探讨跨域请求资源的几种方式

原文


  1. 什么是跨域
  2. JSONP
  3. proxy代理
  4. cors
  5. xdr

  由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表(来源)

  

  JSONP

  这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。

1 <script>
2       var _script = document.createElement('script');
3       _script.type = "text/javascript";
4       _script.src = "http://localhost:8888/jsonp?callback=f";
5       document.head.appendChild(_script);
6     </script>

  实际项目中JSONP通常用来获取json格式数据,这时前后端通常约定一个参数callback,该参数的值,就是处理返回数据的函数名称。

 1 <!doctype html>
 2 <html>
 3   <head>
 4     <Meta charset="utf-8">
 5     <Meta name="viewport" content="initial-scale=1,maximum-scale=1,user-scalable=no">
 6     <title>jsonp_test</title>
 7 
 8     <script>
 9       var f = function(data){
10         alert(data.name);
11       }
12       /*var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST','http://localhost:8888/cors',true);
17       xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
18       xhr.send("f=json");*/
19     </script>
20     
21     <script>
22       23       _script.type = "text/javascript";
24       _script.src = "http://localhost:8888/jsonp?callback=f";
25       document.head.appendChild(_script);
26     </script>
27   </head>
 1 var query = _url.query;
 2         console.log(query);
 3         var params = qs.parse(query);
 4         console.log(params);
 5         var f = "";
 6     
 7         f = params.callback;
 8     
 9         res.writeHead(200,{"Content-Type": "text/javascript"});
10         res.write(f + "({name:'hello world'})");
11         res.end();

  

  缺点:

  1、这种方式无法发送post请求(这里)

  2、另外要确定jsonp的请求是否失败并不容易,大多数框架的实现都是结合超时时间来判定。

  Proxy代理

  这种方式首先将请求发送给后台服务器,通过服务器来发送请求,然后将请求的结果传递给前端。

 6     <title>proxy_test</title>
var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST','http://localhost:8888/proxy?http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer',true);
17       xhr.send("f=json");
18     </script>
19   </head>
20   
21   <body>
22   </body>
23 </html>
var proxyUrl = "";
 2       if (req.url.indexOf('?') > -1) {
 3           proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
 4           console.log(proxyUrl);
 5       }
 6       if (req.method === 'GET') {
 7           request.get(proxyUrl).pipe(res);
 8       } else if (req.method === 'POST') {
 9           var post = '';     //定义了一个post变量,用于暂存请求体的信息
10 
11         req.on('data',255)">function(chunk){    通过req的data事件监听函数,每当接受到请求体的数据,就累加到post变量中
12             post += chunk;
13         });
14     
15         req.on('end',255)">function(){    在end事件触发后,通过querystring.parse将post解析为真正的POST请求格式,然后向客户端返回。
16             post = qs.parse(post);
17             request({
18                       method: 'POST',19                       url: proxyUrl,128)">20                       form: post
21                   }).pipe(res);
22         });
23       }

 

  需要注意的是如果你代理的是https协议的请求,那么你的proxy首先需要信任该证书(尤其是自定义证书)或者忽略证书检查,否则你的请求无法成功。12306就提供了一个鲜活的例子。

  

  

  还需要注意一点,对于同一请求浏览器通常会从缓存中读取数据,我们有时候不想从缓存中读取,所以会加一个preventCache参数,这个时候请求url变成:url?preventCache=12345567....;这本身没有什么问题,问题出在当使用某些前端框架(比如jquery)发送proxy代理请求时,请求url为proxy?url,同时设置preventCache:true,框架不能正确处理这个参数,结果发出去的请求变成proxy?url&preventCache=123456(正长应为proxy?url?preventCache=12356);后端截取后发送的请求为url&preventCache=123456,根本没有这个地址,所以你得不到正确结果。

  CORS

  这是现代浏览器支持跨域资源请求的一种方式。

  

