【node.js】跨域详解

已于 2023-07-19 16:15:31 修改
阅读量1.6k 收藏 5
点赞数 1
文章标签: node.js 前端 安全
于 2023-07-19 15:51:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50863323/article/details/131810865
版权

【node.js】跨域详解

一、跨域是什么

跨域:本质是浏览器基于同源策略的一种安全手段

同源策略:是一种约定,他是浏览器最核心也最基本的安全功能

所谓同源,具有以下三个相同点:

  • 协议相同
  • 主机相同
  • 端口相同

当以上三个有任意一项不同时,就会触发同源策略,就会产生跨域

我们会把触发了同源策略的请求,叫做跨域请求

发送请求的服务器:http://127.0.0.1:2937/

请求目标的服务器:http://localhost:8888

上面两个服务器形成跨域

二、解决跨域的三种方法

  1. **jsonp:**十多年前火爆前端的跨域解决方案,至今还在使用,这个方案和Ajax没有任何关系。
  2. **cors:**7年前火爆前端的跨域解决方案,目前占据市场的45%,这个解决方案跟前端没有任何关系。
  3. **代理(服务器代理):**5年前火爆前端的跨域解决方案,目前占据前端的50%,使用node服务器来代理发送请求。上线后

三、jsonp

我们做ajax请求就是为了不刷新页面,把请求的数据渲染到指定位置–局部更新

现在我们的ajax对象被浏览器限制了,不能请求跨域了的服务器

怎么办呢?

有没有什么东西可以天生不被浏览器限制呢

img,video,audio,link,iframe,script标签

这些标签都可以帮助我们请求跨域服务器,跟ajax对象没有任何关系,跟浏览器同源策略没有任何关系
jsonp的原理就是利用了script标签不受浏览器同源策略的限制,然后和后端一起配合来解决跨域问题的。

解决思路

  • script标签的src属性请求这个地址,先确定先地址是否是js代码
  • 通过src请求服务器,如果没有特殊说明,一般都会请求成功
  • 只能是get请求,因为派生请求都是get

具体的实现就是在客户端创建一个script标签,然后把请求后端的接口拼接一个回调函数名称作为参数传给后端,并且赋值给script标签的src属性,然后把script标签添加到body中,当后端接收到客户端的请求时,会解析得到回调函数名称,然后把数据和回调函数名称拼接成函数调用的形式返回,客户端解析后会调用定义好的回调函数,然后在回调函数中就可以获取到后端返回的数据了。

四、cors

cors:前端和以前一样用ajax发送请求,但是不会再有跨域问题了

服务器需要设置允许跨域的响应头就可以了

如何设置呢?

方案1:用cors插件
1. 在我们的服务器代码里 npm i cors
2.  const cors = require('cors')
3. app.use(cors())
方案2:在后端服务器上书写可以允许哪些可以访问我的服务器
app.use(function(req,res,next){
            // req:表示请求对象
            // res:表示响应对象
            // next:表示下一步
            // *:通配符
            res.setHeader('Access-Control-Allow-Origin','*')//允许哪些域名请求我
            res.setHeader('Access-Control-Request-Methods','GET,POST,PUT,DELETE,OPTIONS')//允许哪些请求方式可以请求我
            res.setHeader('Access-Control-Allow-Headers','x-requested-with,content-type')//允许携带哪些请求头信息
            
            // **************上面的代码一写那么就等于这个服务器开启了跨域资源共享
            next()
        })
// 重启服务器就可以使用了

只要后端实现了cors,就实现了跨域。

五、proxy代理(服务器代理)

proxy====> 代理跨域

因为浏览器不允许请求一个非同源地址

在这里插入图片描述

注意:服务器与服务器之间请求数据并不会存在跨域行为,跨域行为是浏览器安全策略限制。

为了解决这个问题:

