Nodejs -- CORS的介绍及使用CORS解决Express请求跨域的问题

已于 2022-11-28 21:54:53 修改
阅读量1.9k 收藏 4
点赞数
分类专栏: # Node.js 文章标签: express 前端 javascript node.js
于 2022-11-28 21:53:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46311811/article/details/128088175
版权

文章目录

CORS 跨域资源共享

1 接口的跨域问题

使用Express直接编写的GET和POST接口,存在一个很严重的问题:不支持跨域请求

例如在浏览器中通过ajax调用刚刚的接口会出现如下报错
image-20221128205539513

只要使用的协议,域名或者端口号有一个不同,就会出现跨域问题

解决接口跨域问题的方案主要有两种:

  • CORS(主流的解决方案,推荐使用)
  • JSONP(有缺陷的解决方案:只支持GET请求)

2 使用cors中间件解决跨域问题

cors是Express的一个第三方中间件。通过安装和配置cors中间件,可以很方便地解决跨域问题。

使用步骤分为如下3步:

  • 运行npm install cors安装中间件
  • 使用const cors=require('cors)导入中间件
  • 在路由之前调用app.use(cors())配置中间件
// 导入express
const express = require('express')
const router = require("./router")

// 创建web服务器
const app = express()

// 配置urlencoded
app.use(express.urlencoded({extended: false}))

// 在路由之前,配置cors这个中间件,从而解决接口跨域的问题
const cors = require('cors')
app.use(cors())

// 挂载路由
app.use("/api", router)

// 启动服务器
app.listen(80, () => {
    console.log('express server running at http://127.0.0.1')
})

3 什么是CORS

CORS(Cross-Origin Resource Sharing, 跨域资源共享)由一系列HTTP响应头组成,这些HTTP响应头决定浏览器是否阻止前端JS代码跨域获取资源

浏览器的同源安全策略默认会阻止网页“跨域”获取资源。但如果接口服务器配置了CORS相关的HTTP响应头,就可以解除浏览器端的跨域访问限制

image-20221128205918700

4 CORS的注意事项

  • CORS主要在服务器端进行配置。客户端浏览器无须做任何额外的配置,即可请求开启了CORS的接口。
  • CORS在浏览器中有兼容性。只有支持XMLHttpRequest Level2的浏览器,才能正常访问开启了CORS的服务端接口(例如:IE10+、Chrome4+、FireFox3.5+)。

5 CORS响应头部 - Access-Control-Allow-Origin

响应头部中可以携带一个Access-Control-Allow-Origin字段,其语法如下:

Access-Control-Allow-Origin: <origin> | *

其中,origin参数的值指定了允许访问该资源的外域URL

例如,下面的字段值将只允许来自http://baidu.com的请求:

res.setHeader('Access-Control-Allow-Origin', 'http://baidu.com')

如果指定了Access-Control–Allow-Origin字段的值为通配符*,表示允许来自任何域的请求,示例代码如下:

res.setHeader('Access-Control-Allow-Origin', '*')

6 CORS响应头部 - Access-Control-Allow-Headers

默认情况下,CORS仅支持客户端向服务器发送如下的9个请求头:

Accept、Accept-Language、Content–Language、DPR、Downlink、Save-Data、Viewport-Width、Width、Content-Type(值仅限于text/plain、multipart/form-data、application,/x-www-form-urlencoded三者之一)

如果客户端向服务器发送了额外的请求头信息,则需要在服务器端,通过Access-Control-Allow-Headers对额外的请求头进行声明,否则这次请求会失败!

注意:多个请求头之间使用英文逗号分隔

// 允许客户端额外想服务器发送 Content-Type 请求头和 X-Custom-Header 请求头
res.setHeader('Access-Control-Allow-Headers', 'Content-Type, X-Custom-Header')

7 CORS响应头部 - Access-Control-Allow-Methods

默认情况下,CORS仅支持客户端发起GET、POST、HEAD请求。

如果客户端希望通过PUT、DELETE等方式请求服务器的资源,则需要在服务器端,通过Access-Control–Alow-Methods来指明实际请求所允许使用的HTTP方法。

示例代码如下:

// 只允许 POST, GET, DELETE, HEAD 方法
res.setHeader('Access-Control-Allow-Methods', 'POST, GET, DELETE, HEAD')

// 允许所有的HTTP请求方法
res.setHeader('Access-Control-Allow-Methods', '*')

8 CORS请求的分类

客户端在请求CORS接口时,根据请求方式和请求头的不同,可以将CORS的请求分为两大类,分别是:

  • 简单请求
  • 预检请求

9 简单请求

同时满足以下两大条件的请求,就属于简单请求:

  • 请求方式:GET、POST、HEAD三者之一
  • HTTP头部信息不超过以下几种字段:无自定义头部字段、Accept、Accept-.Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width、Content-Type(只有三个值application/x-www-form-urlencoded, multipart/form-data, text/plain)