  当你使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。

var f = function(data){
10         alert(data.name);
11       }17       xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
18       xhr.send("f=json");
22       var _script = document.createElement('script');
23       _script.type = "text/javascript";
24       _script.src = "http://localhost:8888/jsonp?callback=f";
25       document.head.appendChild(_script);27   </head>
28   
29   <body>
30   </body>
31 </html>

  

if (req.headers.origin) {
 2 
 3             res.writeHead(200,{
 4                 "Content-Type": "text/html; charset=UTF-8",128)"> 5                 "Access-Control-Allow-Origin":'http://localhost',128)"> 6                 'Access-Control-Allow-Methods': 'GET,POST,OPTIONS',128)"> 7                 'Access-Control-Allow-Headers': 'X-Requested-With,Content-Type' 8             });
 9             res.write('cors');
10             res.end();
11         }

  

  如果我们把Access-Control-Allow-Origin去掉,浏览器会驳回响应,我们也就拿不到数据。

  

  需要注意的一点是Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主题内容。总结如如:

  1、非GET 、POST请求

  2、POST请求的content-type不是常规的三个:application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)、multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)、text/plain(纯文本)

  3、POST请求的payload为text/html

  4、设置自定义头部

  OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers,发送这个请求后,服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。

  Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

1 2       xhr.onload = 3         alert(xhr.responseText);
4       };
5       xhr.open('POST',128)">6       xhr.setRequestHeader("Content-Type","text/html");
7       xhr.send("f=json");
 5                 "Access-Control-Allow-Origin":'http://localhost',128)"> 6                 'Access-Control-Allow-Methods': 'GET,OPTIONS',128)"> 7                 'Access-Control-Allow-Headers': 'X-Requested-With,Content-Type'/**/
11         }

  

  如果你在调试状态,你会发现后台代码执行了两遍,说明发送了两次请求。注意一下我们的onload代码只执行了一次,所以说OPTIONS请求对程序来说是透明的,他的请求结果会被缓存起来。

  如果我们修改一下后台代码,把Content-Type去掉,你会发现OPTIONS请求失败。

  

  通过setRequestHeader('X-Request-With',null)可以避免浏览器发送OPTIONS请求。

  根据我的测试,当使用cors发送跨域请求时失败时,后台是接收到了这次请求,后台可能也执行了数据查询操作,只是响应头部不合符要求,浏览器阻断了这次请求。

  XDR

  这是IE8、IE9提供的一种跨域解决方案,功能较弱只支持get跟post请求,而且对于协议不同的跨域是无能为力的,比如在http协议下发送https请求。看一下微软自己的例子就行

<!DOCTYPE html>
 3 <html 4 body 5   h2>XDomainRequest</ 6   input type="text" id="tbURL" value="http://www.contoso.com/xdr.txt" style="width: 300px"><br 7   ="tbTO"="10000" 8   ="button" onclick="mytest()"="Get">&nbsp;&nbsp;&nbsp;
 9     ="stopdata()"="Stop"10     ="readdata()"="Read"11   12   div id="dResponse"></div13   script14     var xdr;
15     function readdata()
16     {
17        dRes = document.getElementById('dResponse);
18       dRes.innerText  xdr.responseText;
19       alert("Content-type: " + xdr.contentType);
20 Length:  xdr.responseText.length);
21     }
22     
23      err()
24 25 XDR onerror26 27 
28      timeo()
29 30 XDR ontimeout31 32 
33      loadd()
34 35 XDR onload36 Got:  xdr.responseText);
37 38 
39      progres()
40 41 XDR onprogress42 43 44 
45      stopdata()
46 47       xdr.abort();
48 49 
50      mytest()
51 52        url tbURL53        timeout tbTO54       if (window.XDomainRequest)
55       {
56         xdr = new XDomainRequest();
57          (xdr)
58         {
59           xdr.onerror  err;
60           xdr.ontimeout  timeo;
61           xdr.onprogress  progres;
62           xdr.onload  loadd;
63           xdr.timeout  tbTO.value;
64           xdr.open(get,tbURL.value);
65           xdr.send();
66         }
67         else
68 69           alert(Failed to create70 71       }
72       73 74         alert(XDR doesn't exist75 76 77   78 79 >

