1. 跨域访问接口-整体说明
跨域问题是我们前端开发中经常会遇到的问题,也是面试中的高频题。通过这一节的学习,我们就能解决这类问题啦。
主要内容:
-
素材准备
-
错误原因分析
-
用JSONP来解决
-
用CORS来解决
2. 跨域-素材准备及错误展示
2.1 目录结构
|-public
|-------index.html
|-server.js
2.2 前端页面
public/index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<button id="btn_get">get请求</button>
<hr/>
<button id="btn_getJSONP">JSONP</button>
<hr/>
<button id="btn_postjson"> post-传递json</button>
<hr/>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.js"></script>
<script>
// get请求
$('#btn_get').click(function(){
$.ajax({
type:'get',
url:'http://localhost:3000/get',
data:{a:1,b:2},
success:res => {
console.log('收到的服务器器返回的数据是', res)
}
})
})
// jsonp请求
$('#btn_getJSONP').click(function(){
$.ajax({
type:'get',
dataType: 'jsonp',
url:'http://localhost:3000/getJSONP',
data:{a:1,b:2},
success:res => {
console.log('收到的服务器器返回的数据是', res)
}
})
})
var obj = {
"name":"小花",
"address":{
"a":1,
"b":2,
"info":"c"
}
}
// 传递复杂的JSON对象数据
$('#btn_postjson').click(function(){
$.ajax({
type:'post',
url:'http://localhost:3000/postJSON',
contentType: "application/json; charset=UTF-8",
data:JSON.stringify(obj),
success(res){
console.log('收到的服务器器返回的数据是', res)
}
})
})
</script>
</body>
</html>
2.3 后端
const express = require('express')
const app = express()
app.use(express.static('public'))
app.use(express.json())
app.get('/get',(req,res)=>{
res.json({msg:'get请求,ok'})
})
app.post('/postJSON',(req,res)=>{
console.log('接收到的数据是', req.body)
res.json({msg:'ok', data: req.body})
})
app.listen(3000, ()=>{
console.log(3000);
})
2.4 问题演示
把前端代码单独运行,就会报错了。
下图是跨域错误的说明 :
3. 跨域-错误原因及解决思路
3.1 目标
掌握同源的概念,跨域错误的原因及对应的解决思路
3.2 什么原因导致了浏览器报跨域错误
跨域错误:不同源
的ajax请求
浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件
时,就会出现跨域问题,从而导致ajax请求失败:
(1)请求响应双方url不同源。
双方url:发出请求所在的页面 与 所请求的资源的url
同源是指:协议相同
,域名相同
,端口相同
都相同。
以下就是不同源的:
从http://127.0.0.1:5500/message_front/index.html
请求http://localhost:8080/getmsg
网络中不同源的请求有很多。
(2)请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源,js文件,css文件等
(3)浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略,它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。
注意,错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端,服务器也可以处理请求,只是返回到浏览器端时出错了。
3.3 解决思路
请求响应双方url不同源
-
服务器代理
请求是ajax
-
改发JSONP
浏览器觉得不安全 (后端还是能收到请求的)
-
可以安装一个浏览器插件
allow-control-allow-origin
绕过同源策略。 -
用postman软件测试
-
CORS
3.4 小结
错误原因:不同源
的ajax请求
后端还是能收到请求的,错误是发生在浏览器端
4. JSONP-基本实现
4.1 目标
掌握JSONP的原理和实现步骤
4.2 JSONP简介
JSON with Padding,是一种借助于 script
标签发送跨域请求
的技巧。它本质并不是ajax请求,所以没有跨域问题。
原理:
-
script的src属性可以请求外部的js文件,这个请求不是ajax,它没有跨域问题。
-
借助
script
标签src请求服务端上的接口。<script src="http://localhost:3000/get"
-
服务端的接口返回JavaScript 脚本,并附上要返回的数据。
res.end("fn(数据)")
4.3 实现步骤
-
创建script标签并让src指向接口地址
-
让接口返回函数调用表达式,并传入数据
-
在前端准备相应的函数
4.4 让script标签的src指向接口地址
前端页面
<html>
<script src="http://localhost:3000/get"></script>
</html>
注意:
-
script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题,所以这里的请求是可以正常发送和接收的。
-
与我们之前理解的src指向某个具体的.js文件不同,我们只需要确保src所指向的地址的返回内容是js代码就行了,而不必要src直接指向某个.js文件。
-
接口地址中返回的内容将会作为script标签的主体。
4.5 让接口返回函数调用表达式,并传入数据
后端代码
const express = require('express');
const app = express();
app.get('/get', (req, res) => {
const data = JSON.stringify({a:1,b:2})
const fnStr = `fn(${data})`
res.end(fnStr); // 返回字符串,内容是:函数调用语句
})
app.listen(3000, () => {
console.log('你可以通过http://localhost:3000来访问...');
});
注意:
-
后端接口的返回值是一个特殊的字符串: 一个刻意拼写的js函数调用语句。
4.6 在前端准备相应的函数
在页面上补充fn函数
<script>
function fn(rs) {
console.log(rs);
}
</script>
<html>
<script src="http://localhost:3000/get"></script>
</html>
4.7 图示
5. JSON实操
5.1 目标
掌握JSONP在实际开发中的使用
前端使用jQuery ,后端使用nodejs + express。
注意前后端都需要改动代码。
5.2 jQuery封装的jsonp
jquery中的ajax已经封装好了的jsonp方式,可以直接使用。
具体来说就是给ajax请求添加一个dataType属性,其值为"jsonp"。
示例如下:
前端页面:加上dataType属性
$.ajax({
type: 'GET',
url: 'http://localhost:4000/get',
success: function (result) {
console.log(result);
},
dataType: 'jsonp' // 必须要指定dataType为jsonp
});
后端接口
express框架已经提供了一个名为jsonp的方法来处理jsonp请求:
const express = require('express');
const app = express();
app.get('/get', (req, res) => {
let data = {a:1,b:2}
// res.json(data)
res.jsonp(data)
})
app.listen(3000, () => {
console.log('你可以通过http://localhost:3000来访问...');
});
原来是res.json,要改成res.jsonp
6. cors
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。
6.1 再次回顾跨域错误的说明
6.2 手写实现
通过在被请求的路由中设置header头,可以实现跨域。
app.get('/get', (req, res) => {
// * 表示允许任何域名来访问
res.setHeader('Access-Control-Allow-Origin', '*')
// 允许指定源访问
// res.setHeader('Access-Control-Allow-Origin', 'http://www.xxx.com')
res.send(Date.now().toString())
})
-
这种方案无需客户端作出任何变化(客户端不用改代码),就当跨域问题不存在一样。
-
服务端响应的时候添加一个
Access-Control-Allow-Origin
的响应头
6.3 使用cors
要点
-
它是一个npm包,要单独下载使用 npm 包 cors
npm i cors
-
当做express中的中间件,注意代码应该放在顶部
var cors = require('cors')
app.use(cors())
可以去掉单个接口内部的res.setHeader
7. jsonp vs cors 对比
jsonp:
-
不是ajax
-
只能支持
get方式
-
兼容性好
cors:
-
前端不需要做额外的修改,就当跨域问题不存在。
-
是ajax
-
支持各种方式的请求(post,get....)
-
浏览器的支持不好(标准浏览器都支持)