Open dive2Pro opened 6 years ago
Asynchronous Javascript and XML, 用 Js 执行异步网络请求
AJAX 是与服务器交换数据并更新部分网页的技术,在不重新加载整个页面的情况下,可以与服务端进行数据交互。
var xhq = new XMLHttpRequest() // 当 请求的状态改变时 触发的回调 xhq.onreadyStateChange = function () { // 在通信错误的事件中(例如服务器宕机),在访问响应状态 onreadystatechange 方法中会抛出一个例外。为了缓和这种情况,则可以使用 try...catch 把 if...then 语句包裹起来 try{ if (httpRequest.readyState === XMLHttpRequest.DONE) { } }catch(e) { } } xhq.onerror = function() { } // ... 其他回调函数 // 设置请求属性 xhq.open('GET', "/api/xxx") // 发送请求 xhq.send()
0 : (未初始化) 还没有调用 open 方法 1 : (载入) 已经调用 open() 方法, 正在派发请求, send() 方法还没有调用 2 : (载入完成) send() 已经调用, 响应头和响应状态已经返回 3 : (交互) 响应体下载中, responseText 已经获取了部分数据 4 : (完成) 响应内容已经解析完成, 用户可以调用
在上面的示例中 , xhq.open 的第二个参数传入的是 相对地址, 假如使用 http://api.money.126.net 这种绝对地址, 在 devtools 中会发现有这样一种错误 :
http://api.money.126.net
这就是遇到 跨域访问资源 问题
Cross-Origin Resource Sharing
浏览器中, js 发送 AJAX 请求时, URL的域名必须和当前页面完全一致. 包括:
请求外域的方法:
通过Flash插件
在同源域名下假设一个 代理服务器 来转发, 不过需要服务器做额外的开发
JSONP, 但是它只支持 GET 请求, 并且要求返回 Javascript.
function getPrice() { var js = document.createElement('script'), head = document.getElementsByTagName('head')[0]; js.src = 'http://api.money.126.net/data/feed/0000001,1399001?callback=refreshPrice'; head.appendChild(js); } function refreshPrice(data) { // ... 处理数据 }
html5 中, 浏览器接受到响应后, 首先检查 Access-Control-Allow-Origin 是否包含本域,如果是,则此次跨域请求成功,如果不是,则请求失败,JavaScript将无法获取到响应的任何数据。
Access-Control-Allow-Origin
跨域是否成功, 取决于对方服务器是否愿意设置一个正确的 Access-Control-Allow-Origin. 上面这种跨域请求,称之为“简单请求”。简单请求包括 :
简单请求头包括 (大小写不敏感):
简单响应头(大小写不敏感):
并且不能出现任何自定义头(例如,X-Custom: 12345),通常能满足90%的需求。
引用外域资源时,除了JavaScript和CSS外,都要验证CORS。例如,当你引用了某个第三方CDN上的字体文件时:
/* CSS */ @font-face { font-family: 'FontAwesome'; src: url('http://cdn.com/fonts/fontawesome.ttf') format('truetype'); }
如果该CDN服务商未正确设置Access-Control-Allow-Origin,那么浏览器无法加载字体资源。
对于PUT、DELETE以及其他类型如application/json的POST请求,在发送