10 预检请求

简单请求的对立面

只要符合以下任何一个条件的请求,都需要进行预检请求:

  • 请求方式为GET、POST、HEAD之外的请求Method类型
  • 请求头中包含自定义头部字段
  • 向服务器发送了application/json格式的数据

在浏览器与服务器正式通信之前,浏览器会先发送OPTION请求进行预检,以获知服务器是否允许该实际请求,所以这一次的OPTION请求称为"预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。

11 简单请求与预检请求的区别

  • 简单请求的特点:客户端与服务器之间只会发生一次请求。
  • 预检请求的特点:客户端与服务器之间会发生两次请求,OPTION预检请求成功之后,才会发起真正的请求。

image-20221128211519856

《web开发: (Node.jsExpress 接口、CORS
yexiangCSDN的专栏
01-21 476
一、Express 接口编写 1. 创建基本的服务器 2. 创建 API 路由模块 3. 编写 GET 接口 4. 编写 POST 接口 注意:如果要获取 URL-encoded 格式的请求体数据,必须配置中间件 app.use(express.urlencoded({ extended: false })) 5. CORS 资源共享 5.1接口的问题 刚才编写的 GET 和 POST接口,存在一个很严重的问题:不支持请求 解决接口问题的方案主要有两种: .
其他内容:Nodejs 中的 CORS
新华编程特战队
03-16 2168
前端客户端向后端发送请求,由于后端允许所有源 URL,因此浏览器允许该请求,并将数据提取到客户端。正如我们所讨论的,浏览器实现了一个同源策略,该策略允许从其源(URL)获取资源,并阻止来自外部URL的资源。只允许使用上述方法。让我们编写我们的服务器。在下一节中,我们将从头开始构建一个简单的应用,并查看当我们尝试在没有 CORS 标头的情况下访问外部后端时会发生什么。如果请求发送到同一源的服务器,则浏览器允许该请求,并且不会被阻止。正如我们之前所讨论的,除非我们实现了 CORS,否则源的更改将阻止所有请求
4种常见的问题
一个老码农
12-31 618
问题指的是在浏览器端,当一个网页的脚本(如JavaScript)向另一个名的网站发起请求时,如果两个网站的名不一致,就会出现问题。由于浏览器的同源策略(Same Origin Policy),默认情况下,脚本只能访问同一个名下的资源,不能访问其他名下的资源。
Node.js 如何处理请求CORS)?
最新发布
有我更精彩的博客
03-05 1157
CORS(Cross-Origin Resource Sharing)是一种安全机制,允许浏览器在不同源之间共享资源。它通过在 HTTP 响应头中添加特定的 CORS 相关字段来实现请求。:指定允许访问资源的源(、协议、端口)。:定义允许的 HTTP 方法(如GETPOST:列出允许的自定义请求头。:是否允许携带身份凭证(如 Cookies)。:指定预检请求的缓存时间。处理 Node.js 中的请求是开发中常见的需求。通过手动设置响应头、使用cors中间件、helmet。
nodejs中利用cors解决方法
xiaokanfuchen86的博客
03-06 533
在进行编程获取别的网站数据或者在同一局网下向其他IP地址提交和获取数据时,都会发生错误,在进行express框架进行服务器端编程,我常用以下方法解决问题: 首先下载模块 # Express 是一个简洁而灵活的 node.js Web应用框架, 提供了一系列强大特性帮助你创建各种 Web 应用,和丰富的 HTTP 工具。使用 Express 可以快速地搭建一个完整功能的网站 npm i express 或者 npm install express # 首先安装服务器模块 npm i c
Node.js 中的 CORS资源共享)处理
有我更精彩的博客
08-17 1248
CORS(Cross-Origin Resource Sharing)是浏览器的一种安全特性,允许或拒绝不同源(名、协议、端口)的网页访问资源。CORS 在不同源之间共享资源时发出 HTTP 请求,服务器通过设置 HTTP 头部来告诉浏览器哪些源可以访问资源。
Node.jsCORS---简单请求与预检请求详解
lph159的博客
09-20 1370
CORS是一个W3C标准,它允许浏览器安全地处理请求请求指的是在不同、协议或端口之间发起的HTTP请求。例如,假设前端应用运行在,而它需要向获取数据,这就是一个请求。简单请求是指那些不需要预检的请求。这类请求必须满足一定的条件,包括使用特定的HTTP方法和头部。浏览器会直接发送简单请求而无需进行额外的安全检查。当请求不满足简单请求的条件时,浏览器会自动在正式请求之前发送一次OPTIONS请求,这个请求被称为预检请求。预检请求的目的是让浏览器确认服务器是否允许该类型的请求
Nodejs 解决CORS
Doug_的博客
03-11 5341
Nodejs 解决CORS
Node.js配合node-http-proxy解决本地开发ajax问题
12-23
2. CORS:后端接口在返回的时候,在header中加入’Access-Control-Allow-origin’:* 之类的(有的时候后端不方便这样处理,前端就蛋疼了) 3.nodejs搭建本地http服务器,并且判断访问接口URL时进行转发,...
nodejs搭建本地服务器轻松解决问题
10-18
