文章目录
同源政策
Ajax请求限制
Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站,A网站中的 HTML 文件只能向A网站服务器中发送 Ajax请求,B网站中的 HTML 文件只能向 B 网站中发送 Ajax 请求,但是 A 网站是不能向 B 网站发送 Ajax请求的,同理,B网站也不能向 A 网站发送 Ajax请求。
什么是同源
如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。
http://www.example.com/dir/page.html
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
https://www.example.com/dir/page.html:不同源(协议不同)
同源政策的目的
-
同源政策是为了保证用户信息的安全,防止恶意的网站窃取数据。最初的同源政策是指 A 网站在客户端设置的Cookie,B网站是不能访问的。
-
随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中一项规定就是
无法向非同源地址发送Ajax 请求
,如果请求,浏览器就会错。
使用 JSONP 解决同源限制问题
jsonp 是 json with padding 的缩写,它不属于 Ajax 请求,但它可以模拟 Ajax 请求,是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。
- 将不同源的服务器端请求地址写在 script 标签的 src 属性中。
<script src="http://localhost:3001/test"></script>
- 服务器端响应数据必须是一个函数的调用,真正要发送给客户端的数据需要作为函数调用的参数。
app.get('/test', (req, res) => {
const result = 'fn({name: "张三",age:20})';
//fn是调用客户端的函数名
res.send(result);
});
- 在客户端
全局作用域
下定义函数 fn。
function fn (data) { }
- 在 fn 函数内部对服务器端返回的数据进行处理。
function fn (data) { console.log(data); }
//输出一个对象 服务端返回的{name: "张三", age: "20"}
JSONP 代码优化
-
客户端需要将函数名称传递到服务器端。
-
将 script 请求的发送变成动态请求。
客户端代码
// 为按钮添加点击事件
btn.onclick = function () {
// 创建script标签
var script = document.createElement('script');
// 设置src属性 把调用的函数名发过去
script.src = 'http://localhost:3001/better?callback=fn2';
// 将script标签追加到页面中
document.body.appendChild(script);
// 为script标签添加onload事件
//当请求传送过去后就触发
script.onload = function () {
// 将body中的script标签删除掉
document.body.removeChild(script);
}
}
-
封装 jsonp 函数,方便请求发送。
客户端代码
function jsonp (options){
// 动态创建 script 标签
var script = document.createElement('script')
// 为script标签 添加src属性
script.src = options.url;
// 将script 标签追加到页面上
document.body.appendChild(script);
// 为script 标签添加onload事件
script.onload = function () {
document.body.removeChild(script)
}
}
服务器端代码优化之 res.jsonp 方法
app.get('/better', (req, res) => {
// 接收客户端传递过来的函数的名称
//const fnName = req.query.callback;
// 将函数名称对应的函数调用代码返回给客户端
//const data = JSON.stringify({name: "张三"});
//const result = fnName + '('+ data +')';
// setTimeout(() => { // res.send(result);
// }, 1000)
res.jsonp({name: 'lisi', age: 20});
//express框架里面的方法 客户端success函数接受数据
});
完整代码
客户端
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>jsonp应用</title>
</head>
<body>
<button id="btn">点我发送请求</button>
<script type="text/javascript">
// 获取按钮
var btn = document.getElementById('btn');
// 为按钮添加点击事件
btn.onclick = function () {
jp({
// 请求地址
url: 'http://localhost:3001/better',
data: {
name: 'lisi',
age: 30
},
success: function (data) {
console.log(123)
console.log(data)
//输出服务端返回的{name: 'lisi', age: 20}
}
})
}
//jsonp的封装函数
function jp (options) {
// 动态创建script标签
var script = document.createElement('script');
// 拼接字符串的变量
var params = '';
for (var attr in options.data) {
params += '&' + attr + '=' + options.data[attr];
}
// myJsonp0124741 生成一个一个随机的函数名
var fnName = 'myJsonp' + Math.random().toString().replace('.', '');
// 它已经不是一个全局函数了
// 将它变成全局函数
window[fnName] = options.success;
// 为script标签添加src属性 添加函数名 传递参数
script.src = options.url + '?callback=' + fnName + params;
// 将script标签追加到页面中
document.body.appendChild(script);
// 为script标签添加onload事件 事件完成后删除script标签,避免请求发送多次产生多个标签
script.onload = function () {
document.body.removeChild(script);
}
}
</script>
</body>
</html>
服务端代码
// 引入express框架
const express = require('express');
// 创建web服务器
const app = express();
app.get('/better', (req, res) => {
res.jsonp({name: 'lisi', age: 20});
//这里的jsonp是服务器方法
});
案例——使用jsonp获取腾讯天气信息
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>使用jsonp获取腾讯天气信息</title>
<link rel="stylesheet" href="/assets/bootstrap/dist/css/bootstrap.min.css">
<style type="text/css">
