跨域AJAX总结

最新推荐文章于 2024-09-02 12:42:33 发布
最新推荐文章于 2024-09-02 12:42:33 发布
阅读量76 收藏
点赞数
文章标签: json 网络 前端 ViewUI
原文链接:https://juejin.im/post/5cdce9ff5188256001481188
版权

跨域是指不同协议、域名、端口下访问js脚本。而当遇到跨域时,由于浏览器中同源策略的安全限制,导致不能正常执行,报类似以下的错误:

同源策略

什么是同源策略

同源策略是指限制了脚本与不同源的资源交互,而当中的是以协议、域名和端口区分,以下情况为不同源:

http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
复制代码

限制范围

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送。
复制代码

AJAX

这里只总结关于AJAX方面的跨域问题。同源政策规定,AJAX请求只能发给同源的网址,否则就报错。而解决方案一般有JSONPCORSWebSocket

JSONP

JSONP是服务器与客户端跨源通信的常用方法,这里我们写一个例子去探究JSONP的原理。

JSONP的实现原理

首先,网页通过添加一个<script>元素,向服务器请求JSON数据,这种做法不受同源政策限制。

render.js:

const express = require('express');
const app = express();

app.get('/jsonp', (req, res) => {
    const viewPath = `${__dirname}/jsonp.html`;
    res.setHeader('Content-Type', 'text/html');
    res.sendFile(viewPath);
});

app.listen(8081);
console.log(`listen 8081....`);
复制代码
jsonp.html:

<html>
    <body>
        <h1>jsonp test</h1>    
    </body>
    <script>
        function addScriptsTag (src) {
            var script = document.createElement('script');
            script.setAttribute('type', 'text/javascript');
            script.src = src;
            document.body.appendChild(script);
        }

        window.onload = function () {
            console.log('onload');
            addScriptsTag('http://127.0.0.1:8080/ip?callback=foo');
        }

        function foo (data) {
            console.log(`Your public IP address is:${data.ip}`);
        }

    </script>
</html>
复制代码

服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

const express = require('express');
const app = express();

app.get('/ip', (req, res) => {
    const callback = req.query.callback;
    res.send(`/**/ typeof ${callback} === 'function' && ${callback} ({"ip":"127.0.0.2"});`);
    // res.jsonp({ ip: '127.0.0.1' });// express自带jsonp更方便
});

app.listen(8080);
console.log(`listen 8080....`);
复制代码

最后前端收到返回的数据如下所示,浏览器就会执行该脚本,调用前面定义好的回调函数foo

/**/ typeof foo === 'function' && foo ({"ip":"127.0.0.2"});
复制代码
使用

可以自行封装方法或者找第三方库去实现JSONP请求,比如jquery的jsonp方法。

CORS

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。

两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:

- HEAD
- GET
- POST

(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
复制代码

凡是不同时满足上面两个条件,就属于非简单请求

简单请求

输入127.0.0.1:8081/cors,浏览器正常进行一次简单的AJAX请求(使用axios):

render.js

const express = require('express');
const app = express();

app.get('/cors', (req, res) => {
    const viewPath = `${__dirname}/cros.html`;
    res.setHeader('Content-Type', 'text/html');
    res.sendFile(viewPath);
});

app.listen(8081);
console.log(`listen 8081....`);
复制代码
cros.html:

<html>

<body>
    <h1>cors test</h1>
    <script src="https://unpkg.com/axios/dist/axios.min.js"></script>
    <script>
        axios({
                method: 'post',
                baseURL: 'http://127.0.0.1:8080/',
                url: '/user',
                headers: {
                    'Content-Type': 'application/x-www-form-urlencoded',
                },// 默认是applictaion/json,为非简单请求,所以为了测试需自定义
                data: {
                    firstName: 'Fred',
                    lastName: 'Flintstone'
                },
            })
            .then(function (response) {
                console.log(response);
            })
            .catch(function (error) {
                console.log(error);
            });
    </script>
</body>

</html>
复制代码

服务器通过中间件形式加上头部信息:

const express = require('express');
const app = express();

app.all('*', function(req, res, next) {
    res.header("Access-Control-Allow-Origin", "http://127.0.0.1:8081");
    next();
});

app.post('/user', (req, res) => {
    res.send('user ok');
});

app.listen(8080);
console.log(`listen 8080....`);
复制代码

这时候CORS就成功了,通信过程的头部信息:

请求头:

POST http://127.0.0.1:8080/user HTTP/1.1
Host: 127.0.0.1:8080
Connection: keep-alive
Content-Length: 44
Accept: application/json, text/plain, */*
Origin: http://127.0.0.1:8081
...

