顿搜
飞过闲红千叶,夕岸在哪
类目归类
接口编程——前后台数据传输跨域问题的解决方法
03/28
目前比较流行前后台数据分离,前台通过http请求,后台提供相应接口,从而进行数据的传输,但是,前后台接口调用存在跨域问题。
本站内与该类问题相关的文章:
1、对服务器端进行设置以接受跨域请求(TOMCAT,NGINX)
2、HTTP协议中GET,POST,PUT,DELETE,OPTIONS请求的详细流程
一、什么是跨域
由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。
跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师 的基本功之一。
二、解决办法
1、JSONP
这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行。
<script>
var _script = document.createElement('script');
_script.type = "text/javascript";
_script.src = "http://localhost:8888/jsonp?callback=f";
document.head.appendChild(_script);
</script>实际项目中JSONP通常用来获取json格式数据,这时前后端通常约定一个参数callback,该参数的值,就是处理返回数据的函数名称。但这种方式无法发送post请求,另外要确定jsonp的请求是否失败并不容易,大多数框架的实现都是结合超时时间来判定。
2、Proxy代理
这种方式首先将请求发送给后台服务器,通过服务器来发送请求,然后将请求的结果传递给前端。
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
<title>proxy_test</title>
<script>
var f = function(data){
alert(data.name);
}
var xhr = new XMLHttpRequest();
xhr.onload = function(){
alert(xhr.responseText);
};
xhr.open('POST', 'http://localhost:8888/proxy?http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
xhr.send("f=json");
</script>
</head>
<body>
</body>
</html>var proxyUrl = "";
if (req.url.indexOf('?') > -1) {
proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
console.log(proxyUrl);
}
if (req.method === 'GET') {
request.get(proxyUrl).pipe(res);
} else if (req.method === 'POST') {
//定义了一个post变量,用于暂存请求体的信息
var post = '';
//通过req的data事件监听函数,每当接受到请求体的数据,就累加到post变量中
req.on('data', function(chunk){
post += chunk;
});
//在end事件触发后,通过querystring.parse将post解析为真正的POST请求格式,然后向客户端返回。
req.on('end', function(){
post = qs.parse(post);
request({
method: 'POST',
url: proxyUrl,
form: post
}).pipe(res);
});
}如果你代理的是https协议的请求,那么你的proxy首先需要信任该证书(尤其是自定义证书)或者忽略证书检查,否则你的请求无法成功。
对于同一请求浏览器通常会从缓存中读取数据,我们有时候不想从缓存中读取,所以会加一个preventCache参数,这个时候请求url变 成:url?preventCache=12345567....;这本身没有什么问题,问题出在当使用某些前端框架(比如jquery)发送proxy 代理请求时,请求url为proxy?url,同时设置preventCache:true,框架不能正确处理这个参数,结果发出去的请求变成 proxy?url&preventCache=123456(正常应为proxy?url?preventCache=12356);后端截取后发送的请求为url&preventCache=123456,根本没有这个地址,所以你得不到正确结果。
3、CORS
这是现代浏览器支持跨域资源请求的一种方式。
当你使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如 果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含,浏览器直接驳回,这时我们无法拿到响应数据。
需要注意的一点是Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部,即GET或POST之外的方法,以及不同类型的主题内容。总结如下:
- 非GET 、POST请求
- POST请求的content-type不是常规的三个:
三种常规的content-type:
application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)
multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)
text/plain(纯文本)
- POST请求的payload为text/html
- 设置自定义头部
关于HTTP请求方式以及详细流程请参见HTTP协议中GET,POST,PUT,DELETE,OPTIONS请求的详细流程
OPTIONS 请求头部中会包含以下头部:
- Origin、Access-Control-Request-Method
- Access-Control- Request-Headers
发送这个请求后,服务器可以设置如下头部
- Access-Control-Allow-Origin
- Access- Control-Allow-Method
- Access-Control-Allow-Headers
与浏览器沟通来判断是否允许这个请求。所以,如果要实现跨域请求,则响应头部中应该增加以下内容:
"Access-Control-Allow-Origin":"*",
"Access-Control-Allow-Methods": "GET, POST, OPTIONS",
"Access-Control-Allow-Headers": "X-Requested-With, Content-Type"其中*表示允许所有的来源,如果配置为某一个域名,则只允许该域名得到响应数据。下面是后台程序举例。
if (req.headers.origin) {
res.writeHead(200, {
"Content-Type": "text/html; charset=UTF-8",
"Access-Control-Allow-Origin":"*",
"Access-Control-Allow-Methods": "GET, POST, OPTIONS",
"Access-Control-Allow-Headers": "X-Requested-With, Content-Type"
});
res.write("cors");
res.end();
}如果我们把Access-Control-Allow-Origin去掉,浏览器会驳回响应,我们也就拿不到数据。
如果把Content-Type去掉,则OPTIONS请求失败。
当然,这样每次在响应请求的时候都要手动添加响应头,比较麻烦,可以参考下文对服务器进行统一设置
对服务器端进行设置以接受跨域请求(TOMCAT,NGINX)
4、XDR
这是IE8、IE9提供的一种跨域解决方案,功能较弱只支持get跟post请求,而且对于协议不同的跨域是无能为力的,比如在http协议下发送https请求。
以上就是我在实际项目中遇到的跨域请求资源的情况,有一种跨域需要特别注意就是在https协议下发送https请求,除了使用proxy代理外其他方法都无解,会被浏览器直接block掉。
三、参考文献
相关链接:
2、Cross-Origin Resource Sharing · Method of performing XMLHttpRequests across domains
3、W3C · Cross-Origin Resource Sharing · W3C Recommendation 16 January 2014
