Node.js学习第五天 CORS跨域问题,JSONP使用
文章目录
CORS跨域资源共享
接口的跨域问题
刚才编写的GET和POST接口, 存在一个很严重的问题, 不支持跨域请求
当我们在使用浏览器打开一个HTML文件时 , 在页面中点击按钮来发起请求 , 就会报错.
因为, 我们打开HTML文件是按照file协议 , 而请求服务器接口却使用的是http协议 , 协议不统一,所以会产生跨域问题
只要是协议,域名或端口号上的不同 , 就会产生跨域问题
解决接口跨域问题的方案主要有两种
- CORS (主流的解决方案 , 推荐使用)
- JSONP (有缺陷的解决方案 , 只支持GET请求)
使用cors解决跨域问题
CORS是Express的一个第三方中间件 , 通过安装和配置CORS中间件 , 可以很方便地解决跨域问题
还是基本的老套路
- 安装cors ,
npm i cors - 导入cors ,
const cors = require('cors') - 在路由之前配置cors , 调用
app.use(cors)配置中间件
什么是CORS
CORS(Cross-Orign Resource Sharing ,跨域资源共享)由一系列HTTP响应头组成 , 这些HTTP响应头决定浏览器是否阻止前端JS代码跨域获取资源
浏览器的同源安全策略默认会阻止网页跨域资源获取 , 但如果接口服务器配置了CORS相关的HTTP响应头 , 就可以解决浏览器端的跨域访问限制
CORS的注意事项
- CORS 主要在服务器端进行配置。客户端浏览器无须做任何额外的配置,即可请求开启了 CORS 的接口。
- CORS 在浏览器中有兼容性。只有支持 XMLHttpRequest Level2 的浏览器,才能正常访问开启了 CORS 的服务端接口(例如:IE10+、Chrome4+、FireFox3.5+)
CORS响应头部
- -Access-Control-Allow-Origin
响应头部中可以携带一个Access-Control-Allow-Orign字段
语法:
Access-Control-Allow-Orign: <origin> | *
<origin> : 参数指定了允许访问该资源的外域URL
举个栗子 : 下面的字段值 只允许来自http:itkkk.blog.csdn.net的请求
res.setHeader('Access-Control-Allow-Orign','http://itkkk.blog.csdn.net')
通配符*表示允许来自任何域的请求
res.setHeader('Access-Control-Allow-Origin','*')
- -Access-Control-Allow-Headers
默认情况下 , CORS仅支持客户端向服务器发送如下的9个请求头
Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、Content-Type (值仅限于 text/plain、multipart/form-data、application/x-www-form-urlencoded 三者之一)
如果客户端向服务器发送了额外的请求头信息,则需要在服务器端,通过 Access-Control-Allow-Headers 对额外的请求头进行声明,否则这次请求会失败!
举个栗子
//允许客户端向服务器发送Content-Type请求头和X-Custom-Header请求头
//注意 : 多个请求头之间使用英文逗号进行分隔
res.setHeader('Access-Control-Allow-Headers','Content-Type,X-Custom-Header')
- -Access-Control-Allow-Methods
默认情况下 , Cors仅支持客户端发起GET , POST ,HEAD 请求
如果客户端希望通过PUT,DELETE等方式请求服务器的资源 , 则需要在服务器端,通过Access-Control-Allow-Methods来指明实际请求所允许使用的HTTP方法
举个栗子
//只允许POST , GET , DELETE , HEAD请求方法
res.setHeader('Access-Control-Allow-Methods','POST,GET,DELETE,HEAD')
//允许所有的HTTP请求方法
res.setHeader('Access-Control-Allow-Methods','*')
CORS请求的分类
客户端在请求CORS接口时 , 根据请求方式和请求头的不同 , 可以将CORS的请求分为两大类, 分别是
- 简单请求
- 预检请求
简单请求
同时满足以下两大条件的请求 , 就属于简单请求
- 请求方式 : GET , POST ,HEAD三者之一
- HTTP头部信息 不超过以下几种字段: 无自定义头部字段, Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、Content-Type (值仅限于 text/plain、multipart/form-data、application/x-www-form-urlencoded 三者之一)
预检请求
只要符合任何一个条件的请求 , 都需要进行预检请求
- 请求方式为GET, POST ,HEAD之外的请求Method类型
- 请求头中包含自定义头部字段
- 向服务器发送了application格式的数据
在浏览器与服务器正式通信之前 , 浏览器会发送OPTION请求进行预检 ,以获知服务器是否允许该实际请求 , 所以这一次的OPTION请求称为"预检请求" , 服务器成功响应预检请求后 , 才会发送真正的请求 , 并且携带真实数据
简单请求和预检请求的区别
**简单请求的特点: ** 客户端与服务器之间只会发生一次请求
预检请求的特点: 客户端与服务器之间会发生两次请求 , OPTIION预检请求成功之后 , 才会发起真正的请求
JSONP接口
什么是JSONP
概念: 浏览器通过<script>标签的src属性 , 请求服务器上的数据 , 同时服务器返回一个函数的调用 . 这种请求数据的方式叫做JSONP
特点
- JSONP不属于真正的AJAX请求 , 因为他没有使用
XMLHttpRequest这个对象 - JSONP仅支持GET请求 , 不支持POST , PUT , HEAD等请求
创建JSONP接口的注意事项
如果项目中已经配置了CORS跨域资源共享 , 为了防止冲突 , 必须在配置CORS中间件之前声明JSONP的接口 . 否则JSONP接口会被处理成开启了CORS的窗口
//优先创建 JSONP 接口[这个窗口不会被处理成CORS 接口]
app.get('/api/jsonp',(req,res) =>{})
//再配置CORS中间件 [后续的所有接口,都会被处理成CORS接口]
app.use(cors())
//这是一个开启了CORS 的接口
app.get('/api/get',(req,res)=>{})
实现JSONP接口的步骤
- 获取客户端发送过来的回调函数的名字
- 得到要通过 JSONP 形式发送给客户端的数据
- 根据前两步得到的数据,拼接出一个函数调用的字符串
- 把上一步拼接得到的字符串,响应给客户端的
<script>标签进行解析执行
// 必须在配置 cors 中间件之前,配置 JSONP 的接口
app.get('/api/jsonp', (req, res) => {
// TODO: 定义 JSONP 接口具体的实现过程
// 1. 得到函数的名称
const funcName = req.query.callback
// 2. 定义要发送到客户端的数据对象
const data = { name: 'zs', age: 22 }
// 3. 拼接出一个函数的调用 , 这里面是函数的调用
const scriptStr = `${funcName}(${JSON.stringify(data)})`
// 4. 把拼接的字符串,响应给客户端
res.send(scriptStr)
})
在网页中使用jQuery发起JSONP请求
前面讲了JSONP的基本使用 , 现在一个小实例 , 通过jquery发起JSONP请求
调用$.ajax()函数 , 提供JSONP的配置选项 , 从而发起JSONP请求
// 4. 为 JSONP 按钮绑定点击事件处理函数
$('#btnJSONP').on('click', function () {
$.ajax({
type: 'GET',
url: 'http://127.0.0.1/api/jsonp',
dataType: 'jsonp',
success: function (res) {
console.log(res)
},
})
})
浙公网安备 33010602011771号