search

dive2Pro / Think

_博客_
0 stars 0 forks source link

Ajax-CORS #7

Open dive2Pro opened 6 years ago

dive2Pro commented 6 years ago

Ajax

Asynchronous Javascript and XML, 用 Js 执行异步网络请求

是什么? 有什么用?

AJAX 是与服务器交换数据并更新部分网页的技术,在不重新加载整个页面的情况下,可以与服务端进行数据交互。

语法

   var xhq = new XMLHttpRequest()

   // 当 请求的状态改变时 触发的回调
   xhq.onreadyStateChange = function () {
   // 在通信错误的事件中(例如服务器宕机),在访问响应状态 onreadystatechange 方法中会抛出一个例外。为了缓和这种情况,则可以使用 try...catch 把 if...then 语句包裹起来
    try{
     if (httpRequest.readyState === XMLHttpRequest.DONE) {

      }
    }catch(e) {
    }
   }
   xhq.onerror = function() {
   }
   // ... 其他回调函数
  // 设置请求属性
   xhq.open('GET', "/api/xxx")
   // 发送请求
   xhq.send()

请求状态

0 : (未初始化) 还没有调用 open 方法 1 : (载入) 已经调用 open() 方法, 正在派发请求, send() 方法还没有调用 2 : (载入完成) send() 已经调用, 响应头和响应状态已经返回 3 : (交互) 响应体下载中, responseText 已经获取了部分数据 4 : (完成) 响应内容已经解析完成, 用户可以调用

在上面的示例中 , xhq.open 的第二个参数传入的是 相对地址, 假如使用 http://api.money.126.net 这种绝对地址, 在 devtools 中会发现有这样一种错误 :

_ _20180505234926

这就是遇到 跨域访问资源 问题

跨域访问资源 CORS

Cross-Origin Resource Sharing

浏览器中, js 发送 AJAX 请求时, URL的域名必须和当前页面完全一致. 包括:

  1. 域名 (www.example.com 和 example.com ts)
  2. 协议 (http 和 https 不同)
  3. 端口号

请求外域的方法:

  1. 通过Flash插件

  2. 在同源域名下假设一个 代理服务器 来转发, 不过需要服务器做额外的开发

  3. JSONP, 但是它只支持 GET 请求, 并且要求返回 Javascript.

        function getPrice() {
        var js = document.createElement('script'),
              head = document.getElementsByTagName('head')[0];
              js.src = 'http://api.money.126.net/data/feed/0000001,1399001?callback=refreshPrice';
              head.appendChild(js);
    }
    function refreshPrice(data) {
       // ... 处理数据
    }

  4. html5 中, 浏览器接受到响应后, 首先检查 Access-Control-Allow-Origin 是否包含本域,如果是,则此次跨域请求成功,如果不是,则请求失败,JavaScript将无法获取到响应的任何数据。

enter description here

跨域是否成功, 取决于对方服务器是否愿意设置一个正确的 Access-Control-Allow-Origin. 上面这种跨域请求,称之为“简单请求”。简单请求包括 :

简单请求头包括 (大小写不敏感):

简单响应头(大小写不敏感):

并且不能出现任何自定义头(例如,X-Custom: 12345),通常能满足90%的需求。

引用外域资源时,除了JavaScript和CSS外,都要验证CORS。例如,当你引用了某个第三方CDN上的字体文件时:

        /* CSS */
        @font-face {
          font-family: 'FontAwesome';
          src: url('http://cdn.com/fonts/fontawesome.ttf') format('truetype');
        }

如果该CDN服务商未正确设置Access-Control-Allow-Origin,那么浏览器无法加载字体资源。

对于PUT、DELETE以及其他类型如application/json的POST请求,在发送AJAX请求之前,浏览器会先发送一个OPTIONS请求(称为preflighted请求)到这个URL上,询问目标服务器是否接受:

OPTIONS /path/to/resource HTTP/1.1
Host: bar.com
Origin: http://my.com
Access-Control-Request-Method: POST

服务器必须响应并明确指出允许的Method:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://my.com
Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS
Access-Control-Max-Age: 86400

浏览器确认服务器响应的Access-Control-Allow-Methods头确实包含将要发送的AJAX请求的Method,才会继续发送AJAX,否则,抛出一个错误。

Access-Control-Max-Age: 86400 表明 response 可以被 缓存多久, 这样在这段时间内后续的 请求就不需要再发送preflight请求了.

Preflight Request

不在简单请求方法之列, 发送请求时需要先验证该方法在 CORS 时是否可以通过, 验证步骤如下, 其中每一步都可以中断这次请求:

  1. Origin 请求头不存在
  2. Origin 大小写敏感不匹配 Access-Control-Allow-Origin 中的某一个值
  3. method 大小写敏感的不匹配 Access-Control-Allow-Methods 解析后的值, 如果没有 method 或者 parse时错误
  4. 自定义的请求头不敏感的不匹配 Access-Control-Request-Headers 解析后的值, 如果没有 Access-Control-Request-Headers , 使 header field-names 为空列表
  5. 如果每一个 header field-names是 简单的请求头, 并且没有 Content-Type ,这一步跳过

参考资料:

https://www.w3.org/TR/cors/

https://www.liaoxuefeng.com/wiki/001434446689867b27157e896e74d51a89c25cc8b43bdb3000/001434499861493e7c35be5e0864769a2c06afb4754acc6000

https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest