什么是同源？？？跨域错误？？？如何解决？？？

同源：指发出请求所在的页面 与 所请求的资源的url 协议相同，域名相同，端口相同。

跨域错误：指不同源的ajax请求。

浏览器向web服务器发起http请求时 ，如果同时满足以下三个条件时，就会出现跨域问题，从而导致ajax请求失败：

（1）请求响应双方url不同源。

从http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg 就是不同源的 。

（2）请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源，js文件,css文件等。 

（3）浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略，它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。  

注意：错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端，服务器也可以处理请求，只是返回到浏览器端时出错了。  

解决思路：

（1）请求响应双方url不同源  =》使用服务器代理

（2）请求是ajax =》改发JSONP

（3）浏览器觉得不安全 （后端还是能收到请求的） =》

• 可以安装一个浏览器插件allow-control-allow-origin 绕过同源策略。

• 用postman软件测试

• CORS

1.JSONP(JSON with Padding )的原理和实现步骤

jsonp：是一种借助于script标签发送跨域请求的技巧。它本质并不是ajax请求，所以没有跨域问题。

原理：

• script的src属性可以请求外部的js文件，这个请求不是ajax，它没有跨域问题。

• 借助 script 标签src请求服务端上的接口。<script src="http://localhost:3000/get"

• 服务端的接口返回JavaScript 脚本，并附上要返回的数据。res.end("fn(数据)")

实现步骤：

• 创建script标签并让src指向接口地址

• 让接口返回函数调用表达式，并传入数据

• 在前端准备相应的函数

  1.前端页面（让script标签的src指向接口地址）：

<html>
    <script src="http://localhost:3000/get"></script>
</html>

注意：

• script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题，所以这里的请求是可以正常发送和接收的。

• 与我们之前理解的src指向某个具体的.js文件不同，我们只需要确保src所指向的地址的返回内容是js代码就行了，而不必要src直接指向某个.js文件。

• 接口地址中返回的内容将会作为script标签的主体。

2.后端代码 （让接口返回函数调用表达式，并传入数据 ） ：

const express = require('express');

const app = express();

app.get('/get', (req, res) => {
  const data =  JSON.stringify({a:1,b:2})
  const fnStr = `fn(${data})`
  res.end(fnStr); // 返回字符串，内容是：函数调用语句
})

app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

注意：

• 后端接口的返回值是一个特殊的字符串： 一个刻意拼写的js函数调用语句。

3. 在前端准备相应的函数：

<script>
    function fn(rs) {
        console.log(rs);
    }
</script>
<html>
    <script src="http://localhost:3000/get"></script>
</html>

 实操-前端（jQuery封装的jsonp ）：

//加上dataType属性
$.ajax({
   type: 'GET',
   url: 'http://localhost:4000/get', 
   success: function (result) {
      console.log(result);
   },
   dataType: 'jsonp' // 必须要指定dataType为jsonp
});

 实操-后端（nodejs + express ）：

const express = require('express');
const app = express();
app.get('/get', (req, res) => {
  let data = {a:1,b:2}
  // res.json(data)
  res.jsonp(data)
})
app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

2.CORS（Cross-origin resource sharing）：

CORS是一个W3C标准，全称是"跨域资源共享"。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

手写实现（通过在被请求的路由中设置header头，可以实现跨域）：

app.get('/get', (req, res) => {
  // * 表示允许任何域名来访问
  res.setHeader('Access-Control-Allow-Origin', '*')
  // 允许指定源访问
  // res.setHeader('Access-Control-Allow-Origin', 'http://www.xxx.com')
  res.send(Date.now().toString())
})

• 这种方案无需客户端作出任何变化（客户端不用改代码），就当跨域问题不存在一样。

• 服务端响应的时候添加一个 Access-Control-Allow-Origin 的响应头

使用cors：

1. 它是一个npm包，要单独下载使用 npm 包 cors，npm i cors

2. 当做express中的中间件，注意代码应该放在顶部

var cors = require('cors')
app.use(cors())

可以去掉单个接口内部的res.setHeader

3.jsonp vs cors 

jsonp：

• 不是ajax

• 只能支持get方式

• 兼容性好

cors:

• 前端不需要做额外的修改，就当跨域问题不存在。

• 是ajax

• 支持各种方式的请求(post,get....)

• 浏览器的支持不好（标准浏览器都支持）