AJAX 跨域解决方案

什么是AJAX ?

AJAX 是无需刷新页面就能够从服务器去的数据的一种方法,负责Ajax运作的核心对象是XMLHttpRequest(XHR)对象。

同源策略是对XHR的一个主要约束,它为通信设置了“相同的域、相同的端口、相同的协议”这一限制。
试图访问上述限制之外的资源都会引发安全错误,除非采用被认可的跨域解决方案。

这个方案叫做CORS(Cross-Origin Resource Sharing)跨源资源共享。

哪些访问属于跨域?

  • http://a.com 不允许访问 http://b.com(不同域)
  • http://a.com 不允许访问 https://a.com(同一域名,不同协议)
  • http://a.com 不允许访问 http://a.com:8080(同一域名,不同端口)
  • http://a.com 不允许访问 http://192.168.1.1(域名和域名对应的ip)
  • http://a.a.com 不允许访问 http://b.a.com(主域相同,子域不同)

三种解决方案:

  • 方案一://弊端:存在浏览器兼容的问题?

    服务方设置: Access-Control-Allow-Origin。

    Access-Control-Allow-Origin 可设置为 * 。

    //设置可供访问的白名单
    $white_list = ['http://t1.abc.com','http://t2.abc.com'];
    
    $_SERVER['HTTP_ORIGIN'] //表示请求方的域名
    
    $http_origin = '';
    if (!empty($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'],$white_list)) {
        $http_origin = $_SERVER['HTTP_ORIGIN'];
    
        //设置 header 信息
        header("Access-Control-Allow-Origin: {$http_origin}");
        header("Access-Control-Allow-Methods", "POST,GET");
        header('Access-Control-Allow-Credentials:true');  //允许访问Cookie
        header('Access-Control-Allow-Headers : X-Requested-With'); //设置Headers
    }
    //执行代码逻辑...

    另:如果请求的是html,在文件里加上meta标签。

    <meta http-equiv="Access-Control-Allow-Origin" content="*">
  • 方案二://弊端:不支持 POST 请求。

    使用 JSONP 进行解决跨域问题,网上文章蛮多的。

  • 方案三:与方案一类似。

    修改Nginx Apache 配置。

    //Nginx
    
    http {
      ......
      add_header Access-Control-Allow-Origin *;
      add_header Access-Control-Allow-Headers X-Requested-With;
      add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
      ......
    }
    
    Apache :
    
    <Directory />
        ......
        Header set Access-Control-Allow-Origin *
    </Directory>
  • 方案四:添加 ajax的 crossDomain:true;选项!

Thanks ~

AJAX 跨域解决方案
标签: