大家都是草台班子😂,我干了这么多年开发,能把跨域问题说清楚的人也没几个😅

115 天前
 shadowyue
跨域只会出现在浏览器环境中!
跨域只会出现在浏览器环境中!
跨域只会出现在浏览器环境中!
重要的事情说三遍。
我知道为啥很多后端开发很疑惑为啥有这种问题,因为纯服务端之间应该没有这个概念。

首先解释清楚什么情况下,会被认定成跨域:
页面地址的域名是 A ,但是接口请求的地址是 B 。这就是跨域,跨越了不同的域(名)想要去请求资源。

在浏览器中会发生的现象:
浏览器会阻止给和页面地址不同的域名发请求。
这跟语言无关,这就是一个在浏览器环境下的安全策略。

怎么办:
请把你的页面域名加入白名单。使用响应头 Access-Control-Allow-Origin 来处理。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin
或者使用 nginx ,前端请求的接口还是用网页的域名,但是用 ngxin 转发到服务端的地址去。

拓展:
其实后端的响应头是能帮助前端做不少事情的。
比如 Access-Control-Allow-Methods 这个头,能约定接口只能发 post,还是 get
比如 Access-Control-Allow-Headers,后端通常会返回很多响应头字段,
但是在浏览器环境下,为了安全,浏览器只允许 js 访问固定的几个响应头。
如果想让前端访问其它的响应头字段,就可以通过 Allow-Headers 进行配置。

比如如果你想让前端做一个下载进度条,正确的返回 Content-Length ,前端就能计算下载进度。

比如 Content-Disposition ,只要你声明本次请求是一个附件并正确的有文件名称,
就能自动触发浏览器的文件下载,不需要前端在额外做任何事情。

疑问 1:为啥开发环境都没事啊?
类似这个帖子的疑问: https://www.v2ex.com/t/1056317
开发的时候前端本地页面地址是 localhost ,接口地址肯定是其他的,为啥不跨域?
因为现在前端项目,开发用的脚手架通常会在本地用 node.js 启动一个 http 服务,
本来发给 B 域名的请求,会被代码改写成请求到 localhost(或者 127.0.0.1)的 http 服务去,
然后通过 node.js 的转发进行真正的接口调用。
正如我上面说的,跨域只会存在于浏览器环境,node.js 可以给任何域名发 http 请求。

我认为这是现在的前端脚手架提供的一个极其糟糕的功能。
它把跨域这个完全由后端处理的问题默默的在开发环境处理掉了,并且还附加了接口地址改写的各种功能
导致前后端都稀里糊涂的。跨域问题就应该在开发环境处理掉。

疑问 2:
既然开发环境前端都可以自行处理跨域,那我打包部署的时候部署一样应该可以啊?
类似这个帖子的疑问: https://www.v2ex.com/t/1056317
因为普通的前端构建打包后,只有前端的代码。不会包含任何 node.js 的代码。
现在的前端项目就是真真正正的一堆静态资源。不像以前的 jsp 需要服务器跑。
只需要一个 ngxin 来提供静态文件访问的能力就行。

疑问 3:不对啊,我在自己网站可以随便链接好多别的域名的涩图,不也跨域了?
对图片这种资源限制没那么严格,其它类型资源也有这个问题。
现在是可以通过 CSP 策略来告诉浏览器,我只能从什么域名加载什么样的资源。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

疑问 4:为啥我见过浏览器发 option 请求?
正如上面说的,这是浏览器的安全策略。但是有一个问题,如果浏览器从来就没请求过 B 域名,
它怎么知道页面当前域名在不在 B 域名的白名单中呢?
所以就有 option 请求,一个不带任何数据的请求,就是问一下 B 域名的服务器,你给我了啥权限。


