跨域问题与解决方案(加班 加班!!)
概览
- 素材准备
- 错误原因分析
- 用JSONP来解决
- 用CORS来解决
跨域-素材准备及错误展示
目录结构
根目录
├── public
│ ├── js
| | └── axios.js
│ └── index.html # 提前准备好的页面
└── server.js
前端页面
public/index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<button id="btn1_get">接口测试1:get请求带参数</button>
<button id="btn2_post"> 接口测试2:post-传递普通键值对</button>
<hr/>
<button id="btn3_postJSON">接口测试3:post-传递json</button>
<hr/>
<form id="myform">
<input type="text" name="title">
<input type="file" name="cover">
</form>
<button id="btn4_formdata">接口测试4:post-传递formdata</button>
<hr/>
<script src="./js/axios.js"></script>
<script>
document.getElementById('btn1_get').addEventListener('click',() => {
axios.get('http://localhost:3000/getapi', {params: {a:1,b:2}})
})
var obj = {
"name":"abc",
"address":{
"a":1,
"b":2,
"info":"c"
}
}
document.getElementById('btn2_post').addEventListener('click', () => {
const params = new URLSearchParams();
params.append('param1', 'value1');
params.append('param2', 'value2');
axios.post('http://localhost:3000/post', params, {
headers: {"content-type":"application/x-www-form-urlencoded"}})
})
document.getElementById('btn3_postJSON').addEventListener('click', () => {
axios.post('http://localhost:3000/postJSON', obj)
})
document.getElementById('btn4_formdata').addEventListener('click', () => {
console.log(1)
var fd = new FormData(document.getElementById('myform'));
axios.post('http://localhost:3000/publish',
fd
)
})
</script>
</body>
</html>
后端
// 实现get接口
const express = require('express')
const app = express();
app.use(express.static('public'))
// 引入bodyParse包
const bodyParser = require('body-parser')
// 使用包. 则在后续的post请求中
// 会自动加入req.body属性,这个属性中就包含了post请求所传入的参数
// 处理普通的键值对格式
// Content-Type: application/x-www-form-urlencoded
app.use(express.urlencoded())
// 处理JSON格式
// Content-Type: application/json;
app.use(express.json())
// 引入multer包
const multer = require('multer');
// 配置一下multer
// 如果本次post请求涉及文件上传,则上传到uploads这个文件夹下
// Content-Type: multipart/form-data;
var upload = multer({ dest: 'uploads/'})
// 实现接口1: get类型接口
// 返回所传入的参数,并附上上时间戳
app.get('/getapi',(req,res)=>{
// 通过 req.query快速获取传入的参数
console.log(req.query);
let obj = req.query
obj._t = Date.now();
res.json( obj )
})
// 实现接口2:普通post 键值对
app.post('/post',(req,res)=>{
// 希望在后端收到post传参
console.log(req.body);
let obj = req.body
obj._t = Date.now();
res.json(obj)
})
// 实现接口3:用来JSON格式的数据
// Content-Type: application/json;
app.post('/postJSON',(req,res)=>{
// 希望在后端收到post传参
console.log(req.body);
// res.send('/postJSON')
res.json( req.body )
})
// 实现接口4:接口formDate
app.post('/publish',upload.single('cover'),(req,res)=>{
console.log('publish...')
