深入了解跨领域问题
前后端分离一时爽,跨域问题愁断肠,自从使用前后端分离进行WEB开发,跨域问题就一直是前后端联调遇到的第一个问题,今天我们来聊聊跨域问题和解决方案。
跨域问题
首先了解一下http请求当中的统一资源定位符(url),使用http协议访问,其实就是基于域名去访问服务器上的资源,既然是资源,那么自然有存放的地址,url就是提供给用户向服务器请求资源的资源地址,有点像你提供给外卖大哥的收货地址,URL的结构如下:
用户通过url访问服务器,服务器返回资源给用户,但是在这个过程当中会有很多安全问题,比如,CSRF(跨域攻击),XSS等。这些安全问题通常都需要用到服务器下发到浏览器本地的内容,比如cookie比如localstorage,那么,这种情况下浏览器为了保证安全,就提出了同源策略:同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。非同源本身也可以访问,但是如果使用浏览器,浏览器会进行请求拦截,这就是好多小伙伴聊到的,我用postman,curl,脚本都可以访问,为啥使用浏览器就不可以了,一般会返回 403 forbidden。同源策略提高了前端访问的安全性,同样也带来了一些问题,这些由于同源策略导致的问题就是跨域问题,跨域问题通常会导致:
1、Cookie、LocalStorage、IndexedDB 限制
2、DOM节点限制
3、ajax请求限制
当然对静态文件加载是没有跨域的,比如:图片,css, js或者a标签。
解决方案
解决跨域问题的思路通常有下面三种:
1、使用跨域不限制的方法请求
这个思路当中最典型的就是jsonp,利用
基本的代码如下:
前端:
<script type='text/javascript'>
window.jsonpCallback = function (res) {
console.log(res)
}
</script>
<script src='http://127.0.0.1:8000/user?id=1&callback=jsonpCallback' type='text/javascript'></script>
后端(Python Flask)
import json
from flask import Flask
from flask import request
app = Flask(__name__)
users = {
"1": {"name": "张三", "age": 18}
}
@app.route("/user")
def userFun():
id = request.args.get("id")
callback = request.args.get('callback')
user_data = json.dumps(users.get(id))
result = callback+"("+user_data+")" #这里返回的user_data就会作为jsonp回调函数接受的数据
return result
if __name__ == "__main__":
app.run(port = 8000)
当然,cors,postMessage,websocket也可以实现跨越的效果。
2、在服务端允许跨域访问
这个逻辑就是在响应数据的时候,设置响应头,通过响应头来保证响应可以跨越,这里还是以flask来举例子。
import json
from flask import Flask
from flask import request
app = Flask(__name__)
#....
@app.after_request
def corsFun(response):
response.headers['Access-Control-Allow-Origin'] = '*'
response.setHeader("Access-Control-Allow-Headers", "*")
response.setHeader("Access-Control-Allow-Methods", "*")
response.setHeader("Access-Control-Allow-Credentials", "true")
return response
if __name__ == "__main__":
app.run(port=8000)
3、转跨域请求为同源请求
个人感觉,这种方法在开发过程最实惠,就是得提前做好规划,然后和运维的小伙伴打好基础,最简单的实现,nginx转发为同源,基本的配置:
server {
listen 80;
location / {
root /usr/share/nginx/html;
index index.html index.htm; //后端接口地址
}
//转发接口地址
location /api {
proxy_path 127.0.0.1:8000/api; //后端接口地址
}
}
那么前端就可以通过请求 http://nginx_host:80/api请求到后端服务
关于跨域和同源就先聊这么多,具体使用哪种还是要结合实际的使用场景的。
下一篇: 论语》告诉你,外在和内在哪个更重要。
推荐阅读
-
解决跨领域问题的方法和原则
-
深入了解跨领域问题
-
解决跨领域问题,例如调用百度地图
-
深入:了解前后端分离的优势、前后端界面调整和优化问题
-
深入了解多租户系统设计:关键问题与实例分析
-
