across浏览器，浏览器跨越解决方案：across浏览器

1. 什么是浏览器跨越？

浏览器跨越指的是直接在浏览器端向不同的域名或不同的端口发出Ajax请求时，由于浏览器的安全限制，会禁止跨域请求。这是由于同源策略限制的。同源策略指的是：如果两个URL的协议、域名或端口有任何一个不同，都被视为不同的来源，之间的交互都受到安全限制。因此，跨域或跨端口请求可能会受到浏览器的拒绝，导致请求失败或无法执行。

2. 跨域解决方案

为了解决浏览器跨域问题，各种解决方案横空出世，如JSONP、CORS、代理、PostMessage等。其中，JSONP是最古老的一种解决方案，它可以通过script标签的src属性向目标域名发出请求，服务器返回一段JavaScript代码，并可在发出请求的HTML文档中执行。JSONP以回调函数的形式返回数据，但存在安全性问题，容易受到XSS攻击。CORS是目前最常用的解决方案，需要服务器端进行设置。

3. 跨域资源共享（CORS）

CORS是使用HTTP请求头来告知浏览器服务器是否允许请求特定资源的一种机制。服务器通过Access-Control-Allow-Origin响应头告诉浏览器允许哪些域名访问资源，浏览器在发出请求时携带Origin请求头告诉服务器请求来自哪个域名。若服务器判断请求可以允许跨域访问，则可以在响应头加上Access-Control-Allow-Origin:*，表示所有域名可访问。CORS相对于JSONP更加安全，但需要服务器端进行支持。

4. 代理

代理就是客户端向服务器发送请求时，先将请求发送给代理服务器，由代理服务器代替客户端发送请求，将结果返回客户端。因为代理服务器和目标服务器在同一个域，不存在跨域问题。但这种方式会增加网络开销，影响请求效率，并且需要开发额外的代理服务器来进行处理，因此使用场景较为有限。

5. PostMessage

PostMessage是一种 HTML5引入的 API，可用于异步地从一个窗口通向另一个窗口传递消息。与CORS直接请求服务器不同，PostMessage是在客户端之间进行通信，不需要在服务器端进行跨域设置。应用场景包括：iframe、跨域单点登录（SSO）和跨域嵌入式页面通信等。

6. 跨域安全性问题

跨域请求带来的安全性问题也需引起我们的关注。如果第三方网站可向其它网站发出跨域请求，就可以向受害者发送攻击请求，从而窃取其敏感信息。这时，可以使用服务器端校验和防御措施，如限制允许请求资源的种类，添加CSRF令牌、token等，在前端代码中增加跨域安全性控制等。

7. 总结

跨域请求的出现主要是由于同源策略的限制，为解决这一问题，我们需要借助CORS、JSONP、代理、PostMessage等方式，且需要考虑安全性问题。通常情况下，我们使用CORS即可解决浏览器跨域问题。在前端开发中，了解浏览器跨域技术的解决方案，对于我们编写更加安全、高效的前端程序也是很有帮助的。

END.

文章TAG：across  浏览  浏览器  跨越  across浏览器