【从原理到实战】彻底搞懂跨域问题 (一)(1)

前言

什么是跨域： 浏览器为了安全性，设置同源策略导致的， 或者说是一种浏览器的限制同源策略： 是一种约定，WEB 应用只能请求同一个源的资源什么时候会跨域： 协议名、域名、端口号 不同

本文将从原理， 到最简代码实现， 演示解决跨域的方法和流程，纸上得来终觉浅 绝知此事要躬行， 只有自己手敲实现过， 才能对其原理理解更加深刻。

一、JSONP

1、原理

JSONP是利用 html 中的script标签没有跨域访问限制的来实现的 工作原理：

• 客户端通过script标签向服务器发送请求， 同时定义好回调函数接收 <script src="http://example.com/api?callback=handleResponse"></script>
• 服务器接收到请求后，会把数据进行填充，并且放回回调函数中，例如 handleResponse({data:'response'})
• 客户端在页面中定义相应的回调函数 handleResponse, 服务器返回的脚本会被浏览器执行， 从而触发回调函数，处理服务器返回的数据（把数据作为参数传给客户端定义的函数并执行）， 这样就实现了跨域请求和数据获取

局限： JSONP 的限制是需要通过<script> 标签加载外部脚本， 但是它有一些局限性

JSONP 只支持 GET 请求， 无法通过 POST 或 其他类型请求 JSONP 只能接收 纯文本数据，无法处理 JSON 对象 或 XML 数据

2、实站（最简化代码）

接下来就通过最简代码的方式， 实现JSONP的原理

客户端 index.html

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>JSONP</title>
  </head>
  <body>
    JSONP
  </body>
  <script>
    // 像页面中添加一个script标签， 通过script标签进行访问， 返回一个可执行的 函数
    function sendJsonp() {
      const callbackName = `jsonpFn_${Date.now()}`; // 为了防止缓存 加一个时间戳
      // 发送请求前先将函数名放到window上， 赋值一个函数， 当后端收到请求后，会返回一个该函数执行的脚本， 并将函数的参数传入到该函数中
      window[callbackName] = function (data) {
        console.log(data, ".datadatadatadata");
      };
      // 将该函数拼成一个url地址请求到后端
      const url = `http://localhost:4000/jsonp?q=1&w=2&jsonp=${callbackName}`;
      const script = document.createElement("script");
      script.src = url;
      // 将脚本标签添加到head中,发送请求
      document.head.appendChild(script);
    }
    sendJsonp();
  </script>
</html>

服务端代码

const express = require("express");
const app = express();
app.get("/jsonp", (req, res) => {
  // 查询参数
  const { jsonp, q, w } = req.query;
  const result = {
    g: Array.from({ length: 10 }, (_, i) => ({ q: `${w}${i + 1}` })),
  };
  res.send(`${jsonp}(${JSON.stringify(result)})`);
});
app.listen(4000, () => {
  console.log("sever 4000");
});

解释： 从上面简化的代码中，可以看出， 客户端就是通过构建 script 标签， 通过src 的访问将函数名发送给服务端， 并且构建一个函数等待执行， 服务端收到后，拿着函数名在拼装成一个函数调用的字符串， 当客户端发送 script 请求时，会将结果进行执行， 因为函数挂载到了window上， 所以会执行我们之前构造好的函数， 并将data 这个参数传递进去，我们就拿到了结果

二、CORS

1、概念

CORS 跨域资源共享：是一种浏览器机制，允许跨域请求共享资源，在Web开发中，当一个网页向另一个域名下的资源发起请求时，如果请求的目标域和当前域不同，就会设计到跨域问题， 默认情况下， 浏览器会限制这种跨域请求，以保护用户安全

2、工作流程 (可略)

CORS 跨域资源共享通过在服务端设置相应的响应头来解决跨域问题， 它使用一些特定的HTTP 头部和预检请求已实现跨域通信

• 1、发出跨域请求： 在浏览器中的网页向其他域名下的资源发起跨域请求时， 浏览器会首先发送一个跨域请求
• 2、发送预检请求(可选)：对于某些类型的跨域请求，例如带有一些自定义的HTTP头部或特殊方法（PUT、DELETE）的请求，浏览器会发送一个OPTIONS请求，称为预检请求，用于向服务器验证跨域请求是否被允许
• 3、服务器设置响应头： 服务器收到跨域请求后，可以设置响应头来告诉浏览器允许请求的源（Origin）、允许的 HTTP 方法、允许的自定义头部信息

