什么是CORS?
CORS(Corss-Origin Resource Sharing,跨域资源共享)
由一系列http响应头
组成,这些http响应头决定浏览器是否阻止前端JS代码跨域获取数据。
浏览器的同源安全策略
默认阻止网页跨域获取资源。但是如果服务器配置了CORS相关的HTTP响应头,就可以解除浏览器端的跨域访问限制。
CORS的注意事项
CORS主要在服务端
进行配置
。客户端浏览器无需做任何配置,即可开启CORS接口。
CORS在浏览器中有兼容性
。只有支持了XMLHttpRequest level2
的浏览器,才能正常访问开启CORS的服务器接口(如ie10,chrom4+,FireFox3.5+)。
1.CORS相关的3个响应头
1.Assess-Control-Allow-Origin
// 语法
Assess-Control-Allow-Origin: <origin> | *
origin
参数指定了允许访问该资源的外域url*
表示允许任何域的请求
使用示例:
// 如只支持来自 http://pancc.cn的请求:
res.setHeader('Assess-Control-Allow-Origin','http://pancc.cn')
2.Assess-Control-Allow-Headers
默认情况下只支持客户端向服务器发送如下9个请求头
Accept
Accept-Language
Content-Language
DPR
Downlink
Save-Date
Viewport-Width
Width
Content-Type
- 值仅限于
text/plain
,multipart/form-data
,application/x-www-form-urlencoded
三者之一 - 如果客户端向服务端发送了额外的请求头,则需要在服务端,通过Assess-Assess-Control-Allow-Headers对额外的请求头进行声明,否则会请求失败。
使用示例:
// 如客户端额外向服务器发送Content-Type请求头和X-Pancc-Header请求头
res.setHeader('Assess-Control-Allow-Headers','Content-Type,X-Pancc-Header')
3.Assess-Control-Allow-Method
默认情况下,CORS仅支持客户端发起GET
、POST
、HEAD
请求。
如果客户端希望通过PUT、DELETE等方式请求服务器资源,则要在服务器端,通过Assess-Control-Allow-Method来指明实际请求所允许使用的HTTP方法。
使用示例:
// 如只允许GET、POST、HEAD、DELETE请求方式
res.setHeader('Assess-Control-Allow-Method','GET,POST,DELETE,HEAD')
// 允许所有请求方式
res.setHeader('Assess-Control-Allow-Method',*)
2.CORS请求的分类
客户端在请求CORS接口的时候,根据请求方式
和请求头
的不同,可以将CORS的请求分为两大类:简单请求
,预检请求
。
1.简单请求
同时满足两个条件,就属于简单请求:
- 请求方式只为GET、POST、HEAD三者之一
- HTTP头部信息只能为上面的九种
2.预检请求
当浏览器与服务器进行正常通信之前,浏览器会发送OPTION请求
进行预检
,以获知服务器是否允许该实际请求。这一次OPTION请求,就称为预检请求。服务器成功响应预检请求后,客户端才会发送真正的请求,并且携带数据。
只要满足以下任何一个条件的请求,都需要进行预检请求:
- 请求方式为GET、POST、HEAD
三者之外
的请求 - 请求头中包含
自定义头部
字段 - 向服务器发送了
application/json格式
的数据
示例:
$('#btnGet').on('click', () => {
$.ajax({
// 简单请求
method: 'Get',
url: 'http:127.0.0.1:8080/api/get',
data: {
uname: 'zs',
age: 18
},
success: res => {
console.log(res)
}
})
})
$('#btnDelete').on('click', () => {
// 预检请求
$.ajax({
method: 'DELETE',
url: 'http:127.0.0.1:8080/api/delete',
success: res => {
console.log(res)
}
})
})
- 可以看到简单请求客户端与服务器之间只发了一次请求,预检请求发了两次。
简单请求与预检请求的区别:
- 简单请求客户端与服务器之间只会发生一次请求
- 预检请求客户端与服务器之间发生
两次请求
,OPTION预检请求成功以后,才会发起真正的请求
3.cors中间件解决跨域问题
(1)导入cors
const cors = require('cors')
(2)注册cors中间件
app.use(cors())
JSONP与CORS的区别:
JSONP
只支持GET
请求,不支持POST请求CORS
都支持,属于跨域请求
的根本解决方案
扩展:
手写JSONP解决get请求方式的跨域问题
// 编写JSONP接口
app.get('/api/jsonp', (req, res) => {
const funcName = req.query.callback // 1.得到函数名称
const data = { uname: 'zs', age: 18 } // 2.要发送到客户端的数据对象
const scriptStr = `${funcName}(${JSON.stringify(data)})` //3.拼接出一个函数调用
res.send(scriptStr) // 4.把拼接后的字符串,响应给客户端
})
- 如果项目中已经配置了CORS跨域资源共享,为了防止冲突,必须在CORS中间件之前声明JSONP接口。
调用JSONP接口
$.ajax({
method: 'Get',
url: 'http:127.0.0.1:8080/api/jsonp',
dataType: 'jsonp', // 发起jsonp请求
success: res => {
console.log(res)
}
})