1、在浏览器同源的位置上设置一个代理服务器
2、请求服务器   发送请求给   代理服务器
3、代理服务器   转发请求给   目标服务器
4、目标服务器   返回响应给   代理服务器
5、代理服务器   转发响应给   请求服务器
6、请求服务器   给浏览器数据

设置代理服务器步骤:

1. 打开我的后端node代码
2. 下载代理请求的第三方插件 npm i http-proxy-middleware
3. 需要在后端代码中引入插件
4. 使用插件
早睡第一人
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
NODE.JS问题的完美解决方案
10-21
主要介绍了NODE.JS问题的完美解决方案,非常不错具有参考借鉴价值,需要的朋友可以参考下
Node.js中的不安全跳转如何防御详解
10-17
安全是不容忽视的,每个开发者都知道它非常重要,真正严肃对待它的却没有几人。下面这篇文章主要给大家介绍了关于Node.js中不安全跳转如何防御的相关资料,文中通过示例代码介绍的非常详细。需要的朋友可以参考下
Nodejs 解决(CORS)
Doug_的博客
03-11 5199
Nodejs 解决(CORS)
使用 Express 写接口
weixin_43563864的博客
10-27 1389
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
NodeJS实现的方法( 4种 )
最新发布
大剑师兰特的GIS世界
05-07 2360
Node.js实现的方法主要有以下4种:使用 CORS (Cross-Origin Resource Sharing) 中间件;手动设置响应头 (Access-Control-Allow-Origin);使用 JSONP (仅限 GET 请求);代理服务器。
nodejs express 允许访问(Access-Control-Allow-Origin)
热门推荐
dreamer2020的专栏
06-09 4万+
前世今生 在WEB应用普及的今天,个人信息(账号、COOKIE等)广泛应用于网页。浏览器同源策略保证了WEB环境的安全性。同源策略是说,在a.com名下通过ajax或者XmlHttpRequest等方式访问b.com的资源时,是不被允许的。 然而在很多时候,出于业务的的需要,我们经常有类似的访问 的需求。浏览器有一些支持访问的标签,例如script,img等。 有这样的需求,自然就
Node 解决问题 JSONP与CORS
小辣抓
11-08 5611
Node 解决问题 JSONP与CORS今天浅谈一下Node解决的问题,其实这个问题因为同源策略而一直存在的,是前端的必经之路,原来一直在用CORS,对于JSONP都忘的差不多,今天遇到一些小问题居然也懵了圈,以前也没有写过关于这方面的博文,所以今天特地拿出来写一下,希望能帮到大家。CORS 与 JSONP的区别CORS全称为资源共享”(Cross-origin resource s
node
weixin_38999683的博客
04-11 301
当我们使用自定义Header的时候,前端会发出两次HTTP请求,第一次类型为OPTION,以向后端验证“中哪些Header可以拥有正常访问权限”,然后,才会发出真正的第二次HTTP请求。第一次,可以看到类型为OPTION,并且没有我们需要的自定义Header: 前端代码如下: <!DOCTYPE html> <html> <head&gt...
Node.js返回JSONP详解
12-23
Node.js中实现JSONP非常简单,通过下面的代码我们从服务器返回并运行一个JavaScript函数,这个JavaScript函数已经在调用方提前被定义好了,于是当它被返回的时候就自动执行了。 var express = require('express')...
Node.js中快速开发框架 Express的登录注册小案例
10-29
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它让 JavaScript 可以在服务器端运行,打破了传统的前端与后端的界限。npm(Node Package Manager)是 Node.js 的包管理器,它允许开发者轻松地分享和...
利用node.js实现反向代理的方法详解
01-20
本文主要给大家介绍的是关于利用node.js实现反向代理的相关内容,分享出供大家参考学习,下面话不多说,来一起看看详细的介绍: 问题是前端开发很常见的问题解决方案有很多种 jsonp返回 Access-Control-Allow-...
详解node.js搭建代理服务器请求数据
01-20
1、引入node.js中的模块 var http = require(http); var url = require(url); var qs = require(querystring); 2、创建服务器 //用node中的http创建服务器 并传入两个形参 http.createServer(function(req , ...
Node+Express的访问控制问题:Access-Control-Allow-Origin
Jancy的博客
02-12 1万+
