国内网页分享代码常因跨域限制导致微信/微博分享失败

一、现象层：典型错误表现与前端可观测线索

• 控制台报错："Cannot access 'WeixinJSBridge' from script at origin 'https://a.com'"（跨域访问被浏览器拒绝）
• 微信 JS-SDK 初始化失败：config:fail invalid signature 或 config:fail permission denied
• 微博 WB2 SDK 报错：WB2.init failed: invalid url signature
• 分享按钮点击无响应，WX.ready() 回调永不触发，或直接进入 error 回调
• 同一套前端代码在 https://www.example.com/page1 可用，但在 https://m.example.com/page1 失效（子域未统一配置）

二、机制层：JS-SDK 签名验证的底层逻辑链

微信/微博签名非简单 token，而是强绑定「域名 + URL路径 + 时间窗口」的三重校验：

1. 服务端调用微信接口 https://api.weixin.qq.com/cgi-bin/ticket/getticket 获取 jsapi_ticket（2小时有效期，需缓存）
2. 拼接签名原文：jsapi_ticket=xxx&noncestr=yyy&timestamp=zzz&url=https%3A%2F%2Fwww.example.com%2Farticle%2F123（注意：URL 必须是 location.href 去 hash 后的完整协议+域名+路径+查询参数）
3. 使用 SHA1 对原文签名 → 得到 signature
4. 前端调用 WX.config({ appId, timestamp, nonceStr, signature, jsApiList })，微信客户端向其服务端二次校验该 signature 是否匹配当前页面 URL 和已备案域名

三、根因层：跨域失效的四大技术断点

四、解法层：生产级可落地的五维协同方案

1. 同源签名服务：将 /wxjsapi/config 接口部署在页面主域下（如 https://www.example.com/wxjsapi/config），避免跨域；Nginx 可 proxy_pass 至内部 API，但 Host 头保持原样
2. URL 精确截取：服务端签名前，严格使用 req.headers.referer 或前端透传的 encodeURIComponent(window.location.href.split('#')[0]) 作为签名 URL
3. CORS 安全兜底：若必须跨域调用（如微前端架构），后端需返回：
   Access-Control-Allow-Origin: https://trusted-subdomain.example.com
Access-Control-Allow-Credentials: true
4. 前端路由监听：在 SPA 中注入全局路由守卫：

   router.afterEach((to, from) => {
     if (isWechatBrowser()) {
       fetch('/wxjsapi/config?url=' + encodeURIComponent(location.href.split('#')[0]))
         .then(r => r.json()).then(initWXConfig);
     }
   });

5. 可信域名分级管理：微信公众号后台配置主域 example.com（自动覆盖所有子域），微博开放平台启用「全域授权」并提交子域白名单

五、验证层：签名有效性自检流程图