01-跨域
1.1-跨域介绍
-
1.跨域固定报错格式
- 只要是出现跨域问题,浏览器就会出现一个固定格式(没有之一)的报错信息
Access to XMLHttpRequest at '服务器url地址' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
- 只要是出现跨域问题,浏览器就会出现一个固定格式(没有之一)的报错信息
-
2.什么是跨域?
- 浏览器使用
ajax
时,如果请求了的**接口地址
** 和 当前**打开的页面
** 地址不同源
称之为跨域- (1)ajax : 浏览器只有使用ajax发送请求才会出现跨域。 href属性与src属性不会出现跨域
- (2) 接口地址 : ajax请求的url
- (3)打开的页面:当前页面的window.location.href
- (4)不同源 : 浏览器使用ajax,向不同源的接口发送请求,称之为 跨域访问
- 浏览器使用
-
3.什么是同源?
- MDN官方文档传送门:https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy
- 同源定义 : 两个url地址的
协议
与主机
与端口
均一致 (&&)- 协议:http , https , file
- 主机 : 域名或者ip地址 (127.0.0.1)
- 端口 :3000, 4399
- 不同源定义: 两个url地址,
协议 主机 端口
任何一个不一致 (||)http:127.0.0.1:3000/abc
http:127.0.0.1:3000/efg
https:127.0.0.1:3000/efg
http:127.0.0.1:3000/hero/add
http:127.0.0.1:4399/hero/add
http:127.0.0.1:4399/hero/all
-
4.为什么要有同源与不同源?
- 出于安全考虑,浏览器不允许,页面向不同源的接口请求数据,因为如果 接口 和 网页不同源,浏览器认为是2个不同的 服务器,
- 不同的服务器中内容是不可控的,不允许访问了
- 总结说人话:
浏览器为了保护你的电脑安全
- 举个栗子: 你去肯德基店里点餐,店员只允许你点肯德基的产品(炸鸡,可乐,上校鸡块),如果此时你在肯德基店里面点麦当劳的产品,浏览器会认为你是坏人,就会让保安把你赶出去
-
5.跨域解决方案介绍
- 跨域是前端工作中不可避免的问题:我们经常会出现请求不同源接口的情况,为了能够获取数据,解决跨域的问题方案也有很多,但是常用的就两种
- 第一种 :
CORS
- 目前的主流方案,也是最简单的方案
- 第二种:
JSONP
- 曾经的跨域杀手,专治各种跨域问题。现在慢慢的淡出历史舞台
- PS:面试官特别喜欢问这个,因为这个有一定的技术难度,也能体现一个人的实际开发经验
<!--
1.跨域固定报错格式
* 只要是出现跨域问题,浏览器就会出现一个固定格式(没有之一)的报错信息
* Access to XMLHttpRequest at '服务器url地址' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
2.什么是跨域
* 浏览器使用 ajax时,如果请求了的接口地址 和 当前打开的页面 地址 不同源 称之为跨域
* ajax : 浏览器只有使用ajax发送请求才会出现跨域。href属性与src属性不会出现跨域
* 接口地址 : ajax请求的url
* 打开的页面:当前页面的window.location.href
* 不同源 : 浏览器使用ajax,向不同源的接口发送请求,称之为 跨域访问
3.什么是同源?
* 同源定义 : 两个url地址的 协议 与 主机 与 端口 均一致 (&&)
* 协议:http , https , file
* 主机 : 域名或者ip地址 (127.0.0.1)
* 端口 :3000, 4399
* 不同源定义: 两个url地址,协议 主机 端口任何一个不一致 (||)
* 当前页面:http:127.0.0.1:3000/abc
* 同源(协议 ip 端口一致):http:127.0.0.1:3000/efg
* 不同源(协议不一致): https:127.0.0.1:3000/efg
* 不同源(ip不一致): http:192.0.0.1:3000/efg
* 不同源(端口一致): http:127.0.0.1:4399/abc
4.为什么要有同源与不同源?
