Express演示跨域解决

最新推荐文章于 2025-05-14 17:02:14 发布
最新推荐文章于 2025-05-14 17:02:14 发布
阅读量1.6k 收藏 11
点赞数 30
文章标签: express
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43750656/article/details/144399526
版权

一、 同源、非同源/跨域

仅协议、ip、端口完全相同的地址才算同源请求,三者任意一个不一样为非同源请求/跨域请求。

二、跨域行为的限制

  1. 无法读取到非同源的iframe内容
    在这里插入图片描述

  2. 无法读取到非同源cookie

  3. 无法获取非同源ajax请求数据

在这里插入图片描述

三、Ajax跨域解决

浏览器抛出了跨域请求错误,并不是代表跨域请求没有发出去,而是发出去了并且响应成功,但是浏览器会在把数据交给js脚本之前会做校验比对。如果校验通过,则继续把响应数据交给Js脚本,否则会抛出跨域异常。

  • 浏览器的校验策略是什么?

如果是跨域请求,在响应返回时需要在响应头中设置如下响应头字段,值是什么?值就是请求头中的Origin,Origin请求头表示发起请求的源。

Access-Control-Allow-Origin :xxx

在这里插入图片描述
这里请求头字段中的Origin 仅会包含协议、域名、端口,主要作用就是用于帮助服务器识别来源域。
如果服务器允许这个源访问,则需要在响应头中设置 Access-Control-Allow-Origin :http://127.0.0.1:5500,注意,这里的格式必须完全保持和请求头中的Origin一致。

  • 代码示例

前端示例代码:

    function getAjaxData(){
        $.ajax({
           url:"http://127.0.0.1:3000/list",
           type:"get",
           success(res){
            console.log("ajaxData",res);
           } 
        })
    }

Express服务修改:

app.get('/list',(res,req) => {
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.send(listData)
})

当响应头添加允许跨域标识字段之后,此时校验规则通过,Js脚本可以获取数据。
在这里插入图片描述

  • 预检请求发送

当发送ajax请求时自定义了header,会发现此时又跨域报错了
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

而且发现浏览器多发了一次请求,这就是预检请求。

预检请求什么时候发出?

  1. 当跨域请求的请求方法非 GET PUT DELETE时。
  2. 当自定义了Http Header时。
  3. 当请求内容类型非 application/x-www-form-urlencoded、multipart/form-data、text/plain时。

验证预检请求:

 function getAjaxData(){
        $.ajax({
           url:"http://127.0.0.1:3000/list",
           type:"post",
           headers:{
                SaToken:"token"
           },
           contentType: 'application/json', // 告诉服务器发送的数据类型
           dataType: 'json',
           data:JSON.stringify({id:1}),
           success(res){
            console.log("ajaxData",res);
           } 
        })
    }

这里我自定义了header且修改了请求content-type字段,当修改了这个字段时,浏览器发现不是默认允许的三种内容类型,就在预检请求中添加了content-type头。

在这里插入图片描述

此时服务器需要继续设置新的响应头来告诉浏览器允许跨域。

Express代码修改:

app.options('/list',(res,req) =>{
    req.header('Access-Control-Allow-Headers','content-type,satoken')
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.send("OK");
})

app.post('/list',(res,req) => {
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.send(listData)
})

在这里插入图片描述

此时可以看到预检请求的响应头中包含了请求头所需要的校验header。

继续验证PUT请求方法

    function getAjaxData(){
        $.ajax({
           url:"http://127.0.0.1:3000/list",
           type:"put",
           dataType: 'json',
           data:JSON.stringify({id:1}),
           success(res){
            console.log("ajaxData",res);
           } 
        })
    }

在这里插入图片描述
注意,此时浏览器报错提示的是Access-Control-Allow-Methods头缺失。

Express服务代码修改:

app.options('/list',(res,req) =>{
    req.header('Access-Control-Allow-Headers','content-type,satoken')
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.header('Access-Control-Allow-Methods','*')
    req.send("OK");
})

设置了Access-Control-Allow-Methods响应头之后可以保证预检请求通过。
这里需要注意的是,在预检请求的响应头设置了相关跨域头之后,在实际请求的响应头上也需要设置相关允许跨域字段。

  • 跨域请求响应头暴露

后端在自定义设置响应头时,如果是跨域请求,且没有设置相关暴露响应头字段,则前端无法获取响应头数据

app.put('/list',(res,req) => {
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.header('myHeader',"hello world")
    req.send(listData)
})


    function getAjaxData(){
        $.ajax({
           url:"http://127.0.0.1:3000/list",
           type:"put",
           dataType: 'json',
           data:JSON.stringify({id:1}),
           success(res, textStatus, jqXHR){
            console.log("ajaxData",res);
            console.log('Response Headers:', jqXHR.getAllResponseHeaders());
           } 
        })
    }

