在開發(fā)和調(diào)試 Web 應(yīng)用程序時，能夠輕松地打印出當(dāng)前 URL 和查詢參數(shù)非常有幫助。這有助于跟蹤應(yīng)用程序的狀態(tài)并隔離問題。

在 JavaScript 中，我們可以使用 location.href 屬性來獲取當(dāng)前 URL。

// 獲取當(dāng)前 URL
const url = location.href;// 輸出當(dāng)前 URL
console.log(`當(dāng)前 URL：${url}`);

我們可以使用 location.search 屬性來獲取查詢參數(shù)。

// 獲取查詢參數(shù)
const searchParams = location.search;// 輸出查詢參數(shù)
console.log(`查詢參數(shù)：${searchParams}`);

利用這些特性，我們可以在 Web 應(yīng)用程序中創(chuàng)建簡單的調(diào)試工具。

利用 localStorage 做一個歌曲收藏

下面，我們利用 location.href 和 localStorage 來創(chuàng)建一個簡單的歌曲收藏應(yīng)用。

// 創(chuàng)建一個歌曲收藏
const songs = [];// 將歌曲添加到收藏
function addSong(song) {songs.push(song);localStorage.setItem('songs', JSON.stringify(songs));
}// 從收藏中刪除歌曲
function removeSong(song) {const index = songs.indexOf(song);if (index > -1) {songs.splice(index, 1);localStorage.setItem('songs', JSON.stringify(songs));}
}// 獲取歌曲收藏
function getSongs() {const storedSongs = localStorage.getItem('songs');if (storedSongs) {return JSON.parse(storedSongs);} else {return [];}
}// 打印當(dāng)前 URL 和歌曲收藏
function debug() {console.log(`當(dāng)前 URL：${location.href}`);console.log(`歌曲收藏：${JSON.stringify(getSongs())}`);
}

我們可以通過以下方式使用這個應(yīng)用：

1. 添加歌曲到收藏：調(diào)用 addSong 函數(shù)。 2. 從收藏中刪除歌曲：調(diào)用 removeSong 函數(shù)。 3. 獲取歌曲收藏：調(diào)用 getSongs 函數(shù)。 4. 調(diào)試：調(diào)用 debug 函數(shù)以輸出當(dāng)前 URL 和歌曲收藏。

通過使用 location.href 和 localStorage ，我們創(chuàng)建了一個簡單的工具，可以幫助我們調(diào)試應(yīng)用程序并跟蹤其狀態(tài)。

---

web前端開發(fā)需要用到哪些知識

應(yīng)該熟練掌握的基礎(chǔ)技能：

java web應(yīng)用如何實現(xiàn)單點登錄

在 B/S 系統(tǒng)中，登錄功能通常都是基于 Cookie 來實現(xiàn)的。 當(dāng)用戶登錄成功后，一般會將登錄狀態(tài)記錄到 Session 中，或者是給用戶簽發(fā)一個 Token，無論哪一種方式，都需要在客戶端保存一些信息（Session ID 或 Token ），并要求客戶端在之后的每次請求中攜帶它們。 在這樣的場景下，使用 Cookie 無疑是最方便的，因此我們一般都會將 Session 的 ID 或 Token 保存到 Cookie 中，當(dāng)服務(wù)端收到請求后，通過驗證 Cookie 中的信息來判斷用戶是否登錄 。

單點登錄（Single Sign On, SSO）是指在同一帳號平臺下的多個應(yīng)用系統(tǒng)中，用戶只需登錄一次，即可訪問所有相互信任的應(yīng)用系統(tǒng)。 舉例來說，網(wǎng)絡(luò)貼吧和網(wǎng)絡(luò)地圖是網(wǎng)絡(luò)公司旗下的兩個不同的應(yīng)用系統(tǒng)，如果用戶在網(wǎng)絡(luò)貼吧登錄過之后，當(dāng)他訪問網(wǎng)絡(luò)地圖時無需再次登錄，那么就說明網(wǎng)絡(luò)貼吧和網(wǎng)絡(luò)地圖之間實現(xiàn)了單點登錄。

單點登錄的本質(zhì)就是在多個應(yīng)用系統(tǒng)中共享登錄狀態(tài)。 如果用戶的登錄狀態(tài)是記錄在 Session 中的，要實現(xiàn)共享登錄狀態(tài)，就要先共享 Session，比如可以將 Session 序列化到 Redis 中，讓多個應(yīng)用系統(tǒng)共享同一個 Redis，直接讀取 Redis 來獲取 Session。

當(dāng)然僅此是不夠的，因為不同的應(yīng)用系統(tǒng)有著不同的域名，盡管 Session 共享了，但是由于 Session ID 是往往保存在瀏覽器 Cookie 中的，因此存在作用域的限制，無法跨域名傳遞，也就是說當(dāng)用戶在 中登錄后，Session ID 僅在瀏覽器訪問 時才會自動在請求頭中攜帶，而當(dāng)瀏覽器訪問 時，Session ID 是不會被帶過去的。 實現(xiàn)單點登錄的關(guān)鍵在于，如何讓 Session ID（或 Token）在多個域中共享。

實現(xiàn)方式一：父域 Cookie

在將具體實現(xiàn)之前，我們先來聊一聊 Cookie 的作用域。

Cookie 的作用域由 domain 屬性和 path 屬性共同決定。 domain 屬性的有效值為當(dāng)前域或其父域的域名/IP地址，在 Tomcat 中，domain 屬性默認(rèn)為當(dāng)前域的域名/IP地址。 path 屬性的有效值是以“/”開頭的路徑，在 Tomcat 中，path 屬性默認(rèn)為當(dāng)前 Web 應(yīng)用的上下文路徑。