在本文中,我们将深入探讨如何使用Node.js搭建本地服务器来轻松解决问题问题通常发生在浏览器的安全策略之下,限制了JavaScript从一个源(协议+名+端口)发送Ajax请求到另一个源。然而,开发过程中经常...
Node.js使用CORS解决问题的三种方法
Zhang_wang_yun的博客
04-24 5522
CORS出现的较晚,它是W3C标准,属于Ajax请求的根本解决方案。支持GET和POST请求。缺点是不兼容某些低版本的浏览器。
Node.js设置CORS请求中多名白名单的方法
10-20
Node.js中设置CORS请求的多名白名单,可以按照以下知识点进行详细解读: 1. CORS基本概念:CORS是一种允许当前名、协议和端口)之外的从Web浏览器访问特定资源的机制。CORS的关键在于Web浏览器在...
java雷电飞机源码-ajax-cors-json:ajax,请求行,头,主体,json数据,cors
06-05
http服务&ajax编程,请求和响应信息解析,json数据格式 1. 服务器 通俗的讲,能够提供某种服务的机器(计算机)称为服务器 1.2 服务器软件 使计算机能提供某种服务的应用软件,称之为服务器软件. 服务器通过安装相应的...
Node.js接口编写——基于cors解决接口问题
weixin_52580677的博客
02-28 471
基于cors解决接口问题 1.下载cors中间件 npm install cors 2.导入cors中间件 const cors = require('cors') 3.配置cors中间件 app.use(cors()) 注意:cors中间件的配置必须在路由配置之前 完整案例 home.html代码 <body> <button class="btn" onclick="get()">get请求</button> <button c
node express使用 cors 实现 (2021-5-23)
doubi6的博客
05-23 260
参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS // **** *(废弃)*** // app.all('*', function (req, res, next) { // res.header("Access-Control-Allow-Origin", "*"); // res.header("Access-Control-Allow-Headers", "X-Requested-With, t-data"); //
node学习-2:Cors解决问题
坚持不懈的大白的博客
01-28 265
如,现在我写了一个网页,用HBuilder X运行,然后在这个网页里写了一个ajax请求的代码,请求的链接是我用node写的一个请求链接.现在我想要在某个服务器下某个网站下请求另外一个服务器上的某个链接,然而,却面临问题,面对这个问题,怎样解决呢?很明显这个因为导致的,怎样解决呢?基本上就是在后台js文件里添加如下代码即可。很明显,这个问题解决了。
Node.js使用CORS解决问题
weixin_73368873的博客
10-22 3587
本文简单说明CROS解决的理论,并用Node.js解决问题的代码
Node.jsExpress---基于 CORS 解决接口问题详解
lph159的博客
09-20 3384
问题是指浏览器的同源策略限制了网页从不同的名、协议或端口加载资源。具体来说,当前端试图访问不同于当前页面所在的时(如访问),浏览器默认会阻止这种请求,这就是常见的问题。:指定允许访问资源的源(、协议、端口)。:定义允许的 HTTP 方法(如GETPOST:列出允许的自定义请求头。:是否允许携带身份凭证(如 Cookies)。:指定预检请求的缓存时间。了解这些头信息的作用后,我们可以更好地配置策略。在某些情况下,客户端可能会使用自定义的 HTTP 方法或请求头,例如PUT。
express服务器请求
weixin_34360651的博客
10-29 195
2019独角兽企业重金招聘Python工程师标准>>> ...
nodejs解决cors问题
09-09
解决Node.js中的CORS问题,可以使用以下方法: 在Node.js后台中,可以通过设置响应头来允许访问。在示例代码中,可以看到使用了以下响应头的设置: - 'Access-Control-Allow-Credentials': 'true' :允许后端发送Cookie - 'Access-Control-Allow-Origin': 'http://www.domain1.com' :允许访问的名 此外,还可以使用'Access-Control-Allow-Headers'来指定允许的请求头,以及'Access-Control-Allow-Methods'来指定允许的请求方法。 需要注意的是,虽然这样设置可以允许请求,但由于后端不能写cookie,所以只要在接口的响应中写入一次cookie认证,后面的接口都能从cookie中获取验证信息。 在Vue.js中,可以使用第三方库axios来发送请求。示例代码中使用了this.$http.jsonp来发送请求,其中: - 'http://www.domain2.com:8080/login' 是请求的目标URL - 'jsonp: 'handleCallback' '是指定回调函数的名称 通过以上方法,在Node.js中可以解决CORS问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hydrion-Qlz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值