* 浏览器为了用户安全 : 不允许,页面向不同源的接口请求数据,
因为如果 接口 和 网页不同源,浏览器认为是2个不同的 服务器,
5.跨域的几种解决方案
* 常用: CORS
* 面试官喜欢问:JSONP
* 了解即可: 浏览器主动设置允许跨域(需要用户主动设置,只对当前设置浏览器生效)
-->
- 前端代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<a href="http://127.0.0.1:3000/abc">点我发请求</a>
<br>
<button>点我发请求</button>
<script>
document.querySelector('button').addEventListener('click', function () {
//(1).实例化ajax对象
let xhr = new XMLHttpRequest()
//(2).设置请求方法和地址
//get请求的数据直接添加在url的后面 格式是 url?key=value
xhr.open('get', 'http://127.0.0.1:3000/abc')
//(3).发送请求
xhr.send()
//(4).注册回调函数
xhr.onload = function () {
console.log(xhr.responseText)
}
})
</script>
</body>
</html>
- 服务器代码
//1.导入模块
const express = require('express')
//2.创建服务器
/* express() 相当于http模块的http.createServer() */
const app = express()
//3.接收客户端请求
app.get('/abc',(req,res)=>{
//响应客户端数据
res.send({
status:200,
msg:'请求成功',
data:{name:'张三',age:20}
})
})
//4.开启服务器
app.listen(3000,()=>{
console.log('服务器启动成功')
})
1.2-跨域解决方案一: CORS
注意:CORS技术在实际工作中由后端人员来实现,前端不需要做任何事情
1-CORS工作原理介绍
- CORS :全称
cross origin resource share
(资源共享) - 工作原理: 服务器 在返回响应报文的时候,在响应头中 设置一个允许的header
res.setHeader('Access-Control-Allow-Origin', '*');
- 这行代码的意思是:服务器对浏览器说:老铁我是个好人,不要拒绝我!
2-express使用中间件cors : 给所有的res添加默认请求头Access-Control-Allow-Origin
-
express有一个自带的中间件cors,它的作用是自动给每一个res设置默认请求头
- 这样就不用我们自己每一个接口都要设置一次了
-
https://www.npmjs.com/package/cors
-
用法介绍
-
cors中间件是最简单的中间,底层原理如下
app.use((req, res, next) => {//任何请求都会进入这个use中间件
res.setHeader('Access-Control-Allow-Origin', '*')//设置响应头
next()//执行下一个中间件
})
1.3-跨域解决方案二:原生jsonp
-
了解jsonp原理,首先一定要明白script标签的src属性做了什么事情
- (1)scr属性会给服务器发送请求, 请求一个js文件
- (2)浏览器会解析执行这个js文件里面的代码
- 如果浏览器直接返回js代码,浏览器会立即执行
-
1.JSONP的核心原理:如果script标签的src属性的请求,服务器返回的是一个函数调用。则浏览器会执行这个函数
- 这是浏览器script标签的一个的漏洞(历史遗留问题)
-
2.实际开发中JSONP的工作流程
- (1)设置script标签的src属性,向一个不同源的接口发送一个get请求
- JSONP只支持get请求,不支持post
- (2)src属性发送请求时,在参数中额外携带一个callback的参数,参数值是一个在页面中预先定于好的函数名
- callback : 这是发明jsonp技术的人提出的一个
君子之约
,只要是jsonp前端程序员都统一将参数名定义为callback- PS:别的参数也行,只要和服务器协商好
- callback属性值:预先定义的函数名,这个函数必须要在script标签之前定义
- callback : 这是发明jsonp技术的人提出的一个
- (3)服务器接收到请求之后,获取callback的参数值
- (4)服务器将要响应的数据拼接成
函数调用格式
,通过传参的方式将响应数据返回给浏览器
- (1)设置script标签的src属性,向一个不同源的接口发送一个get请求
-
3.JSONP与CORS区别
- CORS:
- 服务器返回响应头,前端无需任何处理
- 简单快捷,支持所有请求方式
- JSONP
- 浏览器:自定义响应回调函数,使用script标签的src请求
- 利用浏览器的src属性没有跨域这一限制特点
- 服务器:接收callback参数,返回函数调用
- 处理复杂,并且只支持get请求
- 原因:get请求参数直接在url后面拼接,而post请求参数是放在请求体中
- 浏览器:自定义响应回调函数,使用script标签的src请求
- CORS:
02-HTTP原理
1.1-协议
-
1.协议概念: 制定客户端与服务器之间的通讯规则。不同的协议的作用也不同。
-
2.http协议
● HTTP(HyperText Transfer Protocol) 超文本传输协议。
● 协议双方: 浏览器与web服务器
● 请求由浏览器发起的
● HTTP 协议中明确规定了请求数据和响应数据的格式(报文)
○ 浏览器 请求 资源 要遵守 http 协议: 请求报文(请求行,请求头,请求体)
○ 服务器 返回 资源 要遵守 http 协议: 响应报文(响应行,响应头,响应体)
1.2-端口
- 1.一个IP地址的端口可以有65536个,范围是从[0,65535])。不同的端口被不同的软件占用,以提供不同的服务。
- ip地址: 找到你的电脑 ( 一台电脑只有一个ip )
- 端口号: 找到电脑上具体的软件 ( 一台电脑可以有很多个端口号 )
- 2.一台电脑可以通过安装多个服务器端软件来提供服务,比如Web服务、FTP服务、SMTP服务等。显然,仅仅通过ip地址是无法区分不同的服务的,
