本文已参与 「新人创作礼」活动, 一起开启掘金创作之路。
什么是跨域
当发起ajax请求的那个页面的地址 和 ajax接口地址,不在同一个域中就会导致浏览器报跨域错误。
-
浏览器向web服务器发起http请求时如果请求双方的url协议,域名,端口号中如果有任意一个不相同时就会导致跨域 以下就是不同源的:
从http://127.0.0.1:5500/message_front/index.html请求http://localhost:8080/getmsg网络中不同源的请求有很多。 -
请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源,js文件,css文件等
-
浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略,它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。
注意:错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端,服务器也可以处理请求,只是当浏览器收到返回的结果时,它发现是跨域的所以浏览器拦截了响应。
JSONP解决跨域问题
JSON with Padding,是一种借助于 script 标签发送跨域请求的技巧。它本质并不是ajax请求,所以没有跨域问题
- script的src属性可以请求外部的js文件,这个请求不是ajax,它没有跨域问题。
- 借助
script标签的src请求服务端上的接口。<script src="http://localhost:3000/get" - 服务端的接口返回JavaScript 脚本,并附上要返回的数据。例如:
res.end("fn(数据)")
<script src="http://localhost:3000/get"></script>
</head>
<body>
<h1>JSONP</h1>
</body>
注意:
- script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题,所以这里的请求是可以正常发送和接收的。
- 接口地址中返回的内容将会作为script标签的主体。
CORS解决跨域问题
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。
手写实现
通过在被请求的路由中设置header头,可以实现跨域。
app.get('/getapi', (req, res) => {
console.log('接收的参数是', req.query)
// * 表示允许任何域名来访问
res.setHeader('Access-Control-Allow-Origin', '*')
res.send({ message: 'ok' })
})
- 这种方案无需客户端作出任何变化(客户端不用改代码),就当跨域问题不存在一样。
- 服务端响应的时候添加一个
Access-Control-Allow-Origin的响应头
使用cors
- 它是一个npm包,要单独下载使用 npm 包 cors
npm i cors - 当做express中的中间件,注意代码应该放在顶部。
var cors = require('cors')
app.use(cors())
如果使用Access-Control-Allow-Origin每一个接口都要单独设置,但是使用cors只需将这两段代码放到顶部,页面所有的跨域问题都可以解决。
var cors = require('cors')
app.use(cors())
//接口1:get
app.get('/getapi', (req, res) => {
console.log('接收的参数是', req.query
res.send({ message: 'ok' })
})
//接口2:post
app.post('/post', (req, res) => {
console.log('接收的是', req.body)
res.send({ message: 'ok' })
})
jsonp vs cors 对比
jsonp:
- 不是ajax
- 只能支持
get方式 - 兼容性好
cors:
- 前端不需要做额外的修改,就当跨域问题不存在。
- 是ajax
- 支持各种方式的请求(post,get....)
- 浏览器的支持不好(标准浏览器都支持)