  以上就是我在实际项目中遇到的跨域请求资源的情况,有一种跨域需要特别注意就是在https协议下发送https请求,除了使用proxy代理外其他方法都无解,会被浏览器直接block掉。如果哪位道友知道解决方法,麻烦你告诉我一声。

  最后附上完整的测试demo

  iss中:

doctype html 2  3   head 4     Meta charset="utf-8" 5     name="viewport" content="initial-scale=1,user-scalable=no" 6     title>jsonp_test 8      9       /*10 11       }12        xhr  XMLHttpRequest();
13       xhr.onload (){
14         alert(xhr.responseText);
15       };
      xhr.open(POSTottom:0px; margin-left:0px; padding-top:0px; padding-right:0px; padding-bottom:0px; padding-left:0px; line-height:1.5!important; background-color:rgb(245,http://localhost:8888/corstrue17       xhr.setRequestHeader(Content-Typeapplication/x-www-form-urlencodedaaaab      xhr.send(f=json20     21     
22     23            document.head.appendChild(_script);27     28   29   
30   31   32 >

  node-html

>proxy_test f (data){
        alert(data.name);
http://localhost:8888/proxy?https://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer18     19   21   22   >

  node-server

 1 var http = require('http');
 2 var url = require('url');
 3 var fs = require('fs');
 4 var qs = require('querystring');
 5 var request = require('request');
 6 
 7 http.createServer(function(req,res){
 8     var _url = url.parse(req.url);
 9     if (_url.pathname === '/jsonp') {
10         var query = _url.query;
11         console.log(query);
12         var params = qs.parse(query);
13         console.log(params);
14         var f = "";
15     
16         f = params.callback;
17     
18         res.writeHead(200,{"Content-Type": "text/javascript"});
19         res.write(f + "({name:'hello world'})");
20         res.end();
21     } else if (_url.pathname === '/proxy') {
22       var proxyUrl = "";
23       if (req.url.indexOf('?') > -1) {
24           proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
25           console.log(proxyUrl);
26       }
27       if (req.method === 'GET') {
28           request.get(proxyUrl).pipe(res);
29       } else if (req.method === 'POST') {
30           var post = '';     //定义了一个post变量,用于暂存请求体的信息
31 
32         req.on('data',function(chunk){    //通过req的data事件监听函数,每当接受到请求体的数据,就累加到post变量中
33             post += chunk;
34         });
35     
36         req.on('end',function(){    //在end事件触发后,通过querystring.parse将post解析为真正的POST请求格式,然后向客户端返回。
37             post = qs.parse(post);
38             request({
39                       method: 'POST',128)">40                       url: proxyUrl,128)">41                       form: post
42                   }).pipe(res);
43         });
44       }
45     } else if (_url.pathname === '/index') {
46         fs.readFile('./index.html',function(err,data) {
47           res.writeHead(200,{"Content-Type": "text/html; charset=UTF-8"});
48             res.write(data);
49             res.end();
50         });
51     } else if (_url.pathname === '/cors') {
52         if (req.headers.origin) {
53 
54             res.writeHead(200,128)">55                 "Content-Type": "text/html; charset=UTF-8",128)">56                 "Access-Control-Allow-Origin":'http://localhost',128)">57                 'Access-Control-Allow-Methods': 'GET,128)">58                 'Access-Control-Allow-Headers': 'X-Requested-With,Content-Type,aaaa'/**/
59             });
60             res.write('cors');
61             res.end();
62         }
63     }
64     
65 }).listen(8888);