//upload.single('cover')
// 这里的cover就是在页面中表单元素中的name
// <input type="file" name="cover" />
// 把要上传文件放在指定的目录
console.log(req.file);
// 其它参数,还是在req.body中找
console.log(req.body);
res.json({code:200,msg:'上传成功',info:req.file.path})
})
app.listen(3000,()=>{
console.log('express应用在3000端口启动了');
})
问题演示
把前端代码单独运行,就会报错了。
下图是跨域错误的说明
跨域-错误原因及解决思路
目标
掌握同源的概念,跨域错误的原因及对应的解决思路
什么原因导致了浏览器报跨域错误
发起ajax请求的那个页面的地址 和 ajax接口地址 不在同一个域中
跨域错误:不同源
的ajax请求
====> 报跨域的错误
浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件
时,就会出现跨域问题,从而导致ajax请求失败:
(1)请求响应双方url不同源。
双方url:发出请求所在的页面 与 所请求的资源的url
同源是指:协议相同
,域名相同
,端口相同
都相同。
以下就是不同源的:
从http://127.0.0.1:5500/message_front/index.html
请求http://localhost:8080/getmsg
网络中不同源的请求有很多。
(2)请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源,js文件,css文件等
(3)浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略,它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。
注意,错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端,服务器也可以处理请求,只是返回到浏览器端时出错了。
解决思路
请求响应双方url不同源
- 服务器代理
请求是ajax
- 改发JSONP
浏览器觉得不安全 (后端还是能收到请求的)
- 可以安装一个浏览器插件
allow-control-allow-origin
绕过同源策略。 - 用postman/Apifox软件测试
- CORS
小结
错误原因:不同源
的ajax请求
后端还是能收到请求的,错误是发生在浏览器端
JSONP-基本实现
目标
掌握JSONP的原理, 了解实现步骤
JSONP简介
JSON with Padding,是一种借助于 script
标签发送跨域请求
的技巧。它本质并不是ajax请求,所以没有跨域问题。
原理
- script的src属性可以请求外部的js文件,这个请求不是ajax,它没有跨域问题。
- 借助
script
标签的src请求服务端上的接口。<script src="http://localhost:3000/get"
- 服务端的接口返回JavaScript 脚本,并附上要返回的数据。例如:
res.end("fn(数据)")
实现步骤
- 补充script标签并设置它的src值为接口地址
- 改造接口返回函数调用表达式,并传入数据
- 在前端准备相应的函数
让script标签的src指向接口地址
前端页面
<html>
<script src="http://localhost:3000/get"></script>
</html>
注意:
- script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题,所以这里的请求是可以正常发送和接收的。
- 与我们之前理解的src指向某个具体的.js文件不同,我们只需要确保src所指向的地址的返回内容是js代码就行了,而不必要src直接指向某个.js文件。
- 接口地址中返回的内容将会作为script标签的主体。
改造接口,返回函数调用表达式,并传入数据
后端代码
const express = require('express');
const app = express();
app.get('/get', (req, res) => {
const data = JSON.stringify({a:1,b:2})
const fnStr = `fn(${data})`
res.end(fnStr); // 返回字符串,内容是:函数调用语句
})
app.listen(3000, () => {
console.log('你可以通过http://localhost:3000来访问...');
});
注意:
- 后端接口的返回值是一个特殊的字符串: 一个刻意拼写的js函数调用语句。
在前端准备相应的函数
在页面上补充fn函数
<script>
function fn(rs) {
console.log(rs);
}
</script>
<html>
<script src="http://localhost:3000/get"></script>
</html>
图示
JSONP实操
目标
掌握JSONP在实际开发中的使用
前端使用jQuery ,后端使用nodejs + express。
注意前后端都需要改动代码。
jQuery封装的jsonp
jquery中的ajax已经封装好了的jsonp方式,可以直接使用。
具体来说就是给ajax请求添加一个dataType属性,其值为"jsonp"。
示例如下:
前端页面:加上dataType属性
$.ajax({
type: 'GET',
url: 'http://localhost:4000/get',
success: function (result) {
console.log(result);
},
dataType: 'jsonp' // 必须要指定dataType为jsonp
});
后端接口
express框架已经提供了一个名为jsonp的方法来处理jsonp请求:
const express = require('express');
const app = express();
app.get('/get', (req, res) => {
let data = {a:1,b:2}
// res.json(data)
res.jsonp(data)
})
app.listen(3000, () => {
console.log('你可以通过http://localhost:3000来访问...');
});
原来是res.json,要改成res.jsonp
CORS
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest
请求,从而克服了AJAX只能同源使用的限制。
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。
再次回顾跨域错误的说明
手写实现
通过在被请求的路由中设置header头,可以实现跨域。
app.get('/get', (req, res) => {
// * 表示允许任何域名来访问
res.setHeader('Access-Control-Allow-Origin', '*')
// 允许指定源访问
// res.setHeader('Access-Control-Allow-Origin', 'http://www.xxx.com')
res.send(Date.now().toString())
})
- 这种方案无需客户端作出任何变化(客户端不用改代码),就当跨域问题不存在一样。
- 服务端响应的时候添加一个
Access-Control-Allow-Origin
的响应头
使用cors(最简单的方式 官方 强烈推荐)
要点
- 它是一个npm包,要单独下载使用 npm 包 cors
npm i cors
- 当做express中的中间件,注意代码应该放在顶部
var cors = require('cors')
app.use(cors())
可以去掉单个接口内部的res.setHeader
jsonp vs cors 对比
jsonp:
- 不是ajax
- 只能支持
get方式
- 兼容性好
cors:
- 前端不需要做额外的修改,就当跨域问题不存在。
- 是ajax
- 支持各种方式的请求(post,get....)
