如何解决 RESTful API 中的跨域访问问题

本文将介绍在前端应用中，如何解决 RESTful API 中的跨域访问问题，并提供详细的实现方法和示例代码，以便读者能够深入了解和理解该问题。

什么是跨域访问

跨域访问指的是客户端 JavaScript 代码加载了一个来自不同域名、端口或协议的资源，这种情况下会产生跨域访问的问题。例如，当一个页面位于 www.example.com 上，而它试图通过 AJAX 请求另一个域名 api.example.com 上的数据时，就会产生跨域访问问题。

跨域访问的问题

跨域访问带来的问题不仅限于跨域数据的获取，还包括 CSRF（跨站请求伪造）攻击、点击劫持等安全问题。所以，浏览器会限制跨域访问，以保护用户数据和隐私。

在前端应用中，RESTful API 通常使用 Ajax 技术进行数据交互，但 Ajax 请求受到跨域访问的限制。因此，需要使用一些技术手段来解决这个问题。

解决跨域访问问题的方法

JSONP

JSONP 是一种利用动态插入 script 标签可以跨域请求的方法。其原理是利用 script 标签没有跨域限制的特性，请求的服务端在响应时，返回一段 JavaScript 代码，该代码被浏览器当做脚本执行，从而实现跨域请求的效果。

实现步骤如下：

1. 客户端定义一个回调函数
2. 通过 script 标签动态加载 URL，将回调函数的名称作为参数传递给服务端
3. 服务端在响应时，将回调函数名和数据封装成一个函数调用的形式返回给客户端
4. 客户端接收到响应后，执行回调函数，并将响应数据作为参数传递给回调函数

// javascriptcn.com 代码示例
function jsonp(url, callback) {
  let script = document.createElement('script');
  script.src = url + '?callback=' + callback;
  document.body.appendChild(script);
}

function callBackFun(result) {
  console.log(result);
}

jsonp('http://example.com/getData', 'callBackFun');

CORS

CORS（跨域资源共享）是一种标准化的跨域请求技术，可以通过设置一些 HTTP 头信息来表明当前请求合法。CORS 需要服务端进行支持，并且需要浏览器的支持。

实现步骤如下：

1. 服务端在响应中添加 Access-Control-Allow-Origin 头信息，指定允许访问的域名
2. 可选的设置 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 头信息，用于指定允许的 HTTP 方法和允许的请求头信息
3. 客户端发起 Ajax 请求时，浏览器会向服务端发送一个预检请求（OPTIONS 请求方法），用于查询是否允许该请求
4. 收到预检请求后，服务端返回 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 头信息，表示请求合法
5. 客户端收到响应后，才会发送真正的请求

// javascriptcn.com 代码示例
const xhr = new XMLHttpRequest();
xhr.open('GET', ‘http://example.com/getData');
xhr.withCredentials = true;

xhr.onload = function () {
  console.log(xhr.responseText);
}

xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send();

代理

代理是一种通过在同源服务器端进行数据请求和传输，再由服务端发送请求到其他域的方式，实现跨域请求的效果。客户端不需要直接访问目标地址，而是通过同源服务器的代理服务访问目标地址，在代理服务中通过后端技术发送真正的请求和接收响应数据。

客户端使用和同源请求一样的方式，但是将请求地址配置为代理服务地址，然后在代理服务中发送真正的请求，并将响应数据返回给客户端。

// javascriptcn.com 代码示例
const xhr = new XMLHttpRequest();
xhr.open('GET', '/proxy/getData');

xhr.onload = function () {
  console.log(xhr.responseText);
}

xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.send();

总结

本文介绍了三种解决跨域访问问题的方法：JSONP、CORS 和代理。三种方法有各自的优缺点，根据实际的需求和限制选择合适的方法才是最好的选择。

参考资料：

1. 跨域资源共享（CORS） | MDN
2. Ajax 中的跨域及解决办法 | 知乎
3. CORS 跨域访问详解 | 阮一峰的网络日志

来源：JavaScript中文网 ，转载请注明来源 本文地址：https://www.javascriptcn.com/post/654c96b87d4982a6eb60b48d