Express的CORS跨域资源共享

已于 2024-03-07 17:08:54 修改
阅读量1.2k 收藏 11
点赞数 13
分类专栏: Nodejs 文章标签: express
于 2024-03-05 17:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44741577/article/details/136457875
版权

文章目录

一、接口的跨域问题

解决接口跨域问题的方案主要有两种

  • CORS(主流的解决方案,推荐使用)
  • JSOMP(有缺陷的解决方案: 只支持 GET 请求)

二、使用 cors 中间件解决跨域问题

cors是 Express的一个第三方中间件,通过安装和配置cors 中间件,可以很方便地解决跨域问题

使用步骤分为如下3步:

  • 运行 npm install cors 安装中间件
  • 使用 const cors = require('cors') 导入中间件
  • 在路由之前调用 app.use(cors())配置中间件
// 跨域资源共享
const cors = require("cors");
app.use(cors());

三、CORS 跨域资源共享 (前端不需要做任何改变)

CORS是浏览器解决跨域问题的一种策略,在CORS中,浏览器把ajax发起的请求分为简单请求和非简单请求,分别对两种请求进行处理,再将ajax请求发往服务器。

缺点:

  • 设置具体地址,有局限性
  • 设置多源(*)就不能允许携带cookie了

3.1. 简单请求

简单请求就是满足以下条件的:

  • 请求方式为这几种:
    GET,POST,HEAD
  • HTTP头信息不超出以下几种:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    content-type只限于三种:text/plain,multipart/form-data,application/x-www-form-urlencoded

对于简单请求,浏览器直接发出CORS请求,在头信息中增加一个字段:Origin,表示请求源域名。

  • 例子:
Accept:*/*
Accept-Encoding:gzip, deflate, br
Accept-Language:zh-CN,zh;q=0.8
Connection:keep-alive
Host:localhost:3001
Origin:http://localhost:3000

Origin:http://localhost:3000 字段告诉服务器请求源是 http://localhost:3000,服务器就可以做出相应响应。如果服务器发现Oringin字段的源不在接受范围,就会发送一个正常HTTP回应,浏览器发现这个回应的头信息中没有包含Accsess-Control-Allow-Origin字段,就抛出一个错误,被XMLHttpRequestonerror捕获,即跨域问题出现了。

好了,知道报错原因,我们就可以从以下方法解决跨域问题了: 概括为一句话:在服务器设置接受的源信息。

实例

  • 客户端请求:
var xhr = new XMLHttpRequest();
var url = 'http://localhost:3000';
xhr.open('GET',url);
xhr.send(null);
xhr.onreadystatechange = () => {
  if (xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) { // 如果请求成功
      text.innerHTML = xhr.response;
  }
}
  • 服务器设置(例子用的express):
var express = require('express');
var test = express();
test.get('/',(req,res) => {
  res.set('Access-Control-Allow-Origin','http://localhost:3000');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT');
  res.header('Access-Control-Allow-Headers', 'X-Custom-Header');
  res.header('Access-Control-Allow-Credentials', 'true');
  res.send("hello CORS.");
})

CORS请求设置的响应头字段,都以 Access-Control-开头:

  • 1)Access-Control-Allow-Origin:必选
    它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
// 允许所有源进行跨域请求
res.header("Access-Control-Allow-Origin", "*");
// 或者 允许指定源进行跨域请求
res.header("Access-Control-Allow-Origin", "http://localhost:3000");
  • 2)Access-Control-Allow-Methods:可选
    列举出服务器接受的请求方式。
  • 3)Access-Control-Allow-Credentials:可选
    它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");
  • 4)Access-Control-Expose-Headers:可选
    CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader(‘FooBar’)可以返回FooBar字段的值。
res.header("Access-Control-Allow-Headers", "Content-Type,Content-Length, Authorization, Accept,X-Requested-With");

3.2. 非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

3.2.1. 预检请求

浏览器发出预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。请求头信息里面,关键字段是Origin,表示请求来自哪个源。除了Origin字段,"预检"请求的头信息包括两个特殊字段

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0..

  • 1)Access-Control-Request-Method:必选
    用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。

  • 2)Access-Control-Request-Headers:可选
    该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。

3.2.2. 预检请求的回应(服务端设置)

服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

  • 1)Access-Control-Allow-Origin:必选

  • 2)Access-Control-Allow-Methods:必选
    它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

  • 3)Access-Control-Allow-Headers
    如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

  • 4)Access-Control-Allow-Credentials:可选
    该字段与简单请求时的含义相同。

  • 5)Access-Control-Max-Age:可选
    用来指定本次预检请求的有效期,单位为秒。

3.2.3. 非简单请求CORS跨域示例

  • 客户端发送PUT请求:
var xhr = new XMLHttpRequest();
var url = 'http://localhost:3000';
xhr.open('PUT',url);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
xhr.onreadystatechange = () => {
  if(xhr.readyState === XMLHttpRequest.DONE && xhr.status === 200) {
    text1.innerHTML = xhr.response;
  }
}