如果將 Cookie 的 domain 屬性設(shè)置為當(dāng)前域的父域，那么就認(rèn)為它是父域 Cookie。 Cookie 有一個特點，即父域中的 Cookie 被子域所共享，換言之，子域會自動繼承父域中的Cookie。

利用 Cookie 的這個特點，不難想到，將 Session ID（或 Token）保存到父域中不就行了。 沒錯，我們只需要將 Cookie 的 domain 屬性設(shè)置為父域的域名（主域名），同時將 Cookie 的 path 屬性設(shè)置為根路徑，這樣所有的子域應(yīng)用就都可以訪問到這個 Cookie 了。 不過這要求應(yīng)用系統(tǒng)的域名需建立在一個共同的主域名之下，如 和 ，它們都建立在 這個主域名之下，那么它們就可以通過這種方式來實現(xiàn)單點登錄。

總結(jié)：此種實現(xiàn)方式比較簡單，但不支持跨主域名。

實現(xiàn)方式二：認(rèn)證中心

我們可以部署一個認(rèn)證中心，認(rèn)證中心就是一個專門負(fù)責(zé)處理登錄請求的獨立的 Web 服務(wù)。

用戶統(tǒng)一在認(rèn)證中心進(jìn)行登錄，登錄成功后，認(rèn)證中心記錄用戶的登錄狀態(tài)，并將 Token 寫入 Cookie。 （注意這個 Cookie 是認(rèn)證中心的，應(yīng)用系統(tǒng)是訪問不到的。 ）

應(yīng)用系統(tǒng)檢查當(dāng)前請求有沒有 Token，如果沒有，說明用戶在當(dāng)前系統(tǒng)中尚未登錄，那么就將頁面跳轉(zhuǎn)至認(rèn)證中心。 由于這個操作會將認(rèn)證中心的 Cookie 自動帶過去，因此，認(rèn)證中心能夠根據(jù) Cookie 知道用戶是否已經(jīng)登錄過了。 如果認(rèn)證中心發(fā)現(xiàn)用戶尚未登錄，則返回登錄頁面，等待用戶登錄，如果發(fā)現(xiàn)用戶已經(jīng)登錄過了，就不會讓用戶再次登錄了，而是會跳轉(zhuǎn)回目標(biāo) URL ，并在跳轉(zhuǎn)前生成一個 Token，拼接在目標(biāo) URL 的后面，回傳給目標(biāo)應(yīng)用系統(tǒng)。

應(yīng)用系統(tǒng)拿到 Token 之后，還需要向認(rèn)證中心確認(rèn)下 Token 的合法性，防止用戶偽造。 確認(rèn)無誤后，應(yīng)用系統(tǒng)記錄用戶的登錄狀態(tài)，并將 Token 寫入 Cookie，然后給本次訪問放行。 （注意這個 Cookie 是當(dāng)前應(yīng)用系統(tǒng)的，其他應(yīng)用系統(tǒng)是訪問不到的。 ）當(dāng)用戶再次訪問當(dāng)前應(yīng)用系統(tǒng)時，就會自動帶上這個 Token，應(yīng)用系統(tǒng)驗證 Token 發(fā)現(xiàn)用戶已登錄，于是就不會有認(rèn)證中心什么事了。

這里順便介紹兩款認(rèn)證中心的開源實現(xiàn)：

Apereo CAS 是一個企業(yè)級單點登錄系統(tǒng)，其中 CAS 的意思是”Central Authentication Service“。 它最初是耶魯大學(xué)實驗室的項目，后來轉(zhuǎn)讓給了 JASIG 組織，項目更名為 JASIG CAS，后來該組織并入了Apereo 基金會，項目也隨之更名為 Apereo CAS。

XXL-SSO 是一個簡易的單點登錄系統(tǒng)，由大眾點評工程師許雪里個人開發(fā)，代碼比較簡單，沒有做安全控制，因而不推薦直接應(yīng)用在項目中，這里列出來僅供參考。

總結(jié)：此種實現(xiàn)方式相對復(fù)雜，支持跨域，擴(kuò)展性好，是單點登錄的標(biāo)準(zhǔn)做法。

實現(xiàn)方式三：LocalStorage 跨域

前面，我們說實現(xiàn)單點登錄的關(guān)鍵在于，如何讓 Session ID（或 Token）在多個域中共享。

父域 Cookie 確實是一種不錯的解決方案，但是不支持跨域。那么有沒有什么奇淫技巧能夠讓 Cookie 跨域傳遞呢？

很遺憾，瀏覽器對 Cookie 的跨域限制越來越嚴(yán)格。 Chrome 瀏覽器還給 Cookie 新增了一個 SameSite 屬性，此舉幾乎禁止了一切跨域請求的 Cookie 傳遞（超鏈接除外），并且只有當(dāng)使用 HTTPs 協(xié)議時，才有可能被允許在 AJAX 跨域請求中接受服務(wù)器傳來的 Cookie。

不過，在前后端分離的情況下，完全可以不使用 Cookie，我們可以選擇將 Session ID （或 Token ）保存到瀏覽器的 LocalStorage 中，讓前端在每次向后端發(fā)送請求時，主動將 LocalStorage 的數(shù)據(jù)傳遞給服務(wù)端。 這些都是由前端來控制的，后端需要做的僅僅是在用戶登錄成功后，將 Session ID （或 Token ）放在響應(yīng)體中傳遞給前端。