{"firstName":"Fred","lastName":"Flintstone"}
复制代码

响应头:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: http://127.0.0.1:8081
...

user ok
复制代码

其中起关键作用的是OriginAccess-Control-Allow-OriginOrigin浏览器请求时会带上,指明请求的来源。而响应头的Access-Control-Allow-Origin指明能够跨域请求资源的允许网址,多个用逗号隔开,如果写*表明任意网址都可以。

非简单请求

当请求为非简单请求时,一次请求会分两次请求,分别是预检请求和正常的请求。

我们现在把上面AJAX请求方法变为PUT

预检请求

请求就会先发一次预检请求。请求头如下:

OPTIONS http://127.0.0.1:8080/user HTTP/1.1
Host: 127.0.0.1:8080
Connection: keep-alive
Access-Control-Request-Method: PUT
Origin: http://127.0.0.1:8081
...
复制代码

预检请求的方法为OPTIONS,表明请求时用来询问的。Origin依然表明请求来源。而新增的请求字段Access-Control-Request-Method表明接下来的CORS请求会到什么方法,能否使用。

这时服务器通过设置Access-Control-Allow-Methods来规定服务器支持的CORS请求方法:

res.header("Access-Control-Allow-Methods","PUT,POST,GET,DELETE");
复制代码

正确返回后,响应头如下:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: http://127.0.0.1:8081
Access-Control-Allow-Methods: PUT,POST,GET,DELETE
Allow: PUT
...
复制代码
正常请求

正常请求的请求头:

PUT http://127.0.0.1:8080/user HTTP/1.1
Host: 127.0.0.1:8080
Connection: keep-alive
Content-Length: 44
Accept: application/json, text/plain, */*
Origin: http://127.0.0.1:8081
...

{"firstName":"Fred","lastName":"Flintstone"}
复制代码

回应:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: http://127.0.0.1:8081
Access-Control-Allow-Methods: PUT,POST,GET,DELETE
...

user ok
复制代码

和简单请求一样,请求写到Origin,回包携带Access-Control-Allow-Origin

请求时支持携带Cookie

客户端,XMLHttpRequest对象开启withCredentials属性。

JS写法:

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
复制代码

axios开启选项即可:

withCredentials: true,
复制代码

服务端同意允许发送Cookie,通过设置头部:

res.header("Access-Control-Allow-Credentials",true);
复制代码
其他服务器设置头

  • Access-Control-Request-Headers:该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,比如希望请求时使用application/json格式时,你就需要在服务器设置res.header('Access-Control-Allow-Headers', 'Content-Type');来支持自定义内容格式。

  • Access-Control-Max-Age: 该字段可选,用来指定本次预检请求的有效期,单位为秒

WebSocket

参考下面阮一峰老师的总结。

总结

JSONP只支持GET请求方式,客户端和服务器通过第三库来书写也很方便,服务器改动也很少。CORS支持几乎所有的请求方式,服务器支持只需设置一些头部信息,而客户端支持发送Cookie需要开启一下选项(很少改动)。WebSocket是更适用于实时性、频繁的请求。所以CORS更通用,开发时也更多使用这种方式。

