跨域--跨域访问接口-整体说明 以及如何解决跨域问题

跨域问题是我们前端开发中经常会遇到的问题。通过此文档的了解，我们就能解决这类问题啦。

主要内容：

• 素材准备
• 错误原因分析
• 用JSONP来解决
• 用CORS来解决

跨域-素材准备及错误展示

目录结构

根目录
├── public
│   ├── js
    		└── axios.js
│   └── index.html  # 提前准备好的页面
└── server.js

前端页面

public/index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <button id="btn1_get">接口测试1：get请求带参数</button>
    <button id="btn2_post"> 接口测试2:post-传递普通键值对</button>
    <hr/>
    <button id="btn3_postJSON">接口测试3:post-传递json</button>
    <hr/>
    <form id="myform">
        <input type="text" name="title">
        <input type="file" name="cover">
    </form>
    <button id="btn4_formdata">接口测试4:post-传递formdata</button>
    <hr/>
    <script src="./js/axios.js"></script>
    <script>
    document.getElementById('btn1_get').addEventListener('click',() => {
        axios.get('http://localhost:3000/getapi', {params: {a:1,b:2}})
    })
    var obj = {
        "name":"abc",
        "address":{
            "a":1,
            "b":2,
            "info":"c"
        }
    }
    document.getElementById('btn2_post').addEventListener('click', () => {
        const params = new URLSearchParams();
        params.append('param1', 'value1');
        params.append('param2', 'value2');
        axios.post('http://localhost:3000/post', params, {
            headers: {"content-type":"application/x-www-form-urlencoded"}})
    })

    document.getElementById('btn3_postJSON').addEventListener('click', () => {
        axios.post('http://localhost:3000/postJSON', obj)
    })

    document.getElementById('btn4_formdata').addEventListener('click', () => {
        console.log(1)
        var fd = new FormData(document.getElementById('myform'));

        axios.post('http://localhost:3000/publish', 
            fd
        )
    })
    </script>
</body>
</html>

后端

// 实现get接口
const express = require('express')
const app = express();

app.use(express.static('public'))
// 引入bodyParse包
const bodyParser = require('body-parser')
// 使用包. 则在后续的post请求中
// 会自动加入req.body属性，这个属性中就包含了post请求所传入的参数
// 处理普通的键值对格式
// Content-Type: application/x-www-form-urlencoded
app.use(express.urlencoded())

// 处理JSON格式
// Content-Type: application/json;
app.use(express.json())

// 引入multer包
const multer = require('multer');

// 配置一下multer
// 如果本次post请求涉及文件上传，则上传到uploads这个文件夹下
// Content-Type: multipart/form-data;
var upload = multer({ dest: 'uploads/'})


// 实现接口1： get类型接口
// 返回所传入的参数，并附上上时间戳
app.get('/getapi',(req,res)=>{
    // 通过 req.query快速获取传入的参数
    console.log(req.query);
    let obj = req.query
    
    obj._t = Date.now(); 
    res.json( obj )
})

// 实现接口2：普通post 键值对
app.post('/post',(req,res)=>{
    // 希望在后端收到post传参
    console.log(req.body);

    let obj = req.body
    obj._t = Date.now();
    
    res.json(obj)
})

// 实现接口3：用来JSON格式的数据
// Content-Type: application/json;
app.post('/postJSON',(req,res)=>{
    // 希望在后端收到post传参
    console.log(req.body);
    
    // res.send('/postJSON')
    res.json( req.body )
})

// 实现接口4：接口formDate
app.post('/publish',upload.single('cover'),(req,res)=>{
    console.log('publish...')
    //upload.single('cover')
    // 这里的cover就是在页面中表单元素中的name
    // <input type="file" name="cover" />
    // 把要上传文件放在指定的目录
    console.log(req.file);
    // 其它参数，还是在req.body中找
    console.log(req.body);

    res.json({code:200,msg:'上传成功',info:req.file.path})
})

app.listen(3000,()=>{
    console.log('express应用在3000端口启动了'); 
})

