本文介绍了服务器跨域的概念,探讨了Cookie与Session在保持状态中的作用,详细讲解了Express框架下Session的实现,包括resave和saveUninitialized属性的配置。在遇到跨域导致Session丢失的问题时,提出了两种解决方案:取消同源策略或通过配置允许服务器读取客户端Cookie。
基础知识
1.跨域
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域 。
2. cookie与session
在网站中,http请求是无状态的。 也就是说,你在同一客户端上多次请求服务器,每次的请求都是没有任何影响的,服务器并不会保留任何状态信息。这就会带来一个问题,当你输入帐号密码后,向服务器发送请求,经服务器判断你账号密码正确(数据库中存在)返回你登录成功的信息后,你再次向服务器请求数据,服务器是并不知道你已经登录成功的状态的,所以你还要重新登录(当然,重新登录也是没有用的),这就陷入了死循环。
cookie和session都是为了解决上述问题的。
cookie是通过客户端保留状态信息。第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器,服务器通过浏览器携带的数据就能判断当前用户是哪个了。 然而由于cookie将状态保存到了客户端,这就很不安全。比如说我不是一个网站的vip用户,但是,我可以通过检查vip用户向服务器发送的cookie伪造出来一个假的cookie,使自己获得vip用户的数据。所以cookie里面不能保存比较敏感的信息。而且cookie存储的数据量有限,不同的浏览器有不同的存储大小,但一般不超过4KB。因此使用cookie只能存储一些小量的数据。
而session就是将状态保存到服务器上的。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上 , 客户端浏览器再次访问时,只需要从该 Session 中查找该客户的状态就可以了 。
目前,状态判断的一种很流行方式是cookie与session结合实现的。还拿上面的登录来举例子。当你输入帐号密码后,向服务器发送请求,服务器判断你登录成功后,会将你的登录状态记录到session中,并且给浏览器返回一个session_id,浏览器在cookie中保存这个session_id,在下一次向服务器请求数据的时候,会通过cookie将session_id传给服务器,服务器通过session_id找到对应的session就可以判断你登录的状态了。
3. express框架下的session实现
//引入express-session和cookie-parser包(npm下载)
const session = require("express-session");
最低0.47元/天 解锁文章
扫一扫
7182
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