项目A通过Ajax访问项目B的接口,获取json数据,项目B采用Node+Express技术栈。项目A可能遇到访问控制问题。报错如下: XMLHttpRequest cannot load http://127.0.0.1:3000/news/latest. No ‘Access-Control-Allow-Origin’ header is present on the requested
Node.js解决方案,让你吃透(妈妈级教学)
陈新科的博客
10-11 1387
一. 的概念 同一时间,一个页面存在访问多个主机的情况,且每个主机之间,协议,主机,端口其中之一不相同。 同源策略: 两个主机,如果是协议,主机或名,端口,其中之一不一样,就违反了同源策略 同源策略的限制: 不能发送ajax请求 不能操作DOM等 不能操作本地存储(cookie,localstorage,sessionstorage) 同源策略的产生最初是为了预防XSS和CSRF脚本攻击。 二.请求分类 1.简单请求 ​ 请求类型:只支持GET,HEAD,POS
Node之
Wang_0_的博客
12-04 282
ajaxlet wd=event.target.value let xhr=new XMLHttpRequest(); xhr.open('GET',`https://www.baidu.com`,false) //请求方式,请求地址,是否异步 xhr.onreadystatechange=function(){ if(xhr.readState==4&&/2\d{2}/.test(xhr
nodeJS中express框架设置全局请求头
毛毛虫博客
05-02 8825
本文即将迁移至个人网站程序员导航站 - 博客栏 无任何广告,用户体验极好,观感极佳。欢迎各位大哥将其设为首页。 求您了,设个浏览器首页吧!====》https://iiter.cn //设置请求头 router.all('*', function(req, res, next) { res.header("Access-Control-Allow-Origin...
nodejs express 允许设置
黄彪博客
07-19 6412
为了模拟向后台发送请求,需要搭建一个web工程的demo,使用nodejs 的express 模拟web工程 var express = require("express"); var http = require("http"); var app = express(); ////////////////////// 获取post过来的数据 /////////////////////...
node.js学习----15Express中访问
翟浩浩Android专栏
02-15 149
node.js的Express中访问,只要加上下面几句话就可以了: //设置访问 app.all('*', function (req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Headers", "X-Requested-W...
node.js
08-15
Node.js 中处理请求可以通过设置 HTTP 头来实现。以下是一种常见的方法: 1. 安装 `cors` 模块:在命令行中运行 `npm install cors`。 2. 在你的 Node.js 应用程序中引入 `cors` 模块:`const cors = require('cors');` 3. 使用 `cors` 中间件来启用请求处理:`app.use(cors());` 4. 如果你想更精确地控制请求,可以在 `cors` 中间件的参数中传递一些选项。例如,你可以指定允许的来源、请求方法和其他自定义设置。以下是一个示例: ```javascript const express = require('express');const cors = require('cors'); const app = express(); // 允许所有来源的请求 app.use(cors()); // 或者只允许特定的来源 app.use(cors({ origin: 'http://example.com' })); // 或者根据请求动态设置允许的来源 app.use(cors({ origin: function (requestOrigin, callback) { // 检查 requestOrigin 是否允许 const allowedOrigins = ['http://example.com', 'http://example.org']; const isAllowed = allowedOrigins.includes(requestOrigin); callback(null, isAllowed); } })); // 其他路由和中间件... ``` 这样配置后,Node.js 应用程序将允许来自指定来源的请求。 请注意,CORS(资源共享)是一种浏览器标准,用于控制请求的访问权限。在 Node.js 中使用 `cors` 模块可以方便地处理请求并遵循 CORS 标准。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

早睡第一人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值