深入理解跨域和最佳实践分享

2023-01-17  本文已影响0人  Crazy_Urus

跨域是前端开发中一个非常常见的问题,尤其是随着单页应用(Single Page Application, SPA)的兴起,前后端分离开发和部署,前端在本地开发和部署的过程中都会面临着跨域问题。我们再次聊聊跨域这个话题,以及项目中对跨域的一些实践经验,希望带来一些新的收获。

什么是跨域

首先我们需要了解下什么是同源策略,MDN 中是这样介绍的:

同源策略是浏览器的一个重要安全策略,它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行操作。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

从这段话我们得知,同源策略是浏览器安全策略,(Origin)是判断是否满足同源策略的条件。我们常说的跨域,准确来说应该是跨源,目的是不受同源策略的限制去操作另一个源的资源。例如当我们在本地开发时,源是 http://localhost:3000,而服务端接口的地址是 https://api.feishu.cn,此时通过 Fetch API 访问接口就会产生跨域。

同源策略源自于浏览器,反之在非浏览器的环境下,一般是没有同源策略限制的。例如在 Node.js 中,我们可以请求任意的网址并得到结果。因此基于 Node.js 的服务端可以直接跨域访问资源。

当然我们也可以关闭浏览器的同源策略,关闭后浏览器环境下也可以直接跨域。以 Chrome 为例,通过给 Chrome 增加启动参数:

$ /path/to/chrome.app --disable-web-security

即可关闭。关闭后浏览器会有安全风险,建议只用在本地开发上

源由协议域名(准确来说是主机名,因为除了域名也可以是 IP)、端口号共同决定,三者完全相同的两个 URL 会被认为是同源。举几个例子:

特别的,当我们直接打开一个 HTML 文件时,使用的是 file 协议,请求 HTTP 资源时协议不同,会产生跨域。

源是允许被有限度的修改,浏览器提供了 API 可以将子域名下的源修改为父域名的源,例如我们在 https://open.feishu.cn 下执行:

document.domain = 'feishu.cn';

此时页面的源就变成了 https://feishu.cn 满足同源策略,我们就可以直接访问父域名下的资源。如果修改为非父域名(如 bytedance.com),浏览器会报错。

同源策略控制不同源之间的操作,这些操作通常分为三类:

根据这个分类,我们来重点讨论几种情况:

需要特别说明的是:

简单请求必须满足以下条件:

不满足上述条件的即为非简单请求。例如当我们在请求头增加 X-JWT-TokenContent-Type: application/json 时,这个请求就是非简单请求。

为什么需要同源策略

上面我们说了,同源策略是一个安全策略。如果同源策略被关闭,个人信息将会有安全风险,例如:

跨域的最佳实践

那么我们如何才能跨域呢?浏览器在同源策略的基础上,提出一种可以安全的跨域机制称为跨源资源共享(Cross Origin Resource Sharing,CORS)。当然在这个机制发布之前,也有 JSONP 等满足浏览器安全机制的跨域方案,本文不具体讨论。

CORS 的使用很简单,服务端(即被请求的资源)在响应头中增加:

Access-Control-Allow-Origin: https://www.bytedance.com

即可,其中的值表示允许跨域访问的源,此时 https://www.bytedance.com 就可以访问这个服务器的资源。我们可以看出,请求是成功发送并得到响应的,浏览器才能拿到 Access-Control-Allow-Origin 响应头并判断是否可以跨域(先请求再判断)。那么对于非简单请求,为了避免资源被意外修改,是需要先判断是否可以跨域再发起修改请求的(先判断再请求),这时浏览器就会先发起一个预检请求(HTTP 方法为 OPTIONS),拿到服务端返回的 Access-Control-Allow-Origin 并判断,满足允许跨域的话再发起真实请求。

如果我们无法修改服务端呢?可以实现一个我们可控的代理服务端,增加允许跨域响应头或直接同域,解决跨域问题,例如通过 NginxCharleswebpack-dev-server 代理。

下面我们来讨论项目中几种常见的跨域场景和最佳实践:

跨域请求需要携带 Cookie

XMLHttpRequestFetch API 在发起跨域请求时默认是不携带服务端所在源的 Cookie,这样影响到了服务端的用户身份鉴别。我们需要增加参数,例如:

const xhr = new XMLHttpRequest();
xhr.withCredentials = true;

fetch(url, {
  credentials: 'include',
});

浏览器才会携带 Cookie,同时服务端需要返回响应头:

Access-Control-Allow-Credentials: true

浏览器才会正常将响应内容返回给我们,否则会抛出错误

允许白名单内的源跨域请求

当有多个源需要允许跨域访问时,服务端可以配置

Access-Control-Allow-Origin: *

允许所有源跨域访问,但开放范围太大有一定的安全隐患,同时这种情况下浏览器不允许携带 Cookie。我们需要对源精细化的控制,但 Access-Control-Allow-Origin 不允许设置多个源。我们可以通过请求头 Origin 加白名单判断的方式,动态返回 Access-Control-Allow-Origin 的值解决。

Origin 是跨域请求时浏览器自动携带的值,表示请求的源,我们在服务端定义一个白名单判断这个源是否在白名单中,如果在则返回 Access-Control-Allow-Origin 的值等于请求头的 Origin。以 express 为例代码如下:

const whiteList = ['https://jobs.bytedance.com', 'https://www.bytedance.com'];

app.get('/path/to/api', (request, response) => {
  const { origin } = request.headers;
  
  if (whiteList.includes(origin)) {
    response.header('Access-Control-Allow-Origin', origin);
    response.header('Access-Control-Allow-Credentials', true);
  }
});

获取跨域请求返回的某些响应头

跨域响应中的响应头默认并不是所有的都可以被我们获取到,默认浏览器只返回一些基本响应头,包括:

当我们需要获取一些额外的响应头,例如 X-TT-LogID 用于记录每次请求的 logID,我们需要让服务端返回响应头:

Access-Control-Expose-Headers: X-TT-LogID

才可以获取到

获取资源使用简单请求

前面我们了解到,非简单请求会先发起预检请求以检查是否允许跨域,因此需要两次 HTTP 请求才能完成这次操作。对于我们已知是读操作的请求,我们可以尽量满足简单请求的条件以减少预检请求,从而减少请求时间。

一般来说,我们需要注意的地方如下:

CDN 资源也需要允许跨域

如果我们接入了 SentryPerfsee 等前端监控平台并需要监控站点的 JS 脚本错误,且这些 JS 脚本是部署在 CDN 服务器上,由于 CDN 和我们的站点往往不同源,浏览器对于不同源的 <script> 资源嵌入不会返回具体的错误信息(读取错误信息属于读操作受同源策略控制),这样监控平台收集到的错误信息不完整,对定位问题带来了负面影响。

我们需要让 CDN 服务器也返回 Access-Control-Allow-Origin 头允许我们的源,同时所有引入 JS 的 <script> 需要增加 crossorigin 属性:

<script src="/path/to/cdn" crossorigin="anonymous"></script>

总结

我们从三个角度讨论了跨域是什么、为什么需要同源策略以及跨域的解决方案和实践,重点总结如下:

如果有其它关于跨域的最佳实践,欢迎分享

上一篇 下一篇

猜你喜欢

热点阅读