在这里插入图片描述

设置Express请求允许暴露跨域请求获取响应头

app.put('/list',(res,req) => {
    req.header('Access-Control-Allow-Origin','http://127.0.0.1:5500')
    req.header('Access-Control-Expose-Headers', '*');
    req.header('myHeader',"hello world")
    req.send(listData)
})

在这里插入图片描述
此时控制台可以打印出所有的跨域请求设置的响应头。

四、跨域请求其他解决方案

跨域方案说明
JsonP只能支持Get请求,依赖Script标签,局限性大
devServer脚手架开发环境配置devServerProxy代理,优雅解决

五、跨域请求Cookie携带问题

  1. 跨域未跨站请求,服务器设置cookie的domain为.xxx.com顶级域名,且Cookie属性为Secure。
    当发送未跨站请求时,会自动携带cookie。

  2. 跨域且跨站,响应端设置Cookie时,需要为Secure属性,SameSite=None,且前端需要设置withCredentials ,后端响应头设置允许跨域请求携带Cookie。

DanceDonkey
关注
什么是CORS,如何解决CORS的问题?
XiaoqiangClub的博客
09-11 283
什么是CORS,如何解决CORS的问题?
AJAX请求及解决问题
segegefe的博客
08-01 606
AJAX其实就是异步的js和xml通过ajax可以在浏览器中发送异步请求。最大优势无刷新获取数据优点1.可以无需刷新页面与服务器进行通信2.允许根据用户事件更新部分页面内容当然也存在其缺点问题比如问题等!...
Express项目解决问题
最新发布
HWL5679的博客
05-14 404
如果前端仍遇到问题,请检查浏览器控制台错误信息,确认响应头是否正确携带Access-Control-Allow-Origin。
Express 解决请求
LeslieLiangZ的博客
07-03 1153
在app.js中配置请求 //设置允许访问该服务. app.use((req, res, next) => { res.set({ 'Access-Control-Allow-Credentials': true, 'Access-Control-Max-Age': 1728000, 'Access-Control-Allow-Origin': req.headers.origin || '*', 'Access-Cont
Express学习笔记(四)——同源和详解
weixin_56370772的博客
04-03 1336
同源如果两个页面的协议名和端口都相同,则两个页面具有相同的源。同源策略同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
【Node.js】Express---基于 CORS 解决接口问题详解
lph159的博客
09-20 3502
问题是指浏览器的同源策略限制了网页从不同的名、协议或端口加载资源。具体来说,当前端试图访问不同于当前页面所在的时(如访问),浏览器默认会阻止这种请求,这就是常见的问题。:指定允许访问资源的源(、协议、端口)。:定义允许的 HTTP 方法(如GETPOST:列出允许的自定义请求头。:是否允许携带身份凭证(如 Cookies)。:指定预检请求的缓存时间。了解这些头信息的作用后,我们可以更好地配置策略。在某些情况下,客户端可能会使用自定义的 HTTP 方法或请求头,例如PUT。
Express解决问题
m0_59511468的博客
06-15 7969
:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。例如:a页面想获取b页面资源,如果a、b页面的协议、名、端口、子名不同,所进行的访问行动都是的,而浏览器为了安全问题一般都限制了访问,也就是不允许请求资源。注意:限制访问,其实是浏览器的限制。理解这一点很重要!!!同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生报错要解决问题就要在Express添加: 添加之后再次执行就好了...
express解决
qq_52440306的博客
06-17 240
app.all('*', function (req, res, next) { res.header('Access-Control-Allow-Origin', '*'); //Access-Control-Allow-Headers ,可根据浏览器的F12查看,把对应的粘贴在这里就行 res.header('Access-Control-Allow-Headers', 'Content-Type'); res.header('Access-Control-Allow-M
express框架:同源策略、解决问题
lalala_dxf的博客
07-21 3141
同源策略(Same-OriginPolicy)最早由NEtscape公司提出,是浏览器的一种安全策略。同源指的是,**违背同源策略就是**。
nodeJS(express4.x)+vue(vue-cli)构建前后端分离实例(带)
10-19
在本文中,我们将探讨如何使用Node.js(Express 4.x)和Vue(通过vue-cli)构建一个前后端分离的应用,并解决问题。首先,确保你已经安装了Node.js环境,这是运行Express和Vue的基础。 **一、Express 4.x 后端...
ajax问题的一些解决方案
szwh1998的博客
10-26 742
同源策略(SOP) 在考虑问题之前,我们得先了解什么是同源策略(Same Origin Policy)。SOP由NetScape公司提出的一种安全策略。简单来讲就是网络资源之间通信需要名,协议,端口相同,例如http://www.baidu.com中,http是协议,baidu是名,com是端口。在ajax请求中,如果资源不同,则会出现问题的报错,因此需要一些解决方案。 CORS资源共享 后台解决问题的一劳永逸的方案:在响应头中设置 response.setHeader('