这里就需要用到 “IP地址+端口号”来区分不同的服务
。 - 3.通俗的来讲:
- 一台电脑只有一根网线,只会有一个ip. 所有的网络传输都是通过这根网线传输的, 但是电脑上有很多软件,你的操作系统是怎么知道这个网络请求是发给哪一个软件的。所以每一个软件都会有一个端口号。
- 端口: 一个软件服务对应一个端口
- 通过
netstat -a -n -o
查看端口使用情况
1.3-Content-Type
- 1.content-type作用
- 在http协议中,content-type用来告诉对方本次传输的数据的类型是什么。
- 2.请求头中的content-type
- 在请求头中设置content-type来告诉服务器,本次请求携带的数据是什么类型的
- 3.响应头中的content-type
- 在响应头中设置content-type来告诉服务器,本次返回的数据是什么类型的
- 4.常见的conteng-type
- .html:
res.setHeader('content-type', 'text/html;charset=utf8')
- .css:
res.setHeader('content-type', 'text/css;charset=utf8')
- .js:
res.setHeader('content-type', 'application/javascript')
- .png:
res.setHeader('content-type', 'image/png')
- json数据:
res.setHeader('content-type', 'application/json;charset=utf-8')
- .html:
其它类型,参考这里:https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types
1.4-statuCode
-
开发中,关于接口文档的状态码,一般有两种处理方式(都可以,前提是保持风格一致。 类似于js中的分号,要么都加,要么都不加)
-
方式一: 状态码放在响应行里面
res.sendStatus(400)
- 前端影响: 如果是2xx,则会执行axios的then方法。 如果是4xx,则会执行axios的catch方法。并且浏览器还会爆红。
-
方式二:状态码放在响应体中, 这种方式前端axios只会then方法。 前端需要自行判断状态码来写业务逻辑。
-
-
1.statuCode作用: 响应状态码
1.5-拓展介绍-RESTful接口(了解)
-
1.后台接口需要有一个统一的规范
- 网络应用程序,分为前端和后端两个部分。当前的发展趋势,就是前端设备层出不穷(手机、平板、桌面电脑、其他专用设备…)。因此,必须有一种统一的机制,方便不同的前端设备与后端进行通信。这导致API构架的流行,甚至出现"APIFirst"的设计思想。RESTful API是目前比较成熟的一套互联网应用程序的API设计理论。
-
以前的规范: 只有get和post
//------------下面是普通的api设计---------------
app.get('/getarticle',(req,res)=>{
res.send('获取')
})
app.post('/addarticle',(req,res)=>{
res.send('添加')
})
app.post('/delarticle',(req,res)=>{
res.send('删除')
})
app.post('/updatearticle',(req,res)=>{
res.send('编辑')
})
- 2.REST(Representational State Transfer): 指定增删改查规范
- 表述性状态转换,REST指的是一组架构约束条件和原则。 如果一个架构符合REST的约束条件和原则,我们就称它为RESTful架构。REST本身并没有创造新的技术、组件或服务,而隐藏在RESTful背后的理念就是使用Web的现有特征和能力, 更好地使用现有Web标准中的一些准则和约束。
接口名:localhost:8080/articles
类型:get
功能:获取文章信息
接口名:localhost:8080/articles
类型:post
功能:添加新文章
接口名:localhost:8080/articles
类型:delete
功能:删除文章
接口名:localhost:8080/articles
类型:put/patch
功能:编辑文章
RESTful设计是:
● 通过URL设计资源。接口名一般都是名词,不包含动词。
● 请求方式(get,post,delete,put)决定资源的操作类型
03-nodejs实现服务端重定向[课外拓展]
-
服务端重定向常见于某些网站引导登陆注册的功能(当我们访问网站首页的时候,会跳转到登陆注册的界面)
-
服务端的重定向功能主要由响应头的302状态码来实现
-
nodejs原生重定向和express重定向实现方式,原理相同,但是代码略有区别(两者只能二选一,不能混用)
/* 服务器重定向原理: 响应返回302状态码 + 响应头设置location修改浏览器地址 */
//(1)原生写法
// //设置响应状态码+响应头
// res.writeHead(302,{
// 'location':'http://127.0.0.1:3000'
// })
// //结束响应
// res.end()
//(2)express写法
res.setHeader('location','http://127.0.0.1:3000')//响应头
res.status(302).send()//设置302重定向 然后 结束响应
//1.导入模块
const http = require('http');
const fs = require('fs');
const path = require('path');
//2.创建服务器
let server = http.createServer((req,res)=>{
console.log(req.url);
//请求路径
let urlPath = req.url;
//请求方法
let method = req.method;
if(req.url === '/'){
//302表示重定向
//(1)设置重定向地址
res.writeHead(302, {
'Location': 'login' //键值对,键表示客户端浏览器将进行重定向 值:表示客户端浏览器重定向的请求
//add other headers here...
