伺服器禁止跨域訪問

❶ 怎麼解決伺服器間的跨域問題

服務端的解決方案的基本原理就是，由客戶端將請求發給本域伺服器，再由本域伺服器的代理來請求數據並將響應返回給客戶端。
最常用的伺服器解決方案就是利用web伺服器本身提供的proxy功能，如apache和lighttpd的mod_proxy模塊。在網路內
部，transmit的分流功能也可以解決部分跨域問題。但這些方法都有一定的局限性，鑒於安全性等問題的考慮，space這邊最後開發了一個專門用於處
理跨域請求代理服務的spproxy模塊，用於徹底解決js跨域問題。
下面我們將以空間的開放平台為例，簡單介紹下如何通過apache的mod_proxy、transmit的分流以及space的spproxy模塊來解
決該跨域問題，並簡單介紹下spproxy的一些特性、缺點及下一步的改進計劃。
空間在展現每個UWA開放模塊之前都必須請求該模塊的xml源代碼以進行解析，每個模塊的源代碼文件都是存放在act域下的/ow/uwa目錄下，那麼在

用戶空間首頁（hi域）中請求該xml文件時就會存在js跨域問題。要解決該問題，只能讓js向hi域的web伺服器請求xml文件，而hi域web服務
器則通過一定的代理機制（如mod_proxy、transmit分流、spproxy）向act域的web伺服器請求文件

❷ 跨域問題解決方法

跨域？他是瀏覽器的 同源策略 造成的，是瀏覽器對javascript施加的安全限制。所謂同源是指：域名、協議、埠均相同。

解決

原理：利用標簽具有可跨域的特性，可實現跨域訪問介面，需要後端的支持。

伺服器在收到請求後，解析參數，計算返還數據，輸出messagetow（data）字元串。

缺點：只能發送get請求，無法訪問伺服器的響應文本（單向請求），即只能獲取數據不能改數據。

通過ajax請求不同域的實現，底層不是靠XmlHttpRequest而是script，所以不要被這個方法給迷惑了。

在ajax請求中類型如果是type是get post，其實內部都只會用get，因為其跨域的原理就是用的動態載入script的src，所以我們只能把參數通過url的方式傳遞

其實jquery內部會轉化成

http://192.168.31.137/train/test/jsonpthree?callback=messagetow

然後動態載入http://192.168.1.114/yii/demos/test.php?backfunc=jQuery2030038573939353227615_1402643146875&action=aaron">

http://192.168.1.114/yii/demos/test.php?backfunc=jQuery2030038573939353227615_1402643146875&action=aaron"><script type="text/javascript" src=" http://192.168.31.137/train/test/jsonpthree?callback=messagetow "></script>

http://192.168.1.114/yii/demos/test.php?backfunc=jQuery2030038573939353227615_1402643146875&action=aaron">

http://192.168.1.114/yii/demos/test.php?backfunc=jQuery2030038573939353227615_1402643146875&action=aaron">

Cross-Origin Resource Sharing（CORS）跨域資源共享是一份瀏覽器技術的規范，提供了 Web 服務從不同域傳來沙盒腳本的方法，以避開瀏覽器的同源策略，確保安全的跨域數據傳輸。現代瀏覽器使用CORS在API容器如XMLHttpRequest來減少HTTP請求的風險來源。與 JSONP 不同，CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。伺服器一般需要增加如下響應頭的一種或幾種：

跨域請求默認不會攜帶Cookie信息，如果需要攜帶，請配置下述參數：

​window.name通過在iframe（一般動態創建i）中載入跨域HTML文件來起作用。然後，HTML文件將傳遞給請求者的字元串內容賦值給window.name。然後，請求者可以檢索window.name值作為響應。

iframe標簽的跨域能力；

window.name屬性值在文檔刷新後依舊存在的能力（且最大允許2M左右）。

每個iframe都有包裹它的window，而這個window是top window的子窗口。 contentWindow 屬性返回<iframe>元素的Window對象。你可以使用這個Window對象來訪問iframe的文檔及其內部DOM。

​ HTML5新特性，可以用來向其他所有的 window 對象發送消息。需要注意的是我們必須要保證所有的腳本執行完才發送 MessageEvent，如果在函數執行的過程中調用了它，就會讓後面的函數超時無法執行。

​ 前提條件：這兩個域名必須屬於同一個基礎域名!而且所用的協議，埠都要一致，否則無法利用document.domain進行跨域，所以只能跨子域

​ 在 根域 范圍內，允許把domain屬性的值設置為它的上一級域。例如，在」aaa.xxx.com」域內，可以把domain設置為 「xxx.com」 但不能設置為 「xxx.org」 或者」com」。

​ 現在存在兩個域名aaa.xxx.com和bbb.xxx.com。在aaa下嵌入bbb的頁面，由於其document.name不一致，無法在aaa下操作bbb的js。可以在aaa和bbb下通過js將document.name = 'xxx.com';設置一致，來達到互相訪問的作用。

WebSocket protocol 是HTML5一種新的協議。它實現了瀏覽器與伺服器全雙工通信，同時允許跨域通訊，是server push技術的一種很棒的實現。相關文章，請查看： WebSocket 、 WebSocket-SockJS

**需要注意：**WebSocket對象不支持DOM 2級事件偵聽器，必須使用DOM 0級語法分別定義各個事件。

同源策略是針對瀏覽器端進行的限制，可以通過伺服器端來解決該問題,例如nginx

DomainA客戶端（瀏覽器） ==> DomainA伺服器 ==> DomainB伺服器 ==> DomainA客戶端（瀏覽器）

❸ 怎麼解決伺服器間的跨域問題

通過設置Http Header方式允許跨域名請求
<?php
header("Access-Control-Allow-Origin: http://www.requesting-page.com");
?>

more details

browser(client) side code examples:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

server side code examples:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Server-Side_Access_Control

怎樣配置Apache 伺服器允許跨域名請求

How do we fix cross domain scripting issue ?

The simple solution is to allow the server to which request is being
made to server request to any domain or to a list of domains. The
important thing to remember is that the changes are to be made in the server which is serving the web service.

There are multiple ways to do it

1. You change settings in your apache』s httpd-vhosts.conf file ( I am using Apache 2.2 )

<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot 「C:/apache-tomcat-6.0.29/webapps/myApplication」
ServerName skill-guru.com
ErrorLog 「logs/skg1-error.log」
CustomLog 「logs/skg1-access.log」 common

Header set Access-Control-Allow-Origin 「*」

<Directory 「C:/apache-tomcat-6.0.29/webapps/myApplication」>
Options -Indexes FollowSymLinks
AllowOverride AuthConfig FileInfo
Order allow,deny
Allow from all
</Directory>

JkUnmount /*.jsp ajp13

</VirtualHost>

Now after you set the value in apache server and look at the header and would see
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2.0.61
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

怎樣配置Tomcat 伺服器允許跨域名請求

If you do not plan to use Apache and for some reasons using tomcat or
any other similar web container which supports filter, here is a ready
made solution, Cors
Filter

This gives you a servlet filter which is compatible with any Java Servlet 2.5+ web container.

Installation is very simple. Add the jar to your libraries

In you web.xml

add this line

<filter>
<filter-name>CORS</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>CORS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>