• Access-Control-Allow-Origin 指定允许访问域名，可以单个 通配符 列表
• Access-Control-Allow-Methids 指定允许的 HTTP 方法
• Access-Control-Allow-Headers 指定允许的自定义头
• access-Control-Allow-Credentials 是否允许发送身份凭证 允许时 Origin不能为*

• 4、处理跨域响应，如果服务器设置了响应头，浏览器会根据指定的规则处理

3、实战 （ 最简化代码 ）

客户端代码

我们通过 livesever 先给页面起一个静态服务， 域名为  http://127.0.0.1:5501/HTTP/xxx/indexMini.html

indexMini.html 页面

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>Document</title>
  </head>
  <body>
    <script>
      async function getUsers() {
        const response = await fetch("http://localhost:3000/users", {
          method: "POST",
        });
        const data = await response.json();
        console.log(data);
      }
      getUsers();
    </script>
  </body>
</html>

服务端代码

const express = require("express");
const app = express();
app.use((req, res, next) => {
  next();
});
app.post("/users", (req, res) => {
  res.json([{ id: 1, name: "zhangsan11" }]);
});
app.listen(3000, () => {
  console.log("sever 3000");
});

解释： 上面用静态服务起一个客户端 端口 5501， 然后通过express 起一个后端服务 端口3000，  客户端刷新页面会发起一个/users的请求， 一定会发生跨域问题， 'no-cors' to fetch the resource with CORS disabled. 显示 no-cors 获取资源失败， 其实后端是收到了请求，也将数据返回去了， 但是接口的响应表头中没有设置允许的 源 Orign， 所以浏览器对于这种跨域又没有设置 Orign 的情况， 就会报错 阻止客户端收到返回值

1、 跨域问题的解决

app.use((req, res, next) => {
  res.header("Access-Control-Allow-Origin", "*");
  next();
});

实际上只需要后端增加一行代码， 就可以解决跨域问题了， 因为 * 代表所有源都允许， 如果希望指定的源或者给几个指定源添加白名单的形式，可以这样写

const whiteList = ["http://127.0.0.1:5501"];
if (whiteList.includes(req.headers.origin)) {
    res.header("Access-Control-Allow-Origin", req.headers.origin);
}

这样就只能针对特定的源允许跨域请求了

2、针对复杂请求的相关处理与解决

上面我们解决完跨域问题了， 但是还存在几个问题， 我们的请求是post的，还没有添加header， 一旦修改请求方法，或者header增加一些字段，就发现有问题了，所以下面开始处理这些复杂请求 先简单区分什么是复杂请求什么是简单请求： 区分他们有两个指标， 一个是请求方法： HEAD、GET、POST是简单请求， header中常见的 Content-Type 是 application/x-www-form-urlencoded 和 multipart/form-data 和一些 Accept 、 Accept-Language、Content-Language 这些都是简单请求， 简单请求就很简单，不需要在俄额外进行服务端的处理设置了， 可以尽情使用

除此之外，其他的请求方法 和 其他的请求头。都是复杂请求， 复杂请求会额外发送一个 OPTION 请求来询问服务端是否支持， 那么怎么才能支持呢？ 就是要分别处理 这里格外需要注意， header 中的 Content-Type: "application/json 是复杂请求， 比如 POST 的时候 我们经常需要这种类型, 那么在跨域的时候就需要特殊处理了，否则会报错 Request header field content-type is not allowed  这种解决只需要在代码中增加一行

 res.header("Access-Control-Allow-Headers", "Content-Type");

如果想增加自定义的头 比如请求时候 再增加一个 custom: 3000

 headers: {
    "Content-Type": "application/json",
    custom: "3000",
 },

这样也只需要后端在允许的Headers中加一下

js

复制代码

 res.header("Access-Control-Allow-Headers", "Content-Type, custom");