});
//(2)响应本次请求
res.end();
}
//登陆页
if(req.url === '/login'){
fs.readFile(path.join(__dirname,'login.html'),function(err,data){
if(err){
throw err;
}
res.end(data);
});
};
});
//3.开启服务器
server.listen(3000, ()=> {
console.log('服务器启动成功');
});
04-前端刷新验证码案例
验证码刷新思路
(1)浏览器发送ajax请求
(2)服务器返回图片路径
(3)浏览器将服务器返回的图片路径赋值给img标签的src属性
- 服务器代码
//1.导入模块
const express = require('express')
//2.创建服务器
/* express() 相当于http模块的http.createServer() */
const app = express()
//托管静态资源
app.use(express.static('images'))
//3.缓存中间件 : 给每一个接口添加跨域响应头
const cors = require('cors')
app.use(cors())
//3.接收客户端请求
app.get('/code', (req, res) => {
console.log(req.url)
//随机返回图片
let index = Math.ceil(Math.random()*10)
res.send(`http://127.0.0.1:3000/0${index}.jpg`)
})
//4.开启服务器
app.listen(3000, () => {
console.log('服务器启动成功')
})
- 浏览器代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<img src="./images/01.jpg" alt="" width="200px">
<br>
<button>点我刷新验证码</button>
<script>
document.querySelector('button').addEventListener('click', function () {
//(1).实例化ajax对象
let xhr = new XMLHttpRequest()
//(2).设置请求方法和地址
//get请求的数据直接添加在url的后面 格式是 url?key=value
xhr.open('get', 'http://127.0.0.1:3000/code')
//(3).发送请求
xhr.send()
//(4).注册回调函数
xhr.onload = function () {
console.log(xhr.responseText)
document.querySelector('img').src =xhr.responseText
}
})
</script>
</body>
</html>
05-服务器相关面试题
1.1-为什么post请求会发送两次请求?
- 1.第一次请求为
options
预检请求,状态码为:204- 作用:主要有两个,回答任意一个。或两个都回答。 都可以
- 作用1: 询问服务器是否支持修改的请求头,如果服务器支持,则在第二次中发送真正的请求
- 作用2: 检测服务器是否为同源请求,是否支持跨域
- 相关资料:http://www.ruanyifeng.com/blog/2016/04/cors.html
- 作用:主要有两个,回答任意一个。或两个都回答。 都可以
- 2.第二次为真正的
post
请求
1.2-说说几个前端web优化方案
-
为什么面试官喜欢问这个?
- 因为当一个网页的web请求太多的时候,会影响这个网页的加载速度。从而影响用户体验。 对于公司产品而言,优化web是非常有必要的
-
1.减少HTTP请求数
- 这是必须要放在第一个回答的,因为这是优化web最优方案
- 具体示例 : 精灵图、多个文件合并成一个
- 精灵图适用场景 : (1)图片不经常更换的,比如按钮图标 (2)图片不能太大
-
2.资源压缩
- 就是一般我们第三方包有一个min版本,就是通过压缩文件体积来优化web
-
具体示例 :响应min文件
-
3.合理利用浏览器缓存
- 某些接口的数据是固定的,服务器就没有必要每一次都响应数据。可以让浏览器进行缓存。
- 具体示例:例如省市县数据, 这种数据一般不会变化
//缓存接口
app.get('/province', (req, res) => {
console.log(req.url)
//(1)设置响应状态码
res.statusCode = 200
//(2)设置响应头
//这个响应头就会让浏览器去缓存这个接口的数据 max-age=缓存时间(单位秒)
res.setHeader("Cache-Control", 'max-age=10')
res.send(['湖北省','湖南省','安徽省'])
})
- 前端代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<button>点我加载省市县</button>
<script>
document.querySelector('button').addEventListener('click', function () {
//(1).实例化ajax对象
let xhr = new XMLHttpRequest()
//(2).设置请求方法和地址
//get请求的数据直接添加在url的后面 格式是 url?key=value
xhr.open('get', 'http://127.0.0.1:3000/province')
//(3).发送请求
xhr.send()
//(4).注册回调函数
xhr.onload = function () {
console.log(xhr.responseText)
}
})
</script>
</body>
</html>