在這樣的場景下，單點登錄完全可以在前端實現(xiàn)。 前端拿到 Session ID （或 Token ）后，除了將它寫入自己的 LocalStorage 中之外，還可以通過特殊手段將它寫入多個其他域下的 LocalStorage 中。

原文鏈接：前端通過 iframe+postMessage() 方式，將同一份 Token 寫入到了多個域下的 LocalStorage 中，前端每次在向后端發(fā)送請求之前，都會主動從 LocalStorage 中讀取 Token 并在請求中攜帶，這樣就實現(xiàn)了同一份 Token 被多個域所共享。

總結(jié)：此種實現(xiàn)方式完全由前端控制，幾乎不需要后端參與，同樣支持跨域。

補充：域名分級

從專業(yè)的角度來說（根據(jù)《計算機(jī)網(wǎng)絡(luò)》中的定義），、 為一級域名（也稱頂級域名），、 為二級域名，、 為三級域名，以此類推，N 級域名就是 N-1 級域名的直接子域名。

從使用者的角度來說，一般把可支持獨立備案的主域名稱作一級域名，如 、 皆可稱作一級域名，在主域名下建立的直接子域名稱作二級域名，如 為二級域名。

axios如何利用promise無痛刷新token的實現(xiàn)方法

需求最近遇到個需求：前端登錄后，后端返回token和token有效時間，當(dāng)token過期時要求用舊token去獲取新的token，前端需要做到無痛刷新token，即請求刷新token時要做到用戶無感知。 需求解析當(dāng)用戶發(fā)起一個請求時，判斷token是否已過期，若已過期則先調(diào)refreshToken接口，拿到新的token后再繼續(xù)執(zhí)行之前的請求。 這個問題的難點在于：當(dāng)同時發(fā)起多個請求，而刷新token的接口還沒返回，此時其他請求該如何處理？接下來會循序漸進(jìn)地分享一下整個過程。 實現(xiàn)思路由于后端返回了token的有效時間，可以有兩種方法：方法一：在請求發(fā)起前攔截每個請求，判斷token的有效時間是否已經(jīng)過期，若已過期，則將請求掛起，先刷新token后再繼續(xù)請求。 方法二：不在請求前攔截，而是攔截返回后的數(shù)據(jù)。 先發(fā)起請求，接口返回過期后，先刷新token，再進(jìn)行一次重試。 兩種方法對比方法一 優(yōu)點： 在請求前攔截，能節(jié)省請求，省流量。 缺點： 需要后端額外提供一個token過期時間的字段；使用了本地時間判斷，若本地時間被篡改，特別是本地時間比服務(wù)器時間慢時，攔截會失敗。 PS：token有效時間建議是時間段，類似緩存的MaxAge，而不要是絕對時間。 當(dāng)服務(wù)器和本地時間不一致時，絕對時間會有問題。 方法二優(yōu)點：不需額外的token過期字段，不需判斷時間。 缺點： 會消耗多一次請求，耗流量。 綜上，方法一和二優(yōu)缺點是互補的，方法一有校驗失敗的風(fēng)險（本地時間被篡改時，當(dāng)然一般沒有用戶閑的蛋疼去改本地時間的啦），方法二更簡單粗暴，等知道服務(wù)器已經(jīng)過期了再重試一次，只是會耗多一個請求。 在這里博主選擇了 方法二。 實現(xiàn)這里會使用axios來實現(xiàn)，方法一是請求前攔截，所以會使用()這個方法；而方法二是請求后攔截，所以會使用()方法。 封裝axios基本骨架首先說明一下，項目中的token是存在localStorage中的。 基本骨架:import axios from axios// 從localStorage中獲取tokenfunction getLocalToken () { const token = (token) return token}// 給實例添加一個setToken方法，用于登錄后將最新token動態(tài)添加到header，同時將token保存在localStorage中 = (token) => { [X-Token] = token (token, token)}// 創(chuàng)建一個axios實例const instance = ({ baseURL: /api, timeout: , headers: { Content-Type: application/json, X-Token: getLocalToken() // headers塞token }})// 攔截返回的數(shù)據(jù)(response => { // 接下來會在這里進(jìn)行token過期的邏輯處理 return response}, error => { return (error)})export default instance這個是項目中一般的axios實例的封裝，創(chuàng)建實例時，將本地已有的token放進(jìn)header，然后export出去供調(diào)用。 接下來就是如何攔截返回的數(shù)據(jù)啦。 攔截實現(xiàn)后端接口一般會有一個約定好的數(shù)據(jù)結(jié)構(gòu)，如：{code: 1234, message: token過期, data: {}}如我這里，后端約定當(dāng)code === 1234時表示token過期了，此時就要求刷新token。 (response => { const { code } = if (code === 1234) { // 說明token過期了,刷新token return refreshToken()(res => { // 刷新token成功，將最新的token更新到header中，同時保存在localStorage中 const { token } = (token) // 獲取當(dāng)前失敗的請求 const config = // 重置一下配置 [X-Token] = token = // url已經(jīng)帶上了/api，避免出現(xiàn)/api/api的情況 // 重試當(dāng)前請求并返回promise return instance(config) })(res => { (refreshtoken error =>, res) //刷新token失敗，神仙也救不了了，跳轉(zhuǎn)到首頁重新登錄吧 = / }) } return response}, error => { return (error)})function refreshToken () { // instance是當(dāng)前中已創(chuàng)建的axios實例 return (/refreshtoken)(res => )}這里需要額外注意的是，就是原請求的配置，但這個是已經(jīng)處理過了的，已經(jīng)帶上了baseUrl，因此重試時需要去掉，同時token也是舊的，需要刷新下。 以上就基本做到了無痛刷新token，當(dāng)token正常時，正常返回，當(dāng)token已過期，則axios內(nèi)部進(jìn)行一次刷新token和重試。 對調(diào)用者來說，axios內(nèi)部的刷新token是一個黑盒，是無感知的，因此需求已經(jīng)做到了。 問題和優(yōu)化上面的代碼還是存在一些問題的，沒有考慮到多次請求的問題，因此需要進(jìn)一步優(yōu)化。 