Express 和 Vue3 搭建的 ChatGPT 演示网页
04-03
以下是对您提供的使用 Express 和 Vue3 搭建的 ChatGPT 演示网页代码的 500 字说明: 该项目采用了前后端分离的架构,后端使用 Node.js 和 Express 框架搭建了一个简单的服务器,用于处理客户端发送的请求并与 OpenAI ...
node的Express解决方案代码
08-12
Nodejs Express Ajax请求实例代码,Nodejs Express Ajax请求实例代码
express解决问题
weixin_44251396的博客
09-19 2589
express解决问题 对于express解决,我这里有两种方式,个人推荐第一种 1.安装cors npm install cors --save-dev const cors = require('cors'); app.use(cors()); 2.手动实现 app.use((req, res, next) => { res.header('Access-Control-...
Express框架解决问题
辽辽无期的博客
02-23 743
【代码】Express框架解决问题。
Express 解决 (100% 解决
我是程序员海军, 全栈开发 | AI爱好者 | 独立开发。
03-04 2473
在日常开发中,解决是个烦人的问题,可以前端解决,也可以后端解决。 以下是在Node 中 express解决的办法,网上找了好多都不能解决。 app.all('*', function (req, res, next) { res.header('Access-Control-Allow-Origin', '*'); res.header('Access-...
问题+解决express
qq_25953937的博客
04-25 899
问题+解决express
Node.js+Express框架中的解决方案
高性价比服务器就选:蓝易云
05-08 795
同源策略是浏览器安全的基石,但在实际开发过程中,我们需要让许多前端页面能够访问后端API,因此应该学会如何在Node.js和Express框架下处理问题。这样,您只需按照实际项目需求对CORS进行配置,即可快速搭建出高度自定义且有趣的解决方案,让前后端安全、有效地进行数据通信。为了启用CORS支持,您需要在Node.js和Express框架下安装并使用一个叫做CORS的NPM包。你可以选择为整个应用启用CORS或者只为特定的路由启用CORS。实际情况中,你可能需要根据需求定制CORS的行为。
Express的CORS资源共享
qq_44741577的博客
03-05 1868
CORS (Cross-Origin Resource Sharing资源共享)由一系列HTTP响应头组成,这些HTTP响应头决定浏览器是否阻止前端 JS 代码获取资源浏览器的同源安全策略默认会阻止网页“”获取资源。但如果接口服务器配置了CORS相关的HTTP响应头就可以解除浏览器端的访问限制。
写几种解决问题的代码
07-24
以下是几种常见的解决问题的代码示例: 1. CORS(服务端配置) 在服务端的响应中添加 CORS 相关的响应头,允许来自指定源的请求。 ```java // Java - Spring Boot 示例 @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") // 允许的源地址 .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的请求方法 .allowedHeaders("*") // 允许的请求头 .allowCredentials(true); // 是否允许发送 cookie } }; } } ``` 2. JSONP(前端代码) 通过动态创建 `<script>` 标签来获取数据。 ```javascript function handleResponse(data) { // 处理响应数据 } var script = document.createElement('script'); script.src = 'http://example.com/api?callback=handleResponse'; document.body.appendChild(script); ``` 3. 代理服务器(服务端代码) 通过服务器端代理转发请求,解决问题。 ```javascript // Node.js - Express 示例 const express = require('express'); const request = require('request'); const app = express(); const API_URL = 'http://example.com/api'; app.get('/api', (req, res) => { const url = API_URL + req.url; req.pipe(request(url)).pipe(res); }); app.listen(3000, () => { console.log('Proxy server is running on port 3000'); }); ``` 4. WebSocket(前端代码) 使用 WebSocket 进行通信。 ```javascript // 前端代码 const socket = new WebSocket('ws://example.com/socket'); socket.onopen = function() { // 连接成功,可以进行通信 socket.send('Hello Server!'); }; socket.onmessage = function(event) { // 处理接收到的消息 console.log('Received message:', event.data); }; ``` 这些示例代码只是简单的演示,实际解决问题时,需要根据具体的应用场景和技术栈选择合适的解决方案。同时,还需注意安全性和适用性等方面的考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值