包婷婷 (201550484)作业一 统计软件简介与数据操作-SPSS(Statistical Product and Service Solutions),"统计产品与服务解决方案"软件。最初软件全称为"(SolutionsStatistical Package for the Social Sciences),但是随着SPSS产品服务领域的扩大和服务深度的增加,SPSS公司已于2000年正式将英文全称更改为"统计产品与服务解决方案",标志着SPSS的战略方向正在做出重大调整。为IBM公司推出的一系列用于统计学分析运算、数据挖掘、预测分析和决策支持任务的软件产品及相关服务的总称SPSS,有Windows和Mac OS X等版本。 1984年SPSS总部首先推出了世界上第一个统计分析软件微机版本SPSS/PC+,开创了SPSS微机系列产品的开发方向,极大地扩充了它的应用范围,并使其能很快地应用于自然科学、技术科学、社会科学的各个领域。世界上许多有影响的报刊杂志纷纷就SPSS的自动统计绘图、数据的深入分析、使用方便、功能齐全等方面给予了高度的评价。 R统计软件介绍 R是一套完整的数据处理、计算和制图软件系统。其功能包括:数据存储和处理系统;数组运算工具(其向量、矩阵运算方面功能尤其强大);完整连贯的统计分析工具;优秀的统计制图功能;简便而强大的编程语言:可操纵数据的输入和输出,可实现分支、循环,用户可自定义功能。 与其说R是一种统计软件,还不如说R是一种数学计算的环境,因为R并不是仅仅提供若干统计程序、使用者只需指定数据库和若干参数便可进行一个统计分析。R的思想是:它可以提供一些集成的统计工具,但更大量的是它提供各种数学计算、统计计算的函数,从而使使用者能灵活机动的进行数据分析,甚至创造出符合需要的新的统计计算方法。 该语言的语法表面上类似 C,但在语义上是函数设计语言(functional programming language)的变种并且和Lisp 以及 APL有很强的兼容性。特别的是,它允许在"语言上计算"(computing on the language)。这使得它可以把表达式作为函数的输入参数,而这种做法对统计模拟和绘图非常有用。 R是一个免费的*软件,它有UNIX、LINUX、MacOS和WINDOWS版本,都是可以免费下载和使用的。在R主页那儿可以下载到R的安装程序、各种外挂程序和文档。在R的安装程序中只包含了8个基础模块,其他外在模块可以通过CRAN获得。 二、R语言 R是用于统计分析、绘图的语言和操作环境。R是属于GNU系统的一个*、免费、源代码开放的软件,它是一个用于统计计算和统计制图的优秀工具。 R作为一种统计分析软件,是集统计分析与图形显示于一体的。它可以运行于UNIX,Windows和Macintosh的操作系统上,而且嵌入了一个非常方便实用的帮助系统,相比于其他统计分析软件,R还有以下特点: 1.R是*软件。这意味着它是完全免费,开放源代码的。可以在它的网站及其镜像中下载任何有关的安装程序、源代码、程序包及其源代码、文档资料。标准的安装文件身自身就带有许多模块和内嵌统计函数,安装好后可以直接实现许多常用的统计功能。[2] 2.R是一种可编程的语言。作为一个开放的统计编程环境,语法通俗易懂,很容易学会和掌握语言的语法。而且学会之后,我们可以编制自己的函数来扩展现有的语言。这也就是为什么它的更新速度比一般统计软件,如,SPSS,SAS等快得多。大多数最新的统计方法和技术都可以在R中直接得到。[2] 3. 所有R的函数和数据集是保存在程序包里面的。只有当一个包被载入时,它的内容才可以被访问。一些常用、基本的程序包已经被收入了标准安装文件中,随着新的统计分析方法的出现,标准安装文件中所包含的程序包也随着版本的更新而不断变化。在另外版安装文件中,已经包含的程序包有:base一R的基础模块、mle一极大似然估计模块、ts一时间序列分析模块、mva一多元统计分析模块、survival一生存分析模块等等.[2] 4.R具有很强的互动性。除了图形输出是在另外的窗口处,它的输入输出窗口都是在同一个窗口进行的,输入语法中如果出现错误会马上在窗口口中得到提示,对以前输入过的命令有记忆功能,可以随时再现、编辑修改以满足用户的需要。输出的图形可以直接保存为JPG,BMP,PNG等图片格式,还可以直接保存为PDF文件。另外,和其他编程语言和数据库之间有很好的接口。[2] 5.如果加入R的帮助邮件列表一,每天都可能会收到几十份关于R的邮件资讯。可以和全球一流的统计计算方面的专家讨论各种问题,可以说是全世界最大、最前沿的统计学家思维的聚集地.[2] R是基于S语言的一个GNU项目,所以也可以当作S语言的一种实现,通常用S语言编写的代码都可以不作修改的在R环境下运行。 R的语法是来自Scheme。R的使用与S-PLUS有很多类似之处,这两种语言有一定的兼容性。S-PLUS的使用手册,只要稍加修改就可作为R的使用手册。所以有人说:R,是S-PLUS的一个“克隆”。 但是请不要忘了:R是免费的(R is free)。R语言源代码托管在github,具体地址可以看参考资料。[3] 。 R语言的下载可以通过CRAN的镜像来查找。 R语言有域名为.cn的下载地址,有六个,其中两个由Datagurn,由 中国科学技术大学提供的。R语言Windows版,其中由两个下载地点是Datagurn和 USTC提供的。 三、stata Stata 是一套提供其使用者数据分析、数据管理以及绘制专业图表的完整及整合性统计软件。它提供许许多多功能,包含线性混合模型、均衡重复反复及多项式普罗比模式。用Stata绘制的统计图形相当精美。 新版本的STATA采用最具亲和力的窗口接口,使用者自行建立程序时,软件能提供具有直接命令式的语法。Stata提供完整的使用手册,包含统计样本建立、解释、模型与语法、文献等超过一万余页的出版品。 除此之外,Stata软件可以透过网络实时更新每天的最新功能,更可以得知世界各地的使用者对于STATA公司提出的问题与解决之道。使用者也可以透过Stata. Journal获得许许多多的相关讯息以及书籍介绍等。另外一个获取庞大资源的管道就是Statalist,它是一个独立的listserver,每月交替提供使用者超过1000个讯息以及50个程序。 四、PYTHON
-
更深入地了解幂等性和幂等性问题与 Restful 风格 API 的详细关系
-
跨领域问题的前端解决方案
-
深入了解小红书应用程序接口界面:探索领域、功能和用法
-
我如何轻松融入并深入了解安全领域(附官方详细解读)