非简单请求例子中,我设置了特殊头信息“X-Custom-Header”,告知服务器接受这个参数信息。

  • 在服务器设置接受信息:
var express = require('express');
var test = express();
var responsePort = 3001;//服务器端口
test.all('*', (req, res) => {
  res.set('Access-Control-Allow-Origin', 'http://localhost:3000');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT');
  res.header('Access-Control-Allow-Headers', 'X-Custom-Header');
  res.header('Access-Control-Allow-Credentials', 'true');
  res.send("hello CORS.");
})

至此,对于两种请求方式,都可以实现跨域访问了。

3.3. 跨域认证

到此,我们解决了跨域问题,但是还有一个问题,有些场景我们需要携带 Cookie去请求,那这个问题如何解决呢?

  • 第一步:前端请求中做如下配置:

如果使用fetch请求,需要设置 credentials 为 include

fetch('http://localhost:3000', {
  method: 'GET',
  credentials: 'include'
})

如果使用xhr请求,需要设置 withCredentials 为 true

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('GET', 'http://localhost:3000');
xhr.send();
  • 第二步:服务端响应头中设置 Access-Control-Allow-Credentials 字段为 true
res.header("Access-Control-Allow-Credentials", "true");

这样我们就可以携带 Cookie 去请求了。

四、JSONP接口

回顾JSONP 的概念与特点

概念:

浏览器端通过<script>标签的 src 属性,请求服务器上的数据,同时,服务器返回一个函数的调用。这种请求数据的方式叫做JSONP

特点:

JSONP不属于真正的Ajax 请求,因为它没有使用XMLHttpRequest这个对象
JSONP仅支持GET请求,不支持POST、PUT、DELETE等请求

4.1. 创建JSONP接口的注意事项

如果项目中已经配置了 CORS 跨域资源共享,为了防止冲突,必须在配置 CORS 中间件之前声明SONP 的接口。否则JSONP接口会被处理成开启了 CORS的接口。示例代码如下:

// 优先创建 JSONP 接口[这个接口不会被处理成 CORS 接口]
app.get("/api/jsonp", (req, res) => {});
// 再配置 CORS 中间件[后续的所有接口,都会被处理成 CORS 接口]
const cors = require("cors");
app.use(cors());
// 这是一个开启了 CORS 的接口
appget("/api/get", (req, res) => {});

4.2. 实现JSONP接口的具体代码

// 优先创建 JSONP 接口[这个接口不会被处理成 CORS 接口]
app.get("/api/jsonp", (req, res) => {
  // 1,获取客户端发送过来的回调函数的名字
  const funcName = req.query.callback;
  // 2,得到要通过 JSONP 形式发送给客户端的数据
  const data = { name: "zs", age: 22 };
  // 3.根据前两步得到的数据,拼接出一个函数调用的字符串
  const scriptStr = `${funcName}(${(JSON, stringify(data))})`;
  // 4.把上一步拼接得到的字符串,响应给客户端的 <script> 标签进行解析执行
  res.send(scriptStr);
});

4.3. 在网页中使用jQuery 发起JSONP请求

$.ajax({
  method: "GET",
  url: "http:127.0.0.1/api/jsonp",
  dataType: "jsonp",
  success: function (res) {
    console.log(res);
  },
});
扶苏1002
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node.js express cors解决跨域
SupperSA的博客
12-11 2001
express框架中使用cors中间件,可解决前端项目在浏览器中发起的跨域请求问题。配置corsOptions参数可以更细致地控制跨域请求的行为。
express跨域配置
放羊的小孩
03-22 4736
express跨域设置
Node.js —— Express 中间件、接口编写、接口跨域 【0基础向Express模块学习】
最新发布
迪幻的博客
05-21 1942
用易懂的知识和例子让0基础小白也能学懂Express中的中间件,端口编写,解决跨域问题
express使用cors跨域
weixin_44151974的博客
05-03 3063
什么是cors CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。只要服务器实现了CORS接口,就可以跨源通信。 CORS有两种请求,简单请求和非简单请求。 同源 跨域就等于从百度访问谷歌的资源,URL由协议、域名、端口和路径组成,如果...
Express服务端快速解决不同域名访问cors跨域
qq_44472790的博客
06-26 815
此时,本地启动:http://localhost:3000,也能访问https://www.test.com.cn/api/getDataList接口数据,目前cors不支持IE10以下版本浏览器,其他大部分浏览器已经支持。此时服务端部署接口服务器域名比如:www.test.com.cn, 比如获取列表数据接口https://www.test.com.cn/api/getDataList。在Express服务端入口app.js配置。utils/cors.js文件。这里使用npm包cors
expresscors跨域 cors
热门推荐
AdleyTales的技术博客
08-13 1万+
express中写测试接口的时候,经常要考虑跨域express有一个npm模块,使用起来非常方便cors。 npm i cors -D const express = require('express'); const cors = require('cors'); const app = express(); app.use(cprs());...
搭建后端项目以及express接口跨域问题解决
m0_56063262的博客
07-22 134
server目录 --> routes目录 --> index.js文件。
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
cors实现的跨域
06-27
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,允许浏览器在执行JavaScript时,通过HTTP请求访问不同源的资源。这种机制是为了安全考虑,防止恶意脚本从一个站点窃取另一个站点的数据。在传统的...
vue axios 解决跨域问题CORS
07-08
首先,理解什么是CORS(Cross-Origin Resource Sharing,跨源资源共享)。CORS是W3C定义的一种标准,允许浏览器在发送请求时添加特定的头信息,以允许服务器决定是否允许跨域请求。如果没有正确设置CORS,浏览器会...
cors解决ajax跨域
04-14
"CORS"(Cross-Origin Resource Sharing,跨源资源共享)是现代浏览器提供的一种安全机制,用于允许特定的跨域请求。本篇将深入探讨CORS如何帮助我们解决AJAX跨域问题。 首先,我们需要理解为什么会有跨域限制。这...
node的Express跨域解决方案代码
08-12
Nodejs Express Ajax跨域请求实例代码,Nodejs Express Ajax跨域请求实例代码
express和koa框架为例,说明nodejs服务器CORS跨域怎么设置
各种吃土豆的博客
09-15 2563
CORS即Cross-Origin Resource Sharing,跨域资源共享 CORS分为两种 一:简单的跨域请求,流程如下 网页:当HTTP请求同时满足以下两种情况时,浏览器认为是简单跨请求 1),请求的方法是get,head或者post,同时Content-Type是application/x-www-form-urlencoded, multipart/form-data 或 ...
Express写接口—接口的跨域问题-CORS中间件
weixin_47295886的博客
09-05 659
接口跨域问题:前面的POST和GET接口,存在一个不支持跨域问题使用在线版本的jqueryHTML+jquery ————>在这里的时候需要启动服务器from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.————————————说明接口存在跨域的问题。
跨域CORS
qq_45448359的博客
03-06 237
阅读本文,你需要首先知道: 浏览器的同源策略 跨域问题 JSONP原理 cookie原理 JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它.
Express 4.x 使用CORS跨域的详细解析
sunq1982的博客
09-07 1万+
前两天在stackoverflow里面提问res.jsonp的用法,被回答者嘲讽:现在是2017年了,还用jsonp? 用CORS跨域啊。做为一名傻傻的业余爱好者,不明就里,居然问:是什么技术取代jsonp在CORS跨域里面使用? 估计回答的人已经吐血了,说:CORS就是一门技术。 后来自己去翻关于各方面CORS的技术博客,现在稍微懂了一点,在此做个笔记。 jsonp是属于比较老的技术,HTML5
express 解决cors跨域
衣乌安、随笔
03-04 1097
可以使用cors这个库 npm install --save cors 加入以下代码: const cors = require('cors'); app.use(cors()) 可以看到response header中添加了 运行任何地址访问。 如果想加以限制允许指定方法或地址的话可以: app.use(cors({ origin:['http://local...
express中使用cors解决跨域
止水Itachi
07-04 662
一、终端输入:npm i cors 二、express中解决跨域,cors模块在express中解决跨域 app.use(require(“cors”)());
Express处理跨域请求 / 如何通过设置CORS允许跨域请求
一名高级工程师的博客
04-09 2090
How to allow cross site requests by setting up CORSA JavaScript application running in the browser can usually only access HTTP resources from the same domain (or...
怎么在服务端设置跨域资源共享
06-08
在服务端设置跨域资源共享,需要在响应头中添加一些特定的字段。具体的方法如下: 1. 如果你使用的是 Express 框架,可以使用 `cors` 中间件来简化跨域设置: ``` const express = require('express'); const cors = require('cors'); const app = express(); app.use(cors()); ``` 使用 `cors` 中间件后,Express 会自动设置以下响应头: ``` Access-Control-Allow-Origin: * Access-Control-Allow-Methods: GET,HEAD,PUT,PATCH,POST,DELETE Access-Control-Allow-Headers: Content-Type, Authorization ``` 其中,`Access-Control-Allow-Origin` 表示允许跨域请求的源,`*` 表示允许所有源。`Access-Control-Allow-Methods` 表示允许的 HTTP 方法,`Access-Control-Allow-Headers` 表示允许的头部信息。 2. 如果你不使用 Express 框架,可以手动设置响应头: ``` function allowCrossDomain(req, res, next) { res.header('Access-Control-Allow-Origin', '*'); res.header('Access-Control-Allow-Methods', 'GET,HEAD,PUT,PATCH,POST,DELETE'); res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization'); next(); } app.use(allowCrossDomain); ``` 上述代码中,`allowCrossDomain` 函数是一个中间件函数,用于设置跨域响应头。使用 `app.use(allowCrossDomain)` 将中间件添加到 Express 应用程序中。 以上就是在服务端设置跨域资源共享的方法,你可以根据实际情况选择合适的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值