前言
在我们使用express去写接口的时候,存在一个很严重的问题:不支持跨域请求。
目前解决接口跨域问题的方案主要分两种:
1、CORS(主流的解决方案,推荐使用)
2、JSONP(程序员使用漏洞解决,缺陷是只支持 GET 请求)
一、CORS 跨域资源共享
1、引入相关的中间件
我们需要下载相关的包
npm install cors
2、使用中间件
在我们接口的入口文件引入中间件
const cors = require('cors')
3、配置中间件
app.use(cors())
4、了解cors
CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,通过配置请求头来解决
决定是否跨域的问题,浏览器的同源安全策略默认会阻止网页“跨域”获取资源,如果接口服务器配置了 CORS 相
关的 HTTP 响应头,就可以解除浏览器端的跨域访问限制。
CORS 响应头部可以携带一个 Access-Control-Allow-Origin 字段
Access-Control-Allow-Origin:<origin> | *
origin 参数的值指定了允许访问该资源的外域 URL,例如:
res.setHeader:('Access-Control-Allow-Origin','http://www.baidu.com' )
这样只允许来自 http://www.baidu.com 的请求了。
如果指定了 Access-Control-Allow-Origin 字段的值为通配符 *,表示允许来自任何域的请求
res.setHeader:('Access-Control-Allow-Origin','*' )
默认情况下,CORS 仅支持客户端向服务器发送如下的 9 个请求头:
Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、
Content-Type
如果客户端向服务器发送了额外的请求头信息,则需要在服务器端,通过 Access-Control-Allow-Headers 对额外
的请求头进行声明,否则这次请求会失败!
CORS 仅支持客户端发起 GET、POST、HEAD 请求。
如果客户端希望通过 PUT、DELETE 等方式请求服务器的资源,则需要在服务器端,通过 Access-Control-Alow-
Methods来指明实际请求所允许使用的 HTTP 方法,即:
允许GET,POST:res.setHeader:('Access-Control-Alow-Methods','GET,POST' )
允许全部:res.setHeader:('Access-Control-Alow-Methods','*' )
CORS请求的分类:
客户端在请求 CORS 接口时,根据请求方式和请求头的不同,可以将 CORS 的请求分为两大类,分别是:
1、 简单请求
2、 预检请求
区别:
简单请求的特点:客户端与服务器之间只会发生一次请求。
预检请求的特点:客户端与服务器之间会发生两次请求,OPTION 预检请求成功之后,才会发起真正的请求
二、使用JSONP解决
1、了解
1、浏览器端通过 <script> 标签的 src 属性,请求服务器上的数据,同时,服务器返回一个函数的调用。这种请求
据的方式叫做 JSONP,也就是利用了程序的漏洞来解决跨域
2、JSONP 不属于真正的 Ajax 请求,因为它没有使用 XMLHttpRequest 这个对象。
JSONP 仅支持 GET 请求,不支持 POST、PUT、DELETE 等请求。
3、如果项目中已经配置了 CORS 跨域资源共享,为了防止冲突,必须在配置 CORS 中间件之前声明 JSONP 的
接口。否则JSONP 接口会被处理成开启了 CORS 的接口
2、使用
使用步骤:
1、获取客户端发送过来的回调函数的名字
2、得到要通过 JSONP 形式发送给客户端的数据
3、根据前两步得到的数据,拼接出一个函数调用的字符串
4、把上一步拼接得到的字符串,响应给客户端的
