这个文件下载问题难住了我至少三位同事

简介: 这个文件下载问题难住了我至少三位同事

大家好,我是坤哥


今天给大家分享两个比较有用的浏览器行为与预期不一致的现象,这两个问题其实并不是什么难题,但在工作中发现不少人被难住了,在我的印象中至少有三位同事在群里问这样的问题,上周又有同事被此现象困住了,所以我觉得这应该是个共性问题,在这里分享给大家,希望对大家有帮助,欢迎大家关注公众号「码海」,共同进步


现象一、点击按钮无法实现文件下载



前端同事反馈在浏览器里点击实现好的「下载商品图片」按钮却无法下载(预期应该下载 zip 文件)


网络异常,图片无法展示
|


但如果你在浏览器的地址栏里输入此下载地址却又能直接从浏览器里下载,这是为何?

我们可以打开调试工具「网络部分」,然后点击一下上面的「下载商品图片」,首先看一下网络请求是否正常。


1、 首先看请求头,可以看出状态码是 200,另外还有 content-disposition 与 Content-Type 这两个 response header


网络异常,图片无法展示
|


画外音:Content-Type: application/octet-stream 告诉客户端这是一个二进制文件,content-disposition 告诉客户端这是一个需要下载的附件并告诉浏览器该附件默认的文件名。


2、再看此请求的 response body,是否和步骤一的 application/octet-stream 相符:


网络异常,图片无法展示
|


可以看到 response 就是一堆乱码,即文件的二进制流表现形式,所以从请求来看其实是没有问题的,文件是正常的返回的,但为啥文件却没有下载下来,下载下来的文件去哪里了呢,注意看上图的另一个红框 **XHR **,它的全称是 XMLHttpRequest,是 ajax 请求的一种表现形式。


ajax 本身无法触发浏览器的下载功能, 它的 response 会交由 JavaScript 处理,使用 ajax 下载完成后,response 以字符串的形式存储在内存中,那使用 ajax 就没法下载了吗?不是的,我们看下浏览器为啥能下载


我们发现使用浏览器的  GET 请求(主要以 frame 加载, a 标签点击触发)或 POST请求(以 form 的形式存在)是可以下载文件的,因为这是浏览器的内置事件,下载的 response 会交由浏览器自己处理,浏览器如果识别到是二进制流数据则下载,如果识别到是可以打开的文件,如 xml, image 等则不会下载,会以预览的样式存在。


那么为啥 ajax 不能默认实现文件下载呢,这是浏览器的安全策略限制的,试想如果 ajax 可以下载文件,那就意味着 ajax 可以直接与磁盘交互,这会存在严重的安全隐患。

根据以上分析,要使用  ajax 下载文件我们也就有思路了,既然使用 a 标签(或  frame)的点击事件可以触发浏览器的内置下载行为,那我们在用 ajax 下载拿到 response 后,可以用 js 新建一个隐藏的 a 标签(标签的 href 指向文件的链接),执行它的 click 事件,这样就触发了浏览器的内置下载事件,就可以下载文件了,不过需要注意的事,创建的 a 标签中要添加一个 download 属性,如 下载


这个 download 属性有啥用呢,对于浏览器能打开得文件,例如 html,xml 等,如果你不加 download,点击 a 标签就不是下载了,而是打开,(注意 download 属性目前只被火狐和谷歌兼容)


使用 ajax 来执行下载文件的代码示例如下:


const filename = response.headers['content-disposition'].match(
      /filename=(.*)/
)[1]
// 首先要创建一个 Blob 对象(表示不可变、原始数据的类文件对象)
const blob = new Blob([response.data], {type: 'application/zip'});
if (typeof window.navigator.msSaveBlob !== 'undefined') {
    // 兼容IE,window.navigator.msSaveBlob:以本地方式保存文件
    window.navigator.msSaveBlob(blob, decodeURI(filename))
} else {
    let elink = document.createElement("a"); // 创建一个<a>标签
    elink.style.display = "none"; // 隐藏标签
    elink.href = window.URL.createObjectURL(blob); // 配置href,指向本地文件的内存地址
    elink.download = filename;
    elink.click();
    URL.revokeObjectURL(elink.href); // 释放URL 对象
    document.body.removeChild(elink); // 移除<a>标签
}
复制代码


现象二、在浏览器输入图片链接想预览,结果却变成了下载图片



这个问题其实经由上文分析,相信你不难猜出是咋回事,我们先抓包看一下:


网络异常,图片无法展示
|


可以看到返回的 Content-Type 为 octet-stream,上文我们提到,它指任意类型的二进制流数据,一般下载文件返回的是这种类型,浏览器由于无法识别打开流数据,所以会下载,那为啥大多数图片在浏览器上是可以预览的呢,因为它返回的 Content-Type 是 image/png 或 image/jpeg 等浏览器可以直接识别打开的文件,这样就不会执行下载事件


总结



以上两个问题需要我们对浏览器的工作机制与 HTTP 协议有一定的了解,所以基础真的很重要啊,不然很可能你排查半天也无从下手,但如果你知道了这些原理,抓个包分析一下它们的 Content-Type,瞬间就豁然开朗了!另外对一些疑难杂症,了解 HTTP 协议与浏览器的工作机制也有助于帮助你快速定位解决问题。


比如上图的解决方案中我们通过 content-disposition 来获取文件的名称


const filename = response.headers['content-disposition'].match(
      /filename=(.*)/
)[1]
复制代码


但在最开始发现这段代码有问题,打印日志发现 response.headers['content-disposition'] 居然为空,可是打开浏览器的 network 会发现, content-disposition 明明存在啊


网络异常,图片无法展示
|


那为啥在 reponse 的 header 里拿不到 content-disposition 呢?