- 浏览器的支持不好(标准浏览器都支持)
拓展资料
options请求
如果跨域ajax不是简单请求,就会先发出options预检请求,然后再发真实的请求。
jquery封装的jsonp原理分析
原理分析
第一步:产生一个随机函数名;并创建这个函数(jQuery34109553463653123275_1565234364495);
第二步:动态创建script标签,其src就是拼接的后端接口地址及callback值,如果有其它参数,则正常传递
第三步:请求成功返回之后,执行第一步中创建的函数(jQuery34109553463653123275_1565234364495)。这个函数最终会指向$.ajax({success:function(){}}) 中的success
第四步:销毁
第一步中创建的函数及第二步中创建的script标签
调试技巧
上面描述的过程是动态完成,想要看清楚效果,要添加断点调试 。在jquery源码中,寻找return jqXHR
,加断点。
附送一段模拟代码(面试,手写jsonp)
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<meta http-equiv="X-UA-Compatible" content="ie=edge" />
<title>html页面</title>
</head>
<body>
<div class="container">
<h1>jsonp</h1>
<div>需要后端接口的配合:http://localhost:3005/jsonp</div>
<pre>
//--后端测试代码如下
const express = require('express');
const app = express()
app.get('/jsonp', (req, res) => {
var { callback } = req.query;
res.setHeader('content-type', 'application/javascript');
res.end(callback + '({a:1,b:2})');
});
app.listen(3000,()=>{})
</pre>
</div>
<script>
function buildCallBackFunction(options, callbackFunName) {
window[callbackFunName] = function(result) {
options.success(result);
window[callbackFunName] = null;
delete window[callbackFunName];
};
}
function buildParam(options) {
var params = options.params;
if (!params) {
return '';
}
if (typeof params === 'object') {
var arr = [];
for (var p in params) {
arr.push(`p=${params[p]}`);
}
return arr.join('&');
} else if (typeof params === 'string') {
return params;
} else {
return '';
}
}
function buildScript(url) {
var script = document.createElement('script');
script.setAttribute('src', url);
script.onload = function() {
document.getElementsByTagName('head')[0].removeChild(script);
};
document.getElementsByTagName('head')[0].appendChild(script);
}
function json(options) {
var { url, params, success } = options;
var callbackFunName = 'callback_' + Date.now();
var params = buildParam(options);
params += !params ? 'callback=' + callbackFunName : '&callback=' + callbackFunName;
url += '?' + params;
buildCallBackFunction(options, callbackFunName);
buildScript(url);
}
json({
url: 'http://localhost:3000/jsonp',
// params: 'a=1&b=2',
params: { a: 1, b: 2 },
success: function(result) {
console.log(result);
}
});
</script>
</body>
</html>
转载自:https://juejin.cn/post/7092700916851146759