一、跨域通信的本质与安全模型

浏览器同源策略（Same-Origin Policy）作为核心安全机制，通过限制协议、域名、端口的组合来阻止恶意脚本获取敏感数据。当资源请求的源（Origin）与目标不一致时，即触发跨域限制。这种设计虽保障了用户安全，却给合法的前后端分离架构带来挑战。

跨域通信的典型场景包括：

• 前端静态资源部署在CDN，API服务部署在独立域名
• 微服务架构中不同子域的API调用
• 跨域数据共享与第三方服务集成

二、CORS：现代Web的标准解决方案

1. 核心机制

CORS（Cross-Origin Resource Sharing）通过服务器设置响应头实现跨域控制，其工作流程分为简单请求与预检请求两种模式：

• 简单请求：满足GET/HEAD/POST方法且Header仅包含Accept、Content-Type等安全字段时，浏览器直接发送请求
• 预检请求：非简单请求（如含自定义Header或使用PUT/DELETE方法）会先发送OPTIONS请求，服务器返回允许的配置后，浏览器才发送实际请求

2. 关键响应头配置

// Node.js Express示例
app.use((req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', 'https://trusted-domain.com');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.setHeader('Access-Control-Allow-Credentials', 'true'); // 允许携带凭证
  res.setHeader('Access-Control-Max-Age', '86400'); // 预检缓存时间
  next();
});

3. 生产环境建议

• 精确指定允许的域名而非使用通配符*
• 对敏感API启用凭证模式（Credentials）时，必须同时设置Access-Control-Allow-Origin为具体域名
• 合理设置Max-Age平衡安全性与性能，建议值为1小时（3600秒）

三、JSONP：历史遗留的兼容方案

1. 实现原理

利用<script>标签不受同源策略限制的特性，通过动态创建脚本元素实现数据获取。服务器返回包裹在回调函数中的JSON数据，例如：

// 服务器返回示例
callbackFunction({ "status": "success", "data": {...} });

2. 代码实现

<script>
  function handleResponse(data) {
    console.log('Received:', data);
  }
</script>
<script src="https://api.example.com/data?callback=handleResponse"></script>

3. 局限性分析

• 仅支持GET请求，无法处理复杂HTTP方法
• 存在XSS安全风险，需严格校验服务器返回内容
• 缺乏错误处理机制，请求失败时难以捕获异常
• 已逐渐被CORS取代，新项目不建议使用

四、WebSocket：全双工跨域通信

1. 协议特性

WebSocket通过HTTP握手升级协议建立持久连接，天然支持跨域通信。其优势包括：

• 低延迟的双向通信
• 突破同源策略限制
• 适合实时应用场景（如聊天、股票行情）

2. 客户端实现

const socket = new WebSocket('wss://secure-socket.example.com');
socket.onopen = () => {
  console.log('Connection established');
  socket.send(JSON.stringify({ type: 'auth', token: 'xxx' }));
};
socket.onmessage = (event) => {
  const data = JSON.parse(event.data);
  console.log('Received:', data);
};

3. 服务器端配置

主流Web服务器需显式配置WebSocket跨域：

• Nginx：添加proxy_set_header Origin $http_origin;
• Apache：使用Header set Access-Control-Allow-Origin "*"

五、代理服务器：绕过浏览器限制

1. 开发环境方案

使用构建工具的代理功能转发请求：

// vite.config.js 示例
export default {
  server: {
    proxy: {
      '/api': {
        target: 'http://backend.example.com',
        changeOrigin: true,
        rewrite: (path) => path.replace(/^\/api/, '')
      }
    }
  }
}

2. 生产环境部署

Nginx反向代理配置示例：

location /api/ {
  proxy_pass http://backend-cluster/;
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

3. 方案对比

六、postMessage：跨窗口通信利器

1. 典型应用场景

• iframe与父页面交互
• 浏览器扩展通信
• Web Worker与主线程通信

2. 安全实践

// 发送方（父页面）
const iframe = document.getElementById('child-frame');
iframe.contentWindow.postMessage(
  { type: 'USER_DATA', payload: {...} },
  'https://trusted-child.com' // 必须指定目标源
);
// 接收方（iframe）
window.addEventListener('message', (event) => {
  // 严格校验来源与数据格式
  if (event.origin !== 'https://parent-domain.com') return;
  if (event.data.type !== 'EXPECTED_TYPE') return;
  console.log('Received valid data:', event.data.payload);
});

3. 最佳实践

• 始终验证event.origin
• 对接收的数据进行类型检查
• 避免传递敏感信息，如认证令牌
• 考虑使用结构化克隆算法限制可传输对象类型

七、方案选型决策树

1. 需要凭证支持 → CORS（精确配置域名）
2. 实时通信需求 → WebSocket
3. 遗留系统兼容 → JSONP（仅限GET）
4. 跨窗口通信 → postMessage
5. 前后端分离架构 → 开发代理+Nginx代理组合

八、安全注意事项

1. 避免在CORS中使用通配符*与凭证模式共用
2. 对JSONP回调函数名进行白名单校验
3. WebSocket握手阶段需验证Origin头
4. 代理服务器应限制可访问的后端路径
5. postMessage通信必须校验来源与数据结构

通过系统掌握这些跨域解决方案，开发者能够根据具体业务场景、安全要求与性能需求，选择最合适的通信策略。在微服务架构日益普及的今天，跨域技术已成为现代Web开发的核心能力之一。