如何防止多次刷新token如果refreshToken接口還沒返回，此時再有一個過期的請求進(jìn)來，上面的代碼就會再一次執(zhí)行refreshToken，這就會導(dǎo)致多次執(zhí)行刷新token的接口，因此需要防止這個問題。 我們可以在中用一個flag來標(biāo)記當(dāng)前是否正在刷新token的狀態(tài)，如果正在刷新則不再調(diào)用刷新token的接口。 // 是否正在刷新的標(biāo)記let isRefreshing = (response => { const { code } = if (code === 1234) { if (!isRefreshing) { isRefreshing = true return refreshToken()(res => { const { token } = (token) const config = [X-Token] = token = return instance(config) })(res => { (refreshtoken error =>, res) = / })(() => { isRefreshing = false }) } } return response}, error => { return (error)})這樣子就可以避免在刷新token時再進(jìn)入方法了。 但是這種做法是相當(dāng)于把其他失敗的接口給舍棄了，假如同時發(fā)起兩個請求，且?guī)缀跬瑫r返回，第一個請求肯定是進(jìn)入了refreshToken后再重試，而第二個請求則被丟棄了，仍是返回失敗，所以接下來還得解決其他接口的重試問題。 同時發(fā)起兩個或以上的請求時，其他接口如何重試兩個接口幾乎同時發(fā)起和返回，第一個接口會進(jìn)入刷新token后重試的流程，而第二個接口需要先存起來，然后等刷新token后再重試。 同樣，如果同時發(fā)起三個請求，此時需要緩存后兩個接口，等刷新token后再重試。 由于接口都是異步的，處理起來會有點麻煩。 當(dāng)?shù)诙€過期的請求進(jìn)來，token正在刷新，我們先將這個請求存到一個數(shù)組隊列中，想辦法讓這個請求處于等待中，一直等到刷新token后再逐個重試清空請求隊列。 那么如何做到讓這個請求處于等待中呢？為了解決這個問題，我們得借助Promise。 將請求存進(jìn)隊列中后，同時返回一個Promise，讓這個Promise一直處于Pending狀態(tài)（即不調(diào)用resolve），此時這個請求就會一直等啊等，只要我們不執(zhí)行resolve，這個請求就會一直在等待。 當(dāng)刷新請求的接口返回來后，我們再調(diào)用resolve，逐個重試。 最終代碼：// 是否正在刷新的標(biāo)記let isRefreshing = false// 重試隊列，每一項將是一個待執(zhí)行的函數(shù)形式const requests = [](response => { const { code } = if (code === 1234) { const config = if (!isRefreshing) { isRefreshing = true return refreshToken()(res => { const { token } = (token) [X-Token] = token = // 已經(jīng)刷新了token，將所有隊列中的請求進(jìn)行重試 (cb => cb(token)) return instance(config) })(res => { (refreshtoken error =>, res) = / })(() => { isRefreshing = false }) } else { // 正在刷新token，返回一個未執(zhí)行resolve的promise return new Promise((resolve) => { // 將resolve放進(jìn)隊列，用一個函數(shù)形式來保存，等token刷新后直接執(zhí)行 ((token) => { = [X-Token] = token resolve(instance(config)) }) }) } } return response}, error => { return (error)})這里可能比較難理解的是requests這個隊列中保存的是一個函數(shù)，這是為了讓resolve不執(zhí)行，先存起來，等刷新token后更方便調(diào)用這個函數(shù)使得resolve執(zhí)行。 至此，問題應(yīng)該都解決了。 最后完整代碼import axios from axios// 從localStorage中獲取tokenfunction getLocalToken () { const token = (token) return token}// 給實例添加一個setToken方法，用于登錄后將最新token動態(tài)添加到header，同時將token保存在localStorage中 = (token) => { [X-Token] = token (token, token)}function refreshToken () { // instance是當(dāng)前中已創(chuàng)建的axios實例 return (/refreshtoken)(res => )}// 創(chuàng)建一個axios實例const instance = ({ baseURL: /api, timeout: , headers: { Content-Type: application/json, X-Token: getLocalToken() // headers塞token }})// 是否正在刷新的標(biāo)記let isRefreshing = false// 重試隊列，每一項將是一個待執(zhí)行的函數(shù)形式const requests = [](response => { const { code } = if (code === 1234) { const config = if (!isRefreshing) { isRefreshing = true return refreshToken()(res => { const { token } = (token) [X-Token] = token = // 已經(jīng)刷新了token，將所有隊列中的請求進(jìn)行重試 (cb => cb(token)) return instance(config) })(res => { (refreshtoken error =>, res) = / })(() => { isRefreshing = false }) } else { // 正在刷新token，將返回一個未執(zhí)行resolve的promise return new Promise((resolve) => { // 將resolve放進(jìn)隊列，用一個函數(shù)形式來保存，等token刷新后直接執(zhí)行 ((token) => { = [X-Token] = token resolve(instance(config)) }) }) } } return response}, error => { return (error)})export default instance

