五分钟了解前端中的 "跨域" ✌

_Avocado
178 阅读3分钟

一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第1天,点击查看活动详情

这年头,面试官们就喜欢问些看起来很专业的问题,比如跨域

跨域问题是前端开发过程中随时会遇到的问题,也是面试中的高频题。

1.什么原因导致了浏览器报跨域错误?

发起ajax请求的那个页面的地址ajax接口地址 不在同一个域中,说人话--“跨域错误:不同源ajax请求

Snipaste_2022-04-29_19-51-32.png

Snipaste_2022-04-29_19-52-09.png

2.同源是什么?

同源是指协议域名端口都相同

3.同源策略是什么?

跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略,它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。

注意:错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端,服务器也可以处理请求,只是返回到浏览器端时出错了。(出门之后回家,没核酸绿码进不了小区)

Snipaste_2022-04-29_20-00-08.png

得到“绿码”的三种方式:

1.CORS

其实主观来讲,有办法可以越过跨域问题,可是客观来说,就算身为程序员可以选择性跳过,用户可以吗? 1、在浏览器安装一个插件allow-control-allow-origin,就可以绕过同源策略了。2、用postman/Apifox之类的测试工具也可以绕过同源策略。

Snipaste_2022-04-29_19-32-49.png 从以上报错可以看出,是缺少了响应头,浏览器认为不安全就报错了,那么,我们只需在发送ajax请求的时候把响应头标头设置下就欧克啦

Snipaste_2022-04-29_20-17-20.png

这样就不会再报错,且会看见服务端响应的时候添加了一个 Access-Control-Allow-Origin 的响应信息

Snipaste_2022-04-29_20-18-33.png

1.1手动在被请求的路由中设置header头真的不要太麻烦,要是设置一两次还好,一两百次呢?这时候我们就需要使用npm包--CORS

//当做express中的中间件,注意代码应该放在顶部
const cors = require('cors')
app.use(cors())
//可以去掉单个接口设置的res.setHeader

1.2小细节:浏览器将CORS请求分成两类:简单请求 和 非简单请求(涨薪了解🙄,不影响开发)

Snipaste_2022-04-29_20-31-04.png

只要同时满足以下两大条件,就属于简单请求:

(1)请求方法是以下三种方法之一:

  • HEAD

  • GET

  • POST
    (2)HTTP的头信息不超出以下几种字段:

  • Accept

  • Accept-Language

  • Content-Language

  • Last-Event-ID

  • Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

对于简单请求,浏览器直接发出CORS请求。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(如上图)

以上问题,可以去大佬博客深入了解,一起进步😎

2.改发JSONP

JSON with Padding,是一种借助于 script 标签发送跨域请求的技巧。它本质并不是ajax请求,所以没有跨域问题。

1.原理:

  • script的src属性可以请求外部的js文件,这个请求不是ajax,所以它没有跨域问题
  • 借助 script 标签的src请求服务端上的接口。<script src="http://localhost:3000/get"
  • 服务端的接口返回JavaScript 脚本,并附上要返回的数据。例如:res.end("fn(数据)")

Snipaste_2022-05-01_18-25-53.png

1.png

2.jQuery封装的jsonp

jquery中的ajax已经封装好了的jsonp方式,可以直接使用。 具体来说就是给ajax请求添加一个dataType属性,其值为"jsonp"

(1)前端页面:加上dataType属性

$.ajax({
   type: 'GET',
   url: 'http://localhost:4000/get', 
   success: function (result) {
      console.log(result);
   },
   dataType: 'jsonp' // 必须要指定dataType为jsonp
});

(2)后端页面:express框架已经提供了一个名为jsonp的方法来处理jsonp请求

const express = require('express');
const app = express();
app.get('/get', (req, res) => {
  let data = {a:1,b:2}
  // res.json(data)
  res.jsonp(data)
})
app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

3.jquery封装的jsonp原理分析

  • (1)产生一个随机函数名;并创建这个函数(jQuery34109553463653123275_1565234364495)
  • (2)动态创建script标签,其src就是拼接的后端接口地址及callback值,如果有其它参数,则正常传递
  • (3)请求成功返回之后,执行第一步中创建的函数(jQuery34109553463653123275_1565234364495)。这个函数最终会指向$.ajax({success:function(){}}) 中的success
  • (4)销毁 第一步中创建的函数及第二步中创建的script标签

JSONP与CORS对比

JSONP:

  • 不是ajax
  • 只支持get方式
  • 兼容性好

CORS:

  • 是ajax
  • 前端不需要做额外的修改,就当跨域问题不存在
  • 支持各种方式的请求(post,get....)
  • 浏览器的支持不好(标准浏览器都支持,IE10以下不行)

手写JSONP

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>html页面</title>
  </head>
  <body>
    <div class="container">
      <h1>jsonp</h1>
      <div>需要后端接口的配合:http://localhost:3005/jsonp</div>
      
<pre>
        //--后端测试代码如下
          const express = require('express');
          const app = express()
          
          app.get('/jsonp', (req, res) => {
            var { callback } = req.query;
          
            res.setHeader('content-type', 'application/javascript');
          
            res.end(callback + '({a:1,b:2})');
          });
          
          app.listen(3000,()=>{})
      </pre>
    </div>
    <script>
      function buildCallBackFunction(options, callbackFunName) {
        window[callbackFunName] = function(result) {
          options.success(result);
          window[callbackFunName] = null;
          delete window[callbackFunName];
        };
      }
      function buildParam(options) {
        var params = options.params;
        if (!params) {
          return '';
        }
        if (typeof params === 'object') {
          var arr = [];
          for (var p in params) {
            arr.push(`p=${params[p]}`);
          }
          return arr.join('&');
        } else if (typeof params === 'string') {
          return params;
        } else {
          return '';
        }
      }
        
      function buildScript(url) {
        var script = document.createElement('script');
        script.setAttribute('src', url);
        script.onload = function() {
          document.getElementsByTagName('head')[0].removeChild(script);
        };
        document.getElementsByTagName('head')[0].appendChild(script);
      }
        
      function json(options) {
        var { url, params, success } = options;
        var callbackFunName = 'callback_' + Date.now();
        var params = buildParam(options);
        params += !params ? 'callback=' + callbackFunName : '&callback=' + callbackFunName;
        url += '?' + params;
        buildCallBackFunction(options, callbackFunName);
        buildScript(url);
      }

      json({
        url: 'http://localhost:3000/jsonp',
        // params: 'a=1&b=2',
        params: { a: 1, b: 2 },
        success: function(result) {
          console.log(result);
        }
      });
    </script>
  </body>
</html>
avatar
文章
阅读
粉丝