问题演示

把前端代码单独运行，就会报错了。

下图是跨域错误的说明

跨域-错误原因及解决思路

目标

掌握同源的概念，跨域错误的原因及对应的解决思路

什么原因导致了浏览器报跨域错误

发起ajax请求的那个页面的地址 和 ajax接口地址 不在同一个域中

跨域错误:不同源的ajax请求====> 报跨域的错误

浏览器向web服务器发起http请求时 ，如果同时满足以下三个条件时，就会出现跨域问题，从而导致ajax请求失败：

（1）请求响应双方url不同源。

双方url：发出请求所在的页面 与 所请求的资源的url

同源是指：协议相同，域名相同，端口相同 都相同。

以下就是不同源的：

从http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg

网络中不同源的请求有很多。

（2）请求类型是xhr请求。就是常说的ajax请求。不是请求图片资源，js文件,css文件等

（3）浏览器觉得不安全。跨域问题出现的基本原因是浏览器的同源策略。同源策略是一个重要的安全策略，它限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。

注意，错误是发生在浏览器端的。请求是可以正常从浏览器发到服务器端，服务器也可以处理请求，只是返回到浏览器端时出错了。

解决思路

请求响应双方url不同源

• 服务器代理

请求是ajax

• 改发JSONP

浏览器觉得不安全 （后端还是能收到请求的）

• 可以安装一个浏览器插件allow-control-allow-origin 绕过同源策略。
• 用postman软件测试
• CORS

小结

错误原因：不同源的ajax请求

后端还是能收到请求的，错误是发生在浏览器端

JSONP-基本实现

目标

掌握JSONP的原理， 了解实现步骤

JSONP简介

JSON with Padding，是一种借助于 script 标签发送跨域请求的技巧。它本质并不是ajax请求，所以没有跨域问题。

原理

• script的src属性可以请求外部的js文件，这个请求不是ajax，它没有跨域问题。
• 借助 script 标签的src请求服务端上的接口。<script src="http://localhost:3000/get"
• 服务端的接口返回JavaScript 脚本，并附上要返回的数据。例如：res.end("fn(数据)")

实现步骤

• 补充script标签并设置它的src值为接口地址
• 改造接口返回函数调用表达式，并传入数据
• 在前端准备相应的函数

让script标签的src指向接口地址

前端页面

<html>
    <script src="http://localhost:3000/get"></script>
</html>

注意：

• script标签中的src会指向一个后端接口的地址。由于script标签并不会导致跨域问题，所以这里的请求是可以正常发送和接收的。
• 与我们之前理解的src指向某个具体的.js文件不同，我们只需要确保src所指向的地址的返回内容是js代码就行了，而不必要src直接指向某个.js文件。
• 接口地址中返回的内容将会作为script标签的主体。

改造接口，返回函数调用表达式，并传入数据

后端代码

const express = require('express');

const app = express();

app.get('/get', (req, res) => {
  const data =  JSON.stringify({a:1,b:2})
  const fnStr = `fn(${data})`
  res.end(fnStr); // 返回字符串，内容是：函数调用语句
})

app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

注意：

• 后端接口的返回值是一个特殊的字符串： 一个刻意拼写的js函数调用语句。

在前端准备相应的函数

在页面上补充fn函数

<script>
    function fn(rs) {
        console.log(rs);
    }
</script>
<html>
    <script src="http://localhost:3000/get"></script>
</html>

图示

JSONP实操

目标

掌握JSONP在实际开发中的使用

前端使用jQuery ，后端使用nodejs + express。

注意前后端都需要改动代码。

jQuery封装的jsonp

jquery中的ajax已经封装好了的jsonp方式，可以直接使用。

具体来说就是给ajax请求添加一个dataType属性，其值为"jsonp"。

示例如下：

前端页面：加上dataType属性

$.ajax({
   type: 'GET',
   url: 'http://localhost:4000/get', 
   success: function (result) {
      console.log(result);
   },
   dataType: 'jsonp' // 必须要指定dataType为jsonp
});

后端接口

express框架已经提供了一个名为jsonp的方法来处理jsonp请求:

const express = require('express');
const app = express();
app.get('/get', (req, res) => {
  let data = {a:1,b:2}
  // res.json(data)
  res.jsonp(data)
})
app.listen(3000, () => {
  console.log('你可以通过http://localhost:3000来访问...');
});