后端允許跨域怎么設(shè)置(后端配置允許跨域無效)

跨域的幾種方法

瀏覽器出于安全方面的考慮，只允許客戶端與本域（同協(xié)議、同域名、同端口，三者缺一不可）下的接口交互。 不同源的客戶端腳本在沒有明確授權(quán)的情況下，不能讀寫對方的資源，這被稱為同源策略。

而有時候，我們不得不在一個客戶端下訪問不同域中的資源，于是需要用到一些方法來避開瀏覽器的同源策略，這些方法被稱為跨域。

實現(xiàn)跨域有如下幾種方法：

JSONP（JSONwithPadding）是數(shù)據(jù)格式JSON的一種使用模式，可以使網(wǎng)頁實現(xiàn)跨域請求。 其原理主要利用了HTML的script標(biāo)簽。 由于script是采用開放策略，通過設(shè)置src引入不同域下的資源，所以可以通過script實現(xiàn)跨域，該方法需要后端支持。 jsonp跨域的實現(xiàn)步驟如下：

下面來做個演示，首先為演示方便，將系統(tǒng)的hosts做如下修改：

以上例子最終實現(xiàn)了由到的跨域。 應(yīng)注意的是，因為script只能發(fā)送GET請求，所以jsonp只能實現(xiàn)GET請求的跨域。 如果希望能實現(xiàn)其他請求的跨域，就可以用接下來介紹的一種方法——CORS。

CORS（全稱為：Cross-OriginResouceSharing）跨域資源共享，是一種通過ajax跨域請求資源的方法。 瀏覽器將CORS請求分為兩大類，簡單請求（simplerequest）和非簡單請求（not-so-simplerequest，瀏覽器對這兩種請求的處理方式不一樣。 如果請求滿足以下兩個條件，則為簡單請求。

簡單請求的實現(xiàn)方式即當(dāng)用XMLHttpRequest發(fā)請求時，瀏覽器如果發(fā)現(xiàn)該請求不符合同源策略，會給該請求加上一個請求頭origin，origin用來說明本次請求來自哪個源（協(xié)議+域名+端口）。 如果origin指定的源不在后臺允許范圍內(nèi)，后臺會返回一個正常的HTTP響應(yīng)，然后瀏覽器會發(fā)現(xiàn)該響應(yīng)頭部信息不包含Access-Control-Allow-Origin字段，然后拋出一個錯誤，該錯誤被XMLHttpRequest的onerror函數(shù)捕獲，響應(yīng)被駁回，但因為該錯誤無法通過狀態(tài)碼識別，所以HTTP回應(yīng)的狀態(tài)碼還是200。 如果origin在后臺允許范圍內(nèi)，則服務(wù)器返回的響應(yīng)，會包含Access-Control-Allow-Origin：Origin（指定的源）信息，瀏覽器此時不會拋錯，響應(yīng)能正常處理。

非簡單請求是是請求方法為PUT或DELETE，又或者Content-Type為application/json的對服務(wù)器有特殊要求的請求。 非簡單請求的CORS請求，會在正式通信前增加一次HTTP查詢，稱為預(yù)檢（preflight），詢問服務(wù)器當(dāng)前網(wǎng)頁所在域名是否在服務(wù)器的許可名單中，如果在，則發(fā)出正式的XMLHttpRequest，之后就與簡單請求一樣，不在則報錯。

依舊用上面的例子。

最終實現(xiàn)的效果與第一個jsonp的例子一樣。

還有一種方式，就是通過降域來實現(xiàn)跨域。 即通過設(shè)置的方式，將兩個域名的domain設(shè)置為一個，如對于和，可以通過js設(shè)置=，實現(xiàn)跨域。

做個演示，假設(shè)在下有一個文件，其中中有一個iframe，它的src為。

用降域方法實現(xiàn)跨域操作簡單，但是有一些缺點。 比如域名只能往下設(shè)置，不能回去，比如從回到。 同時如果一個子域名被攻擊，多個被降域的域名都會被連帶攻擊，有很大的安全風(fēng)險。

postMessage是一個webAPI，可以實現(xiàn)跨域通信。 ()被調(diào)用時，會在所有頁面腳本執(zhí)行完畢后，向目標(biāo)窗口派發(fā)一個MessageEvent消息。 語法如下：

MessageEvent具有如下屬性：

用一個與上面降域類似的例子來做演示。 同樣有兩個頁面和，中的iframe的src指向。

最終實現(xiàn)與通信效果如下：

使用postMessage方法應(yīng)注意的是，如果不希望從其他網(wǎng)站接收message，那么不要為message事件添加任何監(jiān)聽器。 如果確實希望接收其他網(wǎng)站的message，那么應(yīng)該始終使用origin和source屬性來驗證發(fā)件人的身份，以免被惡意的網(wǎng)站攻擊。

以上就是幾種常見的跨域方法，各有優(yōu)劣，且各自都有一定的安全問題，在日常應(yīng)用中，需要有針對性的使用，對可能的安全風(fēng)險采取相應(yīng)措施。

