跨域及解决方法(jsonp和cors)

出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

这样会出现以下三种问题

【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB

【2】无法接触非同源网页的 DOM

【3】无法向非同源地址发送 AJAX 请求

跨域解决方法.

我们先模拟出现跨域问题的场景 

创建目录如下

|-public
|-------index.html
|-server.js

public/index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <button id="btn_get">get请求</button>
    <hr/>
    <button id="btn_getJSONP">JSONP</button>
    <hr/>
    <button id="btn_postjson"> post-传递json</button>
    <hr/>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.js"></script>
    <script>
       // get请求
       $('#btn_get').click(function(){
          $.ajax({
               type:'get',
               url:'http://localhost:3000/get',
               data:{a:1,b:2},
               success:res => {
                   console.log('收到的服务器器返回的数据是', res)
               }
           })
       })
       // jsonp请求
       $('#btn_getJSONP').click(function(){
          $.ajax({
               type:'get',
               dataType: 'jsonp',
               url:'http://localhost:3000/getJSONP',
               data:{a:1,b:2},
               success:res => {
                   console.log('收到的服务器器返回的数据是', res)
               }
           })
       })
       var obj = {
            "name":"小花",
            "address":{
                "a":1,
                "b":2,
                "info":"c"
            }
        }
       
       // 传递复杂的JSON对象数据
       $('#btn_postjson').click(function(){
           $.ajax({
               type:'post',
               url:'http://localhost:3000/postJSON',
               contentType: "application/json; charset=UTF-8",
               data:JSON.stringify(obj),
               success(res){
                   console.log('收到的服务器器返回的数据是', res)
               }
           })
       })
    </script>
</body>
</html>

 server.js

const express = require('express')
const app = express()
app.use(express.static('public'))
app.use(express.json())
app.get('/get',(req,res)=>{
    res.json({msg:'get请求,ok'})
})
app.post('/postJSON',(req,res)=>{
    console.log('接收到的数据是', req.body)
    res.json({msg:'ok', data: req.body})
})
app.listen(3000, ()=>{
    console.log(3000);
})

测验以下

浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件时,就会出现跨域问题,从而导致ajax请求失败:

(1)请求响应双方url不同源。

双方url:发出请求所在的页面 与 所请求的资源的url

同源是指:协议相同域名相同端口相同 都相同。

以下就是不同源的:

http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg

网络中不同源的请求有很多。

(2)请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源,js文件,css文件等

(3)浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略,它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。

注意,错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端,服务器也可以处理请求,只是返回到浏览器端时出错了。

解决方法两种

jsonp

JSON with Padding,是一种借助于 script 标签发送跨域请求的技巧。它本质并不是ajax请求,所以没有跨域问题。

  • script的src属性可以请求外部的js文件,这个请求不是ajax,它没有跨域问题。

  • 借助 script 标签src请求服务端上的接口。<script src="http://localhost:3000/get"

  • 服务端的接口返回JavaScript 脚本,并附上要返回的数据。res.end("fn(数据)")

步骤如下

  • 创建script标签并让src指向接口地址

  • 让接口返回函数调用表达式,并传入数据

  • 在前端准备相应的函数

<html>
    <script src="http://localhost:3000/get"></script>
</html>
  • script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题,所以这里的请求是可以正常发送和接收的。

  • 与我们之前理解的src指向某个具体的.js文件不同,我们只需要确保src所指向的地址的返回内容是js代码就行了,而不必要src直接指向某个.js文件。

  • 接口地址中返回的内容将会作为script标签的主体。

让接口返回函数调用表达式,并传入数据

server.js

const express = require('express');
const app = express();
app.get('/get', (req, res) => {
  const data =  JSON.stringify({a:1,b:2})
  const fnStr = `fn(${data})`
  res.end(fnStr); // 返回字符串,内容是:函数调用语句
})
app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

后端接口的返回值是一个特殊的字符串: 一个刻意拼写的js函数调用语句。

前端补充代码:

<script>
    function fn(rs) {
        console.log(rs);
    }
</script>
<html>
    <script src="http://localhost:3000/get"></script>
</html>

JSONP实操

掌握JSONP在实际开发中的使用

前端使用jQuery ,后端使用nodejs + express。

注意前后端都需要改动代码。

jQuery封装的jsonp

jquery中的ajax已经封装好了的jsonp方式,可以直接使用。

具体来说就是给ajax请求添加一个dataType属性,其值为"jsonp"。

示例如下:

前端页面:加上dataType属性

$.ajax({
   type: 'GET',
   url: 'http://localhost:4000/get', 
   success: function (result) {
      console.log(result);
   },
   dataType: 'jsonp' // 必须要指定dataType为jsonp
});

后端接口

express框架已经提供了一个名为jsonp的方法来处理jsonp请求:

const express = require('express');
const app = express();
app.get('/get', (req, res) => {
  let data = {a:1,b:2}
  // res.json(data)
  res.jsonp(data)
})
app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

CORS

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。{也就是传说中的不适配IE6 7 8 9}

参考https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

通过在被请求的路由中设置header头,可以实现跨域。  

app.get('/get', (req, res) => {
  // * 表示允许任何域名来访问
  res.setHeader('Access-Control-Allow-Origin', '*')
  // 允许指定源访问
  // res.setHeader('Access-Control-Allow-Origin', 'http://www.xxx.com')
  res.send(Date.now().toString())
})

  • 这种方案无需客户端作出任何变化(客户端不用改代码),就当跨域问题不存在一样。

  • 服务端响应的时候添加一个 Access-Control-Allow-Origin 的响应头

使用cors

  1. 它是一个npm包,要单独下载使用 npm 包 cors

    npm i cors

  2. 当做express中的中间件,注意代码应该放在顶部

var cors = require('cors')
app.use(cors())

jsonp:

  • 不是ajax

  • 只能支持get方式

  • 兼容性好

cors:

  • 前端不需要做额外的修改,就当跨域问题不存在。

  • 是ajax

  • 支持各种方式的请求(post,get....)

  • 浏览器的支持不好(标准浏览器都支持)除了IE6789

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值