个人结尾来点感想:
我不是嘲讽说谁谁菜不懂这个技术点,我干了这么久开发,深知每个人都有自己的局限性。
比如我上面的解释就是我当前的理解,如果有错误那就是我的局限性。
看了我上面解释的一大堆,猜到我本职是后端开发还是前端开发了吗?
如果我上面有任何错误欢迎指正批评。
我知道 V2EX 这里经常嘲讽前端是娱乐圈,但是前端开发作为客户端开发的一个分支,
在加上由于 electron 这个牛逼项目的普及,大家使用的客户端软件,事实上很多都已经是用前端页面来做了。
比如 vscode 就是。包括各种小程序等等,本质都是 web 端的扩展。
只要有技术力还是能做出很棒的软件的。(我之前听说马斯克的很多项目 UI 层都是 electron ,上太空都行)
33661 次点击
所在节点    程序员
272 条回复
caryqy
115 天前
👍
lemon1997
115 天前
挺好的,有些后端跨域也整不明白
netizenHan
115 天前
👍,干了好几年后端,一直听有这个问题,其实也不知道为啥
sofm
115 天前
楼主说的有道理,跨域很好解决。 但有些人又不去研究下
FreshOldMan
115 天前
🐂🍺
InDom
115 天前
看了开头,习惯性先看末尾是否引流,v50 之类的。

作为一个后端,很早之前就理解跨域的缘由,虽然一开始不太理解明明很简单的东西,身边为什么有人就是不理解,就算知道也讲不明白是怎么回事。

后来也释然了,不理解我也不想讲了,反正你知道这样不行就行了,我可不打算把 URI 与 URL 的区别也将清楚。

我也不想扩展太多,因为懂得早就懂得,剩下的你讲了也听不进去,听进去也理解不了。
qq135449773
115 天前
能讲明白跨域该没工作还是没工作,世界就是这样的残酷~
yangxin0
115 天前
需要的时候问一下 GPT 就好了。
shadowyue
115 天前
@qq135449773 没事,乐观点,懂得多总比懂的少更让人感觉充实。
ounxnpz
115 天前
作为后端,我都直接:
```
Access-Control-Allow-Origin: *
```
SleepyRaven
115 天前
/t/1056317 这个帖子确实给我看流汗了
villivateur
115 天前
所以,如果有一个恶意浏览器,故意给某些网站开跨域后门,那用户/被跨域的站点就会被坑。
shadowyue
115 天前
@bluicezhen 开发环境可以,线上还是建议你是用白名单,安全点。
bojackhorseman
115 天前
「 我认为这是现在的前端脚手架提供的一个极其糟糕的功能。
它把跨域这个完全由后端处理的问题默默的在开发环境处理掉了,并且还附加了接口地址改写的各种功能
导致前后端都稀里糊涂的。跨域问题就应该在开发环境处理掉。 」
不认同,这就是脚手架要做的啊。
wangxiang
115 天前
- 有跨域问题请求不通,帮忙放开一下。
- 你就不能搜一下 JS 怎么解决跨域,别什么都来麻烦后台
shadowyue
115 天前
@wangxiang 😅汗流浃背了哥,遇到这样的后端是最麻烦的。
TimPeake
115 天前
唉 认知差异太大。
做好自己就行,别为这些事情上头。
你要知道 工作 3 年的前端/后端,网络知识不通的人大把抓, nginx 基础配置都不懂的更是遍地都是。
告诉自己不要生气,你是来打工的。
bojackhorseman
115 天前
正好准备看面试,学到了新知识
到时候要是没面上拿你试问😡
shadowyue
115 天前
@bojackhorseman 如果没有这个功能,前后端会早早的尝试在开发环境进行跨域处理。
正如我标题的第一句话,既然大家都是草台班子,问题还是早点暴露的好,不要留到线上环境去。
9c04C5dO01Sw5DNL
115 天前
额。。。我认为楼主要是完全搞明白了,就不会说是 “跨域” 了,也不知道这个词最开始是谁给翻译的。 这个词严谨的说法应该叫 “跨源” , 源包含了:域、协议或端口 。"同源策略"中的 “源” 说的也是这个

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1056504

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX