先上干货，我的nginx跨域配置

# user  nobody; 

worker_processes  1;

error_log  logs/error.log warn;

pid        logs/nginx.pid;

events {

# use epoll;

    worker_connections  1024;

}

http {

    include       mime.types;

    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '

                      '$status $body_bytes_sent "$http_referer" '

                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  logs/access.log  main;

    sendfile        on;

    tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

server {

        listen  5556; # 下面ip地址的端口号

        server_name 172.20.0.112;  # 前端访问的ip地址，填写域名需要修改host

add_header Access-Control-Allow-Origin *;

add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';

add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

if ($request_method = 'OPTIONS') {

return 204;

}

        location /api/bio/{

         proxy_connect_timeout 360s;

proxy_read_timeout 360s;

keepalive_timeout 360s;

            rewrite  ^(.*)$ /$1 break;

            proxy_pass http://api.xxx.net/; # 转发到的服务器

        }

    }

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

什么是跨域？

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。

广义的跨域：

1.) 资源跳转： A链接、重定向、表单提交

2.) 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链

3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等

狭义的跨域：

其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。

什么是同源策略？

同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略限制以下几种行为：

1.) Cookie、LocalStorage 和 IndexDB 无法读取

2.) DOM 和 Js对象无法获得

3.) AJAX 请求不能发送

常见跨域场景

URL 说明 是否允许通信

http://www.domain.com/a.js 

http://www.domain.com/b.js 

http://www.domain.com/lab/c.js 同一域名，不同文件或路径 允许

http://www.domain.com:8000/a.js

http://www.domain.com/b.js 同一域名，不同端口 不允许

http://www.domain.com/a.js

https://www.domain.com/b.js 同一域名，不同协议 不允许

http://www.domain.com/a.js

http://192.168.4.12/b.js 域名和域名对应相同ip 不允许

http://www.domain.com/a.js 

http://x.domain.com/b.js

http://domain.com/c.js 主域相同，子域不同 不允许

http://www.domain1.com/a.js

http://www.domain2.com/b.js 不同域名 不允许

跨域解决方案

1、 通过jsonp跨域

2、 document.domain + iframe跨域

3、 location.hash + iframe

4、 window.name + iframe跨域

5、 postMessage跨域

6、 跨域资源共享（CORS）

7、 nginx代理跨域

8、 nodejs中间件代理跨域

9、 WebSocket协议跨域

一、 通过jsonp跨域

通常为了减轻web服务器的负载，我们把js、css，img等静态资源分离到另一台独立域名的服务器上，在html页面中再通过相应的标签从不同域名下加载静态资源，而被浏览器允许，基于此原理，我们可以通过动态创建script，再请求一个带参网址实现跨域通信。

jsonp缺点：只能实现get一种请求。

1.）原生实现：

 <script>

    var script = document.createElement('script');

    script.type = 'text/javascript';

    // 传参一个回调函数名给后端，方便后端返回时执行这个在前端定义的回调函数

    script.src = 'http://www.domain2.com:8080/login?user=admin&callback=handleCallback';

    document.head.appendChild(script);

    // 回调执行函数

    function handleCallback(res) {

        alert(JSON.stringify(res));

    }

 </script>

1

2

3

4

5

6

7

8

9

10

11

12

13

服务端返回如下（返回时即执行全局函数）：

handleCallback({"status": true, "user": "admin"})

1

2.）jquery ajax：

*