# 跨域

**Repository Path**: linwt0/cross_domain

## Basic Information

- **Project Name**: 跨域
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2020-06-29
- **Last Updated**: 2020-12-19

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

#### 跨域

【九种跨域方式实现原理（完整版）】



###1.什么是同源策略及其限制内容？

    同源策略是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，
    浏览器很容易受到XSS、CSRF等攻击。
    所谓同源是指"协议+域名+端口"三者相同，
    即便两个不同的域名指向同一个ip地址，也非同源。


###一个域名地址的组成：
        http://www.abc.com:8080/get
        
        http:// 是协议
        www 是子域名
        abc.com 是主域名
        8080 是端口
        get 是请求资源地址

###同源策略限制内容有：
        Cookie、LocalStorage、IndexedDB 等存储性内容
        DOM 节点
        AJAX 请求发送后，结果被浏览器拦截了
        
        但是有三个标签是允许跨域加载资源：
        <img src=XXX>
        <link href=XXX>
        <script src=XXX>

###常见跨域场景
    当协议、子域名、主域名、端口号中任意一个不相同时，都算作不同域。
    不同域之间相互请求资源，就算作“跨域”。
    
    
    记住除了最后那个请求资源地址不一样之外，其他四个不同即是跨域。
    另外域名和域名对应IP,也不允许跨域
    
    特别说明两点：
    第一：如果是协议和端口造成的跨域问题“前台”是无能为力的。
    第二：在跨域问题上，仅仅是通过“URL的首部”来识别而不会根据域名对应的IP地址是否相同来判断
    。“URL的首部”可以理解为“协议, 域名和端口必须匹配”。
    
    跨域请求能发出去，服务端能收到请求并正常返回结果，只是结果被浏览器拦截了。
    
### 跨域解决方案

### 总结
    
    对浏览器的同源政策的理解是，一个域下的 js 脚本在未经允许的情况下，不能够访问另一个域的内容。
    这里的同源的指的是两个域的协议、域名、端口号必须相同，否则则不属于同一个域。

    同源政策主要限制了三个方面:
    第一个是当前域下的 js 脚本不能够访问其他域下的 cookie、localStorage 和 indexDB。

    第二个是当前域下的 js 脚本不能够操作访问操作其他域下的 DOM。

    第三个是当前域下 ajax 无法发送跨域请求。

    同源政策的目的主要是为了保证用户的信息安全，它只是对 js 脚本的一种限制，并不是对浏览器的限制，对于一般的 img、或者
    script 脚本请求都不会有跨域的限制，这是因为这些操作都不会通过响应结果来进行可能出现安全问题的操作。

    各种跨域解决方案的比较：
    1、CORS支持所有类型的HTTP请求，是跨域HTTP请求的根本解决方案
    2、JSONP只支持GET请求，JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。
    3、不管是Node中间件代理还是nginx反向代理，主要是通过同源策略对服务器不加限制。
    4、日常工作中，用得比较多的跨域方案是cors和nginx反向代理