原来是res.json,要改成res.jsonp

CORS

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10(ie8通过XDomainRequest能支持CORS)。

参考

再次回顾跨域错误的说明

手写实现

通过在被请求的路由中设置header头，可以实现跨域。

app.get('/get', (req, res) => {
  // * 表示允许任何域名来访问
  res.setHeader('Access-Control-Allow-Origin', '*')
  // 允许指定源访问
  // res.setHeader('Access-Control-Allow-Origin', 'http://www.xxx.com')
  res.send(Date.now().toString())
})

• 这种方案无需客户端作出任何变化（客户端不用改代码），就当跨域问题不存在一样。
• 服务端响应的时候添加一个 Access-Control-Allow-Origin 的响应头

使用cors

要点

1. 它是一个npm包，要单独下载使用 npm 包 cors
   npm i cors
2. 当做express中的中间件，注意代码应该放在顶部

var cors = require('cors')
app.use(cors())

可以去掉单个接口内部的res.setHeader

jsonp vs cors 对比

jsonp：

• 不是ajax
• 只能支持get方式
• 兼容性好

cors:

• 前端不需要做额外的修改，就当跨域问题不存在。
• 是ajax
• 支持各种方式的请求(post,get....)
• 浏览器的支持不好（标准浏览器都支持）

拓展:

options请求

如果跨域ajax不是简单请求，就会先发出options预检请求，然后再发真实的请求

参考

jquery封装的jsonp原理分析

原理分析

第一步：产生一个随机函数名；并创建这个函数(jQuery34109553463653123275_1565234364495)；

第二步：动态创建script标签，其src就是拼接的后端接口地址及callback值，如果有其它参数，则正常传递

第三步：请求成功返回之后，执行第一步中创建的函数(jQuery34109553463653123275_1565234364495)。这个函数最终会指向$.ajax({success:function(){}}) 中的success

第四步：销毁 第一步中创建的函数及第二步中创建的script标签

调试技巧

上面描述的过程是动态完成，想要看清楚效果，要添加断点调试 。在jquery源码中，寻找return jqXHR，加断点。

附送一段模拟代码(面试，手写jsonp)

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>html页面</title>
  </head>
  <body>
    <div class="container">
      <h1>jsonp</h1>
      <div>需要后端接口的配合：http://localhost:3005/jsonp</div>
      
<pre>
        //--后端测试代码如下
          const express = require('express');
          const app = express()
          
          app.get('/jsonp', (req, res) => {
            var { callback } = req.query;
          
            res.setHeader('content-type', 'application/javascript');
          
            res.end(callback + '({a:1,b:2})');
          });
          
          app.listen(3000,()=>{})
      </pre>
    </div>
    <script>
      function buildCallBackFunction(options, callbackFunName) {
        window[callbackFunName] = function(result) {
          options.success(result);
          window[callbackFunName] = null;
          delete window[callbackFunName];
        };
      }
      function buildParam(options) {
        var params = options.params;
        if (!params) {
          return '';
        }
        if (typeof params === 'object') {
          var arr = [];
          for (var p in params) {
            arr.push(`p=${params[p]}`);
          }
          return arr.join('&');
        } else if (typeof params === 'string') {
          return params;
        } else {
          return '';
        }
      }
        
      function buildScript(url) {
        var script = document.createElement('script');
        script.setAttribute('src', url);
        script.onload = function() {
          document.getElementsByTagName('head')[0].removeChild(script);
        };
        document.getElementsByTagName('head')[0].appendChild(script);
      }
        
      function json(options) {
        var { url, params, success } = options;
        var callbackFunName = 'callback_' + Date.now();
        var params = buildParam(options);
        params += !params ? 'callback=' + callbackFunName : '&callback=' + callbackFunName;
        url += '?' + params;
        buildCallBackFunction(options, callbackFunName);
        buildScript(url);
      }

      json({
        url: 'http://localhost:3000/jsonp',
        // params: 'a=1&b=2',
        params: { a: 1, b: 2 },
        success: function(result) {
          console.log(result);
        }
      });
    </script>
  </body>
</html>