前后端聯(lián)調(diào)——跨域問題

前端通過http請求跨域的同時需要帶上cookie信息，前端需要設(shè)置withCredentials=true。

而后端也需要有所修改。

Access-Control-Allow-Origin字段必須指定域名，不能為*

Access-Control-Allow-Credentials為true

后端可以通過HtttpServletRequest的Header中找到Origin。 是跨域地址的host加port。

后端需要維護(hù)一個跨域URL的白名單，用Origincontains匹配白名單的URL，成功則配置response的Access-Control-Allow-Origin，指定Origin。

就實現(xiàn)跨域傳cookie了。

參考：

什么是跨域、怎么解決跨域？

一個請求url的**協(xié)議、端口、域名**其中任意一個與當(dāng)前頁面url不相同就是跨域

即：?（http/https）協(xié)議、（segmentfault）主域名、（www）子域名、（8080）端口

是因為瀏覽器的同源策略的限制，同源策略是一種安全策略，同源指的是域名，協(xié)議，端口相同，會阻止一個域的js腳本和另一個域的內(nèi)容進(jìn)行交互。 防止在一個瀏覽器中的兩個頁面產(chǎn)生不安全、異常的行為。

當(dāng)然如果不同源的話會產(chǎn)生一定的限制：

【1】無法讀取非同源網(wǎng)頁的Cookie、LocalStorage和IndexedDB

【2】無法接觸非同源網(wǎng)頁的DOM

【3】無法向非同源地址發(fā)送AJAX請求

(‘script’)生成一個script標(biāo)簽，然后插body里而已。

JSONP的實現(xiàn)原理就是創(chuàng)建一個script標(biāo)簽,再把需要請求的api地址放到src里.這個請求只能用GET方法,不可能是POST（向服務(wù)端傳送數(shù)據(jù)）。

一種非正式傳輸協(xié)議，它會允許用戶傳遞一個callback參數(shù)給服務(wù)端，然后服務(wù)端返回數(shù)據(jù)的時候會將這個callback參數(shù)作為函數(shù)名來包裹住JSON數(shù)據(jù)，然后客戶端就可以隨意的定義自己的函數(shù)來處理返回的數(shù)據(jù)了。

一般是后端在處理請求數(shù)據(jù)的時候，添加允許跨域的請求頭信息，服務(wù)端設(shè)置Access-Control-Allow-Origin就可以，如果需要攜帶cookie，前后端都需要設(shè)置

window對象有個name的屬性，在一個window下，窗口載入的頁面都是共享一個。

在中，怎么把頁面加載進(jìn)來，獲取的數(shù)據(jù)。 在頁面使用iframe，可以去獲取的數(shù)據(jù)，然后在頁面中取得iframe獲取得數(shù)據(jù)。

但是iframe想要獲取中的數(shù)據(jù)，只需要給這個iframe的src設(shè)為就可以，如果想要得到iframe所獲得的數(shù)據(jù)，也就是iframe的的值，還要把這個iframe的src設(shè)成跟頁面同一個域才可以，不然訪問不到iframe里的屬性。

//父窗口打開一個子窗口

??varopenWindow=(,title);

//父窗口向子窗口發(fā)消息(第一個參數(shù)代表發(fā)送的內(nèi)容，第二個參數(shù)代表接收消息窗口的url)

??(Nicetomeetyou!,);

調(diào)用message事件，監(jiān)聽對方發(fā)送的消息

//監(jiān)聽message消息

??(message,function(e){

??();//發(fā)送消息的窗口

??();//消息發(fā)向的網(wǎng)址

??();?//?發(fā)送的消息

??},false);

??#監(jiān)聽9099端口

??listen9099;

??#域名是localhost

??server_namelocalhost;

??#凡是localhost:9099/api這個樣子的，都轉(zhuǎn)發(fā)到真正的服務(wù)端地址

??location^~/api{

????proxy_pass;

//請求的時候直接用回前端這邊的域名，這就不會跨域，然后Nginx監(jiān)聽到凡是localhost:9099/api這個樣子的，都轉(zhuǎn)發(fā)到真正的服務(wù)端地址

?method:POST,

?headers:{

??Accept:application/json,

??Content-Type:application/json

??msg:HelloIframePost

關(guān)于跨域的問題

一、在前端開發(fā)過程中，如果準(zhǔn)備開發(fā)富應(yīng)用，跨域的問題將會隨之而來。

????????我們先看看什么是跨域呢：

????????所謂跨域，或者異源，是指主機(jī)名（域名）、協(xié)議、端口號只要有其一不同，就為不同的域（或源）。 出于保護(hù)用戶數(shù)據(jù)的目的，瀏覽器有一個最基本的策略就是同源策略，只允許頁面內(nèi)的腳本訪問當(dāng)前域的資源（加載腳本、資源等不受此限制）。

二、如果瀏覽器廠商不對跨域請求進(jìn)行處理，會給我們帶來什么危害呢？

????有心人士（病毒制造者）會利用這個漏洞進(jìn)行如下攻擊：

????/XSRF攻擊，簡單的來講就是在頁面中請求的接口（瀏覽器會自動帶上用戶在的cookie），從而獲取用戶的在的相關(guān)信息。

????注入攻擊，類似于SQL攻擊，提交含有惡意腳本的數(shù)據(jù)到服務(wù)器，從而達(dá)到破壞頁面或者獲取用戶的cookie。

三、我們了解到了什么是跨域，那我們又應(yīng)該如何解決呢，現(xiàn)在找到了這些比較權(quán)威的文章，大家先品讀一下：

????????官方網(wǎng)站關(guān)于跨域的文章（CrossOrigin），HTTP訪問控制（CORS）

????????官方網(wǎng)站關(guān)于瀏覽器同源策略的簡要介紹（SameOrigin），?瀏覽器的同源策略

四、讀完這些文章，你打算怎么處理跨域問題呢，我先談?wù)勛约宏P(guān)于跨域的解決方案：

????????1.采用CORS協(xié)議，直接在Nginx中設(shè)置允許跨域的header（也可以在后端的應(yīng)用程序內(nèi)設(shè)置，不過在Nginx入口配置的話更加統(tǒng)一），在location配置中直接使用指令add_header（官方文檔鏈接），示例配置如下：

????????2.使用JSONP，也是需要后端配合，利用“瀏覽器加載腳本、資源時不受同源策略的約束”這個特性，但是這種方式非常受限制，例如只能使用GET請求，不能攜帶自定義header等。

????3.其他的一些方法，例如,以及HTML5中的特性等

五、其他參考鏈接

????1.?淺談JS跨域問題

????2.跨域資源共享CORS詳解----阮一峰

六、聲明

????現(xiàn)在網(wǎng)絡(luò)上的知識非常復(fù)雜，有些是摘自權(quán)威書籍的，有些是作者自己理解然后記錄下來的，有些是瞎掰的，所以一定要結(jié)合情況多多甄別，對于有權(quán)威文檔的知識點，建議先參考文檔。

后端配置跨域

原文連接：原文地址

跨域的詳細(xì)介紹可以參考：瀏覽器和服務(wù)器實現(xiàn)跨域(CORS)判定的原理，這里不多贅述。

1、主要就是客戶端向發(fā)送了服務(wù)端請求，服務(wù)器已經(jīng)能返回數(shù)據(jù)，但是瀏覽器不接收

2、在接口里面加上：(因為request是處理請求，response是返回結(jié)果)

(Access-Control-Allow-Origin,?*);

(Cache-Control,no-cache);?

3、如果是使用SpringBoot創(chuàng)建的項目，直接添加一句注解到controller和方法就可以了：

@CrossOrigin

其中@CrossOrigin中的2個參數(shù)：

origins?：允許可訪問的域列表

maxAge：準(zhǔn)備響應(yīng)前的緩存持續(xù)的最大時間（以秒為單位）。

在這個例子中，對于retrieve()和remove()處理方法都啟用了跨域支持，還可以看到如何使用@CrossOrigin屬性定制CORS配置。 如果同時使用controller和方法級別的CORS配置，Spring將合并兩個注釋屬性以創(chuàng)建合并的CORS配置。

4、如果您正在使用SpringSecurity，請確保在Spring安全級別啟用CORS，并允許它利用SpringMVC級別定義的配置。

二、全局CORS配置

除了細(xì)粒度、基于注釋的配置之外，您還可能需要定義一些全局CORS配置。 這類似于使用篩選器，但可以聲明為SpringMVC并結(jié)合細(xì)粒度@CrossOrigin配置。 默認(rèn)情況下，所有originsandGET,HEADandPOSTmethods是允許的。

JavaConfig

使整個應(yīng)用程序的CORS簡化為：

更多使用請看原文連接和官方文檔

后端解決前端跨域請求問題

場景：前后端分離，頁面和后端項目部署在不同服務(wù)器，出現(xiàn)請求跨域問題。

原因：CORS：跨來源資源共享（CORS）是一份瀏覽器技術(shù)的規(guī)范，提供了Web服務(wù)從不同網(wǎng)域傳來沙盒腳本的方法，以避開瀏覽器的同源策略，是JSONP模式的現(xiàn)代版。 與JSONP不同，CORS除了GET要求方法以外也支持其他的HTTP要求。 用CORS可以讓網(wǎng)頁設(shè)計師用一般的XMLHttpRequest，這種方式的錯誤處理比JSONP要來的好，JSONP對于RESTful的API來說，發(fā)送POST/PUT/DELET請求將成為問題，不利于接口的統(tǒng)一。 但另一方面，JSONP可以在不支持CORS的老舊瀏覽器上運作。 不過現(xiàn)代的瀏覽器（IE10以上）基本都支持CORS。

預(yù)檢請求（option）:在CORS中，可以使用OPTIONS方法發(fā)起一個預(yù)檢請求(一般都是瀏覽檢測到請求跨域時，會自動發(fā)起)，以檢測實際請求是否可以被服務(wù)器所接受。 預(yù)檢請求報文中的Access-Control-Request-Method首部字段告知服務(wù)器實際請求所使用的HTTP方法；Access-Control-Request-Headers首部字段告知服務(wù)器實際請求所攜帶的自定義首部字段。 服務(wù)器基于從預(yù)檢請求獲得的信息來判斷，是否接受接下來的實際請求。

解決方案：

1、創(chuàng)建一個過濾器，過濾options請求。

*解決跨域問題

publicclassCorsFilterimplementsFilter{//filter接口的自定義實現(xiàn)

??publicvoidinit(FilterConfigfilterConfig)throwsServletException{

??publicvoiddoFilter(ServletRequestservletRequest,ServletResponseservletResponse,FilterChainfilterChain)throwsIOException,ServletException{

HttpServletResponseresponse=(HttpServletResponse)servletResponse;

????HttpServletRequestrequest=(HttpServletRequest)servletRequest;

????(Access-Control-Allow-Origin,*);

????if((())){//這里通過判斷請求的方法，判斷此次是否是預(yù)檢請求，如果是，立即返回一個204狀態(tài)嗎，標(biāo)示，允許跨域；預(yù)檢后，正式請求，這個方法參數(shù)就是我們設(shè)置的post了

??????(_NO_CONTENT);//_NO_CONTENT=204

??????(Access-Control-Allow-Methods,POST,GET,DELETE,OPTIONS,DELETE);//當(dāng)判定為預(yù)檢請求后，設(shè)定允許請求的方法

??????(Access-Control-Allow-Headers,Content-Type,x-requested-with);//當(dāng)判定為預(yù)檢請求后，設(shè)定允許請求的頭部類型

??????(Access-Control-Max-Age,1);?//預(yù)檢有效保持時間

(request,response);

??publicvoiddestroy(){

2、修改文件

?filter-namecors/filter-name

?/filter-class

filter-mapping

filter-namecors/filter-name

?url-pattern/*?/url-pattern

/filter-mapping

3、添加HttpRequestHandlerAdapter?http請求處理器適配器。

HttpRequestHandlerAdapter作為HTTP請求處理器適配器僅僅支持對HTTP請求處理器的適配。 它簡單的將HTTP請求對象和響應(yīng)對象傳遞給HTTP請求處理器的實現(xiàn)，它并不需要返回值。 它主要應(yīng)用在基于HTTP的遠(yuǎn)程調(diào)用的實現(xiàn)上。

beanclass=/

js跳轉(zhuǎn)指定頁面(js中跳轉(zhuǎn)頁面)

js如何在指定頁面跳轉(zhuǎn)到另一指定頁面

1、用js的href函數(shù)來實現(xiàn)。 代碼參考：引用script語句=需要跳轉(zhuǎn)到的頁面跳轉(zhuǎn)到指定頁面定義和用法href屬性是一個可讀可寫的字符串，可設(shè)置或返回當(dāng)前顯示的文檔的完整URL。

2、測試用返回引用的函數(shù)值作為賦值表達(dá)式的左值。

3、弄一個名字為網(wǎng)頁跳轉(zhuǎn)的簡單靜態(tài)網(wǎng)頁，網(wǎng)頁內(nèi)有一張圖片，圖片要置于網(wǎng)如果您在此頁面內(nèi)跳轉(zhuǎn)，則可以使用代碼跳轉(zhuǎn)到指定位置。 轉(zhuǎn)到指定位置是指向idweizhi的頁面部分的超鏈接。 位置是需要轉(zhuǎn)移的部分。

4、由上可知，可以通過setHeader來實現(xiàn)某頁面停留若干秒后，自動重定向到另一頁面。

又是該死的js,怎么跳轉(zhuǎn)到指定tab頁

1、html有一個用js控制的選項卡0003；當(dāng)點擊html中的2鏈接到html時顯示選項卡02的內(nèi)容。

2、鍵盤tab鍵的鍵代碼是9，可以用來獲得按下一個鍵時的鍵代碼，進(jìn)而可以知道按下了哪個鍵。 接著程序找出當(dāng)前光標(biāo)所在的文本框，然后將光標(biāo)移到它的前一個文本框中。

3、--將些鏈接加入到你想跳轉(zhuǎn)到的位置-#后面的skip你可以自己定義與下面的那個中的對應(yīng)就可以了！就能實習(xí)到指定的位置了。

4、方法如下：首先，選中整個表格，然后點擊右鍵，選擇菜單中的“表格屬性”，這樣會彈出對話框。 在對話框中，切換到“行”選項卡，如下圖。

5、http：///uid--id-html看下這文章。

JS實現(xiàn)頁面跳轉(zhuǎn)的幾種方式

[1]在頁面的head內(nèi)加入meta標(biāo)簽實現(xiàn)[2]js代碼實現(xiàn)setTimeout((0)，1000)javascript中的跳轉(zhuǎn)方法=(-1)；//參數(shù)是負(fù)幾，就后退幾次。

這樣就能實現(xiàn)，參數(shù)不丟失了。 主要就是頁碼和篩選條件。 純js頁面跳轉(zhuǎn)要傳復(fù)雜數(shù)據(jù)不好做，要用localStorage，這個東東在各瀏覽器中是不一樣的。

您好，你這樣用JS實現(xiàn)頁面跳轉(zhuǎn)是會使整個頁面都跳轉(zhuǎn)，如果你正在看視頻，點擊下一頁，又要重新加載，這是不符合規(guī)范的哦。 網(wǎng)上那些是用的分頁控件，還有一個方法是利用Ajax做。

那你別用js跳轉(zhuǎn)了，直接用標(biāo)準(zhǔn)html跳轉(zhuǎn)，這個兼容性最高。

這是典型的分頁，你這個布局是有點問題的。 分頁的頁是動態(tài)創(chuàng)建出來的。 HTML：直接一個DIV就行，是分頁的容器！下面是一個分頁的例子的代碼。 我建議你還是網(wǎng)上找一套關(guān)于JavaScript分頁的視頻來看，看完自然就懂了。

---

---

相關(guān)標(biāo)簽： 利用localstorage做一個歌曲收藏、 location.href、 Web、 應(yīng)用程序的調(diào)試、 利用、 簡化、

上一篇：使用locationhref提供直觀的Web應(yīng)用程序?qū)?/a>

下一篇：使用locationhref優(yōu)化Web應(yīng)用程序的SEO使用