探讨跨域请求资源的几种方式的更多相关文章

  1. ios – 将视频分享到Facebook

    我正在编写一个简单的测试应用程序,用于将视频从iOS上传到Facebook.由于FacebookSDK的所有文档都在Objective-C中,因此我发现很难在线找到有关如何使用Swift执行此操作的示例/教程.到目前为止我有这个在我的UI上放置一个共享按钮,但它看起来已禁用,从我读到的这是因为没有内容设置,但我看不出这是怎么可能的.我的getVideoURL()函数返回一个NSURL,它肯定包含视

  2. ios – 错误域= NSURLErrorDomain代码= -1003“找不到具有指定主机名的服务器

    当我尝试在设备上运行应用程序时出现此错误.当我在模拟器上运行它并且post请求正常工作时,我没有收到此错误.这是我的代码片段:任何帮助表示赞赏.谢谢解决方法此错误通常会提示DNS相关问题.检查设备上的DNS设置并确认您可以使用Safari或其他浏览器浏览互联网.如果有一个url,你可以在同一台服务器上获取,尝试直接在设备上的Safari中访问它.

  3. ios – Xcode Bot:如何在post触发器脚本上获得.ipa路径?

    我正在使用机器人来存档iOS应用程序,我需要获取.ipa产品路径才能将其发布到我们的分发系统中.机器人设置:并使用脚本打印所有env变量,其中不包含ipa文件的路径.此外,一些变量指向不存在的目录,即:XCS_OUTPUT_DIR这里的env变量输出:除此之外,我还能够确认.ipa文件是在另一个文件夹中创建的(/IntegrationAssets//

  4. ios – 尝试向我们分配IP而不是localhost或home时,NSURLSession失败

    我有一台本地运行的服务器(我的IP是192.168.0.98),并且已经尝试使用一些网络代码来访问它.最初这是通过AFNetworking完成的,但我现在用这样的NSURLSession完成了它:然后我用这3个URL运行它:>http://localhost:8080/api–>作品.>http://127.0.0.1:8080/api–>作品.>http://192.168.0.98:8080/

  5. ios – 使用CocoaPods post install hook将自定义路径添加到HEADER_SEARCH_PATHS

    解决方法在Podfile中定义一个方法:然后在post_install中调用该方法:

  6. 通过AFNetworking 2.0上传iOS图像

    我一直在寻找新的AFNetworking2.0上传图像的例子.但是我正在撞墙,无法弄清楚代码有什么问题.所以这是我使用的代码TIA解决方法我最终使用了多部分请求

  7. ios – 在Objective-C中发送分块的HTTP 1.1请求

    我有以下问题:我正在创建一个非常大的SOAP请求(数据是一个编码为Base64字符串的视频),因此我不能将其作为原始SOAP请求发送,而是需要在HTTP1.1块中发送它.我似乎无法弄明白该怎么做.我在这里使用了代码:WhatarealternativestoNSURLConnectionforchunkedtransferencoding但它似乎没有做我认为应该做的事情–我可以看到请求作为单个请求

  8. iOS7 Safari中的全屏模式

    我正在使用SenchaTouch开发移动网站.在iOS7Safari中,我无法创建顶级地址栏和下面的工具栏消失了.Sencha过去常常处理iOS6,但iOS7最近的一些变化导致了这个问题.http://java.dzone.com/articles/safari-ios-7-and-html5我阅读了上面的链接&对于HTML5游戏而言,这似乎也是一个问题.一些其他应用程序.适用于iOS6的旧win

  9. ios – 如何使用新的Apple Swift语言发布JSON

    本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请发送邮件至dio@foxmail.com举报,一经查实,本站将立刻删除。

  10. ios – POST请求使用application / x-www-form-urlencoded

    后端开发人员在POST请求中给出了这些说明:>路线:{url}/{app_name/{controller}/{action}控制器和动作应该是小帽子.>API测试链接:http:****************>请求应该使用POST方法.>参数应通过请求内容体(FormUrlEncodedContent)传递.>参数应该是json格式.>参数是关键的.在协议中没有经验5,我搜索并结束了我的代码.