一查发现原来还是 HTTP 协议的问题


默认情况下,header 只有七种 simple response headers (简单响应首部)可以暴露给外部:


Cache-Control
Content-Language
Content-Length
Content-Type
Expires
Last-Modified
Pragma
复制代码


这里的暴露给外部,意思是让客户端(比如 Chrome)可以访问得到,既可以在 Network 里看到,也可以在代码里获取到他们的值。


而 content-disposition  不在其中,所以即使服务器在协议回包里加了该字段,如下


response.setHeader("content-disposition", "attachment; filename=" + filename);
复制代码


但因没“暴露”给外部,客户端就「看得到,吃不到」。


而响应首部 Access-Control-Expose-Headers 就是控制“暴露”的开关,它列出了哪些首部可以作为响应的一部分暴露给外部。


所以如果想要让客户端可以访问到其他的首部信息,服务器不仅要在 header 里加入该首部,还要将它们在 Access-Control-Expose-Headers 里面列出来,如下:


response.setHeader("Access-Control-Expose-Headers", "Content-Disposition");
response.setHeader("content-disposition", "attachment; filename=" + filename);
复制代码


这样的话 JS 的 response header 里就有 content-disposition 的值啦。

参考链接: Access-Control-Expose-Headers: 1il58.cn/AptUz

相关文章
|
存储 机器学习/深度学习 算法
大逆不道,从天界偷下来的算法修仙秘籍竟然传到你手上~~(结尾有彩蛋)
这有可能是你见过最离谱的标题 这有可能是你没见过的技术文章模式 我不知道我的选择是否正确,但是我的想法就是: 不再让技术冷冰冰,让所有人学习中获得快乐!
268 1
|
存储
【锟斤拷�⊠是怎样炼成的】——两分钟帮你彻底弄懂计算机的编码原理
【锟斤拷�⊠是怎样炼成的】——两分钟帮你彻底弄懂计算机的编码原理
204 0
7-24 悄悄关注 (10 分)
7-24 悄悄关注 (10 分)
129 0
|
程序员 Linux Python
遇见一个删除文件的问题,网上的答案却都在扯淡?
不知道大家是否和我的感觉一样,看到拒绝访问首先想到的是,这个文件被占用了,导致无法删除。然后检查代码是否存在未释放的进程。从头到尾review了代码,没有什么问题。 那上百度查查呗,结果千奇百怪的答案出来了,但总结下来都是说安装或者重装Python的时候,存在权限设置问题,需要修改Python.exe对User用户的权限。天真的我居然真的照着去做了,结局依然是没什么卵用。
292 0
|
SQL 缓存 Java
在项目中随手把haseMap改成了currenHaseMap差点被公司给开除了。
在项目中随手把haseMap改成了currenHaseMap差点被公司给开除了。
143 0
|
前端开发 算法 小程序
280字编程挑战:把一条推特长度的代码玩出花
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 推特与计算机能擦出什么样的火花呢?大多数人可能就想到在计算机上发推特呗。但是,有人就不这么想。酷爱计算机演进史和推特的 Dominic Pajak 创建了 BBC Micro Bot,它能够将一条 280 字符的推特经过模拟处理进而创建 3 秒时长的视频。
280字编程挑战:把一条推特长度的代码玩出花
|
安全 程序员 网络安全
2019年快来了,送给每位程序员一份新年计划清单
​ 一日之计在于晨,一年之计在于春,对于程序员来讲,挑战自我很重要。有创造力的以及技术性的休整是可行的。给自己的新年列个计划清单,一起在新的一年更好地成长吧! 进入真实生活 程序员们过分沉迷于数码设备,在数码设备之外也别有一番天地。
|
Java 程序员 应用服务中间件
程序员你应为自己将来早做打算了!
大家可能有感受到,最近新闻特别多,都是事关自身利益的大事,比如加税、减税、比如养老金增加、房产税草案等,都是直接涉及到个人腰包的大事。
1290 0
|
Java 程序员
工资条里藏着这些小秘密,第一个就有很多人不知道!
工资条里藏着的那些小秘密,更事关你的诸多权益!
1582 0
|
分布式计算 大数据 Java
关于学习的思考 - 不行就用笨办法【一千零一日】
做一个终身学习者,以不断提升认知为人生目标,向终身学习中致敬。
1396 0