.container {
padding-top: 60px;
}
</style>
</head>
<body>
<div class="container">
<table class="table table-striped table-hover" align="center" id="box"></table>
</div>
<!-- 引入封装的jsonp文件 -->
<script src="/js/jsonp.js"></script>
<!-- 引入前端渲染模板 -->
<script src="/js/template-web.js"></script>
<!-- 创建模板 -->
<script type="text/html" id="tpl">
<tr>
<th>时间</th>
<th>温度</th>
<th>天气</th>
<th>风向</th>
<th>风力</th>
</tr>
{{each info}}
<tr>
<!-- dataFormat 引入的用于格式化数据 -->
<td>{{dateFormat($value.update_time)}}</td>
<td>{{$value.degree}}</td>
<td>{{$value.weather}}</td>
<td>{{$value.wind_direction}}</td>
<td>{{$value.wind_power}}</td>
</tr>
{{/each}}
</script>
<script>
// 获取table标签
var box = document.getElementById('box');
function dateFormat(date) {
// substr 截取字符串 开始位置 个数
var year = date.substr(0, 4);
var month = date.substr(4, 2);
var day = date.substr(6, 2);
var hour = date.substr(8, 2);
var minute = date.substr(10, 2);
var seconds = date.substr(12, 2);
return year + '年' + month + '月' + day + '日' + hour + '时' + minute + '分' + seconds + '秒';
}
// 向模板中开放外部方法 方法名(任意) 定义的函数名
template.defaults.imports.dateFormat = dateFormat;
// 向服务器端获取天气信息 根据接口文档字段进行匹配传输
jsonp({
url: 'https://wis.qq.com/weather/common',
data: {
source: 'pc',
weather_type: 'forecast_1h', //未来24小时
// weather_type: 'forecast_1h|forecast_24h', //未来24小时|未来7天(未来7天接口字段与未来24小时不同,可自行查看)
province: '浙江省',
city: '杭州市'
},
success: function (data) {
console.log(data)
// 把 数据导入 模板
var html = template('tpl', {info: data.data.forecast_1h});
// 把 模板放到 页面
box.innerHTML = html;
}
})
</script>
</body>
</html>
返回数据
页面展示
CORS 跨域资源共享
CORS:全称为 Cross-originresource sharing,即跨域资源共享,它允许浏览器向跨域服务器发送 Ajax 请求,克服了 Ajax 只能同源使用的限制。
Node 服务器端设置响应头示例代码:
// 拦截所有请求
app.use((req, res, next) => {
//设置允许跨域请求的ip地址
// * 代表允许所有的客户端访问我
res.header('Access‐Control‐Allow‐Origin', '*');
//设置可以跨域的请求方式
res.header('Access‐Control‐Allow‐Methods', 'GET, POST');
//执行权移交下一个中间件
next();
})
demo
html页面 所在服务器监听端口为3000 访问端口为3001
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<button id="btn">点我发送请求</button>
<!-- ajax封装文件-->
<script src="/js/ajax.js"></script>
<script>
// 获取按钮
var btn = document.getElementById('btn');
// 为按钮添加点击事件
btn.onclick = function () {
ajax({
type: 'get',
url: 'http://localhost:3001/cross',
success: function (data) {
console.log(data)
}
})
};
</script>
</body>
</html>
监听的3001端口的服务器
// 引入express框架
const express = require('express');
// 路径处理模块
const path = require('path');
// 创建web服务器
const app = express();
// 拦截所有请求
app.use((req, res, next) => {
// 1.允许哪些客户端访问我
// * 代表允许所有的客户端访问我
res.header('Access-Control-Allow-Origin', '*')
// 2.允许客户端使用哪些请求方法访问我
res.header('Access-Control-Allow-Methods', 'get,post')
next();
});
app.get('/cross', (req, res) => {
res.send('你得到了3001端口下返回的数据')
});
访问非同源数据 服务器端解决方案
demo
html页面 在监听3000端口的服务器下
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<button id="btn">点我发送请求</button>
<!-- ajax封装文件 -->
<script src="/js/ajax.js"></script>
<script>
// 获取按钮
var btn = document.getElementById('btn');
// 为按钮添加点击事件
btn.onclick = function () {
ajax({
type: 'get',
url: 'http://localhost:3000/server',
success: function (data) {
console.log(data);
}
})
};
</script>
</body>
</html>
监听3000端口的服务器
// 引入express框架
const express = require('express');
// 路径处理模块
const path = require('path');
// 向其他服务器端请求数据的模块
const request = require('request');
// 创建web服务器
const app = express();
// 静态资源访问服务功能
app.use(express.static(path.join(__dirname, 'public')));
app.get('/server', (req, res) => {
request('http://localhost:3001/cross', (err, response, body) => {
res.send(body);
})
});
// 监听端口
app.listen(3000);
// 控制台提示输出
console.log('服务器启动成功');
监听3001端口的服务器
// 引入express框架
const express = require('express');
