浏览器的安全策略:同源策略。同源策略:协议名、域名、端口号三者必须完全一致,才符合同源策略。只要有一个不一样,就违背同源策略,产生跨域。(导致ajax请求失败)
cors:官方的解决方案
特点:可以发任意请求,兼容性稍差。
前端发请求拿数据:
<button id="btn">按钮</button>
<script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>
<script>
$('#btn').click(function(){
$.get('http://localhost:3000/cors',function(data){
console.log(data);
})
})
</script>
后台代码:
const express = require('express');
const app = express();
app.get('/cors', (req, res) => {
//*代表允许所有网址进行跨域
//res.set('Access-Control-Allow-Origin', '*')
//允许一个网址进行跨域
//res.set('Access-Control-Allow-Origin', 'http://localhost:8080')
//允许多个网址进行跨域,设置白名单
const safe = ['http://localhost:8080','http://localhost:63342'];
const url = safe.find((url) => req.headers.referer.startsWith(url))
if (url) {
res.set('Access-Control-Allow-Origin', url)
res.send('cors方案服务器端的响应');
}else {
res.end();
}
})
app.listen(3000, (err) => {
if (!err) console.log('服务器启动成功');
else console.log(err);
})
测试:打开服务器,运行前端代码,若请求地址的开头部分在后台设置的允许请求来源地址可以跨域中,在控制台会输出:cors方案服务器端的响应。否则不允许跨域输出:No ‘Access-Control-Allow-Origin’ header is present on the requested resource.