随机推荐

  1. xe-ajax-mock 前端虚拟服务

    最新版本见Github,点击查看历史版本基于XEAjax扩展的Mock虚拟服务插件;对于前后端分离的开发模式,ajax+mock使前端不再依赖后端接口开发效率更高。CDN使用script方式安装,XEAjaxMock会定义为全局变量生产环境请使用xe-ajax-mock.min.js,更小的压缩版本,可以带来更快的速度体验。

  2. vue 使用 xe-ajax

    安装完成后自动挂载在vue实例this.$ajaxCDN安装使用script方式安装,VXEAjax会定义为全局变量生产环境请使用vxe-ajax.min.js,更小的压缩版本,可以带来更快的速度体验。cdnjs获取最新版本点击浏览已发布的所有npm包源码unpkg获取最新版本点击浏览已发布的所有npm包源码AMD安装require.js安装示例ES6Module安装通过Vue.use()来全局安装示例./Home.vue

  3. AJAX POST数据中文乱码解决

    前端使用encodeURI进行编码后台java.net.URLDecoder进行解码编解码工具

  4. Koa2框架利用CORS完成跨域ajax请求

    实现跨域ajax请求的方式有很多,其中一个是利用CORS,而这个方法关键是在服务器端进行配置。本文仅对能够完成正常跨域ajax响应的,最基本的配置进行说明。这样OPTIONS请求就能够通过了。至此为止,相当于仅仅完成了预检,还没发送真正的请求呢。

  5. form提交时,ajax上传文件并更新到&lt;input&gt;中的value字段

  6. ajax的cache作用

    filePath="+escape;},error:{alert;}});解决方案:1.加cache:false2.url加随机数正常代码:网上高人解读:cache的作用就是第一次请求完毕之后,如果再次去请求,可以直接从缓存里面读取而不是再到服务器端读取。

  7. 浅谈ajax上传文件属性contentType = false

    默认值为contentType="application/x-www-form-urlencoded".在默认情况下,内容编码类型满足大多数情况。在这里,我们主要谈谈contentType=false.在使用ajax上传文件时:在其中先封装了一个formData对象,然后使用post方法将文件传给服务器。说到这,我们发现在JQueryajax()方法中我们使contentType=false,这不是冲突了吗?这就是因为当我们在form标签中设置了enctype=“multipart/form-data”,

  8. 909422229_ajaxFileUpload上传文件

    ajaxFileUpload.js很多同名的,因为做出来一个很容易。我上github搜AjaxFileUpload出来很多类似js。ajaxFileUpload是一个异步上传文件的jQuery插件传一个不知道什么版本的上来,以后不用到处找了。语法:$.ajaxFileUploadoptions参数说明:1、url上传处理程序地址。2,fileElementId需要上传的文件域的ID,即的ID。3,secureuri是否启用安全提交,默认为false。4,dataType服务器返回的数据类型。6,error

  9. AJAX-Cache:一款好用的Ajax缓存插件

    原文链接AJAX-Cache是什么Ajax是前端开发必不可少的数据获取手段,在频繁的异步请求业务中,我们往往需要利用“缓存”提升界面响应速度,减少网络资源占用。AJAX-Cache是一款jQuery缓存插件,可以为$.ajax()方法扩展缓存功能。

  10. jsf – Ajax update/render在已渲染属性的组件上不起作用

    我试图ajax更新一个有条件渲染的组件。我可以确保#{user}实际上是可用的。这是怎么引起的,我该如何解决呢?必须始终在ajax可以重新呈现之前呈现组件。Ajax正在使用JavaScriptdocument.getElementById()来查找需要更新的组件。但是如果JSF没有将组件放在第一位,那么JavaScript找不到要更新的内容。解决方案是简单地引用总是渲染的父组件。

返回
顶部