参考

浏览器同源政策及其规避方法

跨域资源共享 CORS 详解

赵先生的博客例子

weixin_34096182
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Javaweb使用cors完成跨域ajax数据交互
08-29
JavaWeb使用CORS完成跨域AJAX数据交互 本文将对CORS的概念和JavaWeb使用CORS完成跨域AJAX数据交互进行详细的介绍。 一、跨域概念 跨域是指浏览器不能执行其他网站的脚本,这是由浏览器的同源策略造成的,是浏览器...
通过jquery的$.getJSON做一个跨域ajax请求试验
12-12
在本文中,我们将探讨如何使用jQuery的`$.getJSON`方法进行跨域Ajax请求,并通过一个简单的预约登记接口的示例来展示其实现过程。首先,理解`$.getJSON`是jQuery库提供的一个便捷方法,用于异步获取JSON格式的数据,...
原生JS实现ajaxajax跨域请求实例
11-27
总结来说,原生JS实现AJAX包括创建XMLHttpRequest对象、监听状态变化、发送请求和处理响应。而跨域请求则需要利用CORS或JSONP等机制来规避同源策略的限制。理解并掌握这些概念和方法,对于开发Web应用至关重要。
浅谈Ajax跨域Session和跨域访问
10-25
总结一下,Ajax跨域请求和跨域Session处理都是Web开发中较为复杂的问题,开发者需要理解浏览器同源策略、JSONP和CORS的工作原理,以及Session的存储和管理机制。在实际开发中,建议使用CORS来实现更安全、功能更全面...
WCF跨域ajax
04-08
总结,WCF跨域AJAX调用涉及了WCF服务的配置以支持跨域,以及AJAX的GET和POST请求方式。正确配置后,客户端可以从任何源安全地调用WCF服务,实现灵活的数据交互。在实际项目中,可能还需要考虑其他因素,如认证、错误...
python反序列化
2301_79783285的博客
08-30 1176
pickle序列化:将 Python 对象转换为可以存储或传输的格式。反序列化:将序列化的数据转换回 Python 对象。pickle模块:支持复杂的 Python 对象,但存在安全风险。json模块:支持 JSON 格式,更安全,适用于大多数应用场景。安全性:处理不受信任的数据时,应避免使用pickle。r:只读模式。w:写入模式,会清空原有内容。a:追加模式。b:二进制模式。:读写模式。x:独占创建模式。t:文本模式(默认)。
python从入门到精通:数据可视化-图形开发
2401_83283514的博客
08-29 1173
Json是一种轻量级的数据交互格式,可以按照Json指定的格式去组织和封装数据• Json本质上是一种带有特殊格式的字符串主要功能:json就是一种在各个编程语言中流通的数据格式,负责不同编程语言中的数据传递和交互,类似于:• 国际通用语言-英语• 中国不同名族的通用语言-中文(普通话)• 各种编程语言存储数据的容器不尽相同,在python中有字典dict这样的数据类型,而其它语言可能没有对应的字典。为了让不同的语言都能够相互通用的互相传递数据,Json就是一种非常良好的数据中转格式。
Vite项目启动服务器时报错 Error: Cannot find module @rollup/rollup-win32-x64-msvc.
一只想躺平却不敢躺平的小菜鸟
08-30 297
Vite项目启动服务器时报错 Error: Cannot find module @rollup/rollup-win32-x64-msvc.
解决reCaptcha v2 Invisible:识别和参数
weixin_68994939的博客
08-29 862
reCaptcha v2 Invisible是一种旨在提供安全性而不打扰用户体验的验证码类型。与传统的验证码不同,reCaptcha v2 Invisible在检测到可疑活动时才会要求用户进行互动。本文将引导您如何使用CapSolverAPI识别并解决reCaptcha v2 Invisible挑战。reCaptcha v2 Invisible是Google提供的一种安全挑战,帮助网站防止机器人和自动化滥用,同时尽量减少对合法用户的干扰。默认隐藏:除非系统检测到异常行为,否则验证码挑战不会显示。
基础闯关5
zhougynui的博客
09-02 542
XTuner 是一个高效、灵活、全能的轻量化大模型微调工具库。高效支持大语言模型 LLM、多模态图文模型 VLM 的预训练及轻量级微调。XTuner 支持在 8GB 显存下微调 7B 模型,同时也支持多节点跨设备微调更大尺度模型(70B+)。自动分发高性能算子(如 FlashAttention、Triton kernels 等)以加速训练吞吐。兼容DeepSpeed,轻松应用各种 ZeRO 训练优化策略。灵活支持多种大语言模型,包括但不限于InternLMLlama 2ChatGLMQwen。
解析淘宝商品详情API返回值中的特殊属性
apixixi的博客
09-02 681
在解析淘宝商品详情API(如淘宝开放平台提供的API)的返回值时,我们通常会遇到一些特殊的属性,这些属性可能包含复杂的数据结构,如列表、字典、嵌套对象等。由于淘宝API的具体细节可能会随时间变化,这里提供一个通用的方法指导和示例代码,用于解析这类含有特殊属性的JSON数据。
Protocol Buffers
qq_40052678的博客
09-01 269
将下载的文件解压缩后放在C盘下的Program File下,并设置bin中protoc.exe的环境变量。protocol buffers目的。
保存json时,保存成自己喜欢的格式的方法(而不是直接保存成格式化的json文档)
weixin_44151034的博客
08-29 431
全部保存成一行 JSON 文件在打开时不是格式化的(没有缩进和换行),全都保存在一行 每条数据保存成一行: 保存成自己喜欢的格式 总结json保存的格式并不是一成不变的,我们可以使用json中自带的字符串替换工具,来自己为其添加一些回车换行符,以及别的缩进符啥的:比如数据: 通过replace替换后保存:比如我们通过使用replace函数,在想添加回车的地方,在替换的文字中添加上,就可以: 我们还可以进一步的,自己控制添加回车和缩进,处理成自己方便审阅数据的样子。(比如我运行替换字符串的代码后,把数据处
C/C++ JSON ORM
一个大佬的博客
08-29 769
【代码】C/C++ JSON ORM。
windows下安装docker操作步骤
最新发布
xia_2017的博客
09-02 376
因为最近dockerb被封,下载资源太不方便了,所以还是自己本地安装上docker吧下载的地址一定不要找错,是这里电脑--“控制面板”--“程序与功能”--开启windows功能 “Hyper-V” "容器"​​​​​​​使用WSL 2而不是Hyper-V,目前我们依赖于Hyper-V特性如果需要使用WSL 2虚拟一个linux环境,请安装 WSL 2第二张安装图点击确认后,系统会重启,所以确保这之前你工作文件保存好系统重启后,桌面会有docker图案。
如何在线对比json的所有差异,并忽略节点顺序
key12315的专栏
08-29 255
一个采用递归的,忽略顺序的json文本内容和json文档差异在线对比工具,帮你快速找到两个json之间的差异
用友U8接口-自定义项和扩展自定义项(6)
243927103的博客
08-31 352
用友U8自定义和扩展自定义项
获取项目中的后缀josn文档,转成JSON格式
bamboolm的博客
08-29 331
获取项目中的后缀josn文档,转成JSON格式
JsonCPP源码分析——Value
一个小孩
08-30 364
jsoncpp中value模块
Ajax异步提交类实现跨域请求
总结来说,这个资源提供了一种实用的方法来处理跨域Ajax请求,解决了Web开发中的一个常见问题,使得开发者能够在不刷新整个页面的情况下,从不同源获取和更新数据。通过使用代理和回调函数,它可以灵活地适应各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值