qǐng)求失敗：復(fù)雜請(qǐng)求會(huì)先發(fā)送OPTIONS請(qǐng)求，確保后端正確處理

2. 缺少CORS頭：后端需設(shè)置Access-Control-Allow-Origin等頭

3. 憑證問(wèn)題：帶cookie的請(qǐng)求需要設(shè)置credentials: 'include'和Access-Control-Allow-Credentials: true

最佳實(shí)踐

1. 開(kāi)發(fā)環(huán)境使用代理，生產(chǎn)環(huán)境使用Nginx或API網(wǎng)關(guān)

2. 敏感操作仍應(yīng)在同源下完成

3. 合理設(shè)置CORS策略，不要使用Access-Control-Allow-Origin: *處理敏感數(shù)據(jù)

4. 考慮使用JWT等無(wú)狀態(tài)認(rèn)證方式減少跨域復(fù)雜性

總結(jié)

跨域問(wèn)題是前端開(kāi)發(fā)中的常見(jiàn)挑戰(zhàn)，理解其原理和解決方案對(duì)于構(gòu)建現(xiàn)代Web應(yīng)用至關(guān)重要。根據(jù)項(xiàng)目需求選擇合適的解決方案，既能保證安全性，又能提供良好的開(kāi)發(fā)體驗(yàn)。