// 路径处理模块
const path = require('path');
// 创建web服务器
const app = express();
// 拦截所有请求
app.use((req, res, next) => {
// 1.允许哪些客户端访问我
// * 代表允许所有的客户端访问我
res.header('Access-Control-Allow-Origin', '*')
// 2.允许客户端使用哪些请求方法访问我
res.header('Access-Control-Allow-Methods', 'get,post')
next();
});
app.get('/cross', (req, res) => {
res.send('你得到了3001端口下返回的数据')
});
案例——实现跨域登录功能
cookie 复习
withCredentials属性
- 在使用Ajax技术发送跨域请求时,默认情况下不会在请求中携带cookie信息。
- withCredentials:指定在涉及到跨域请求时,是否携带cookie信息,默认值为false
- Access-Control-Allow-Credentials:true 允许客户端发送请求时携带cookie
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>实现跨域功能</title>
<!-- 引入bootstrap框架 -->
<link rel="stylesheet" href="/assets/bootstrap/dist/css/bootstrap.min.css">
<style type="text/css">
.container {
padding-top: 60px;
}
</style>
</head>
<body>
<div class="container">
<form id="loginForm">
<div class="form-group">
<label>用户名</label>
<input type="text" name="username" class="form-control" placeholder="请输入用户名">
</div>
<div class="form-group">
<label>密码</label>
<input type="password" name="password" class="form-control" placeholder="请输入用密码">
</div>
<input type="button" class="btn btn-default" value="登录" id="loginBtn">
<input type="button" class="btn btn-default" value="检测用户登录状态" id="checkLogin">
</form>
</div>
<script type="text/javascript">
// 获取登录按钮
var loginBtn = document.getElementById('loginBtn');
// 获取检测登录状态按钮
var checkLogin = document.getElementById('checkLogin');
// 获取登录表单
var loginForm = document.getElementById('loginForm');
// 为登录按钮添加点击事件
loginBtn.onclick = function () {
// 将html表单转换为formData表单对象
var formData = new FormData(loginForm);
// 创建ajax对象
var xhr = new XMLHttpRequest();
// 对ajax对象进行配置
xhr.open('post', 'http://localhost:3001/login');
// 当发送跨域请求时,携带cookie信息
xhr.withCredentials = true;
// 发送请求并传递请求参数
xhr.send(formData);
// 监听服务器端给予的响应内容
xhr.onload = function () {
console.log(xhr.responseText);
}
}
// 当检测用户状态按钮被点击时
checkLogin.onclick = function () {
// 创建ajax对象
var xhr = new XMLHttpRequest();
// 对ajax对象进行配置
xhr.open('get', 'http://localhost:3001/checkLogin');
// 当发送跨域请求时,携带cookie信息
xhr.withCredentials = true;
// 发送请求并传递请求参数
xhr.send();
// 监听服务器端给予的响应内容
xhr.onload = function () {
console.log(xhr.responseText);
}
}
</script>
</body>
</html>
跨域请求的服务器
// 引入express框架
const express = require('express');
// 路径处理模块
const path = require('path');
// 接收post请求参数
const formidable = require('formidable');
// 实现session功能
var session = require('express-session');
// 创建web服务器
const app = express();
// 实现session功能
app.use(session({
secret: 'keyboard cat',
resave: false,
saveUninitialized: false
}));
// 静态资源访问服务功能
app.use(express.static(path.join(__dirname, 'public')));
// 拦截所有请求
app.use((req, res, next) => {
// 1.允许哪些客户端访问我
// * 代表允许所有的客户端访问我
// 注意:如果跨域请求中涉及到cookie信息传递,值不可以为*号 比如是具体的域名信息
res.header('Access-Control-Allow-Origin', 'http://localhost:3000')
// 2.允许客户端使用哪些请求方法访问我
res.header('Access-Control-Allow-Methods', 'get,post')
// 允许客户端发送跨域请求时携带cookie信息
res.header('Access-Control-Allow-Credentials', true);
next();
});
app.post('/login', (req, res) => {
// 创建表单解析对象
var form = formidable.IncomingForm();
// 解析表单
req.session.isLogin = false;
// 普通数据 文件数据
form.parse(req, (err, fields, file) => {
// 接收客户端传递过来的用户名和密码 表单的name属性
const { username, password } = fields;
// 用户名密码比对
if (username == 'oldsport' && password == '123456') {
// 设置session
req.session.isLogin = true;
res.send({message: '登录成功'});
} else {
res.send({message: '登录失败, 用户名或密码错误'});
}
})
});
app.get('/checkLogin', (req, res) => {
// 判断用户是否处于登录状态
if (req.session.isLogin) {
res.send({message: '处于登录状态'})
} else {
res.send({message: '处于未登录状态'})
}
});
// 监听端口
app.listen(3001);
// 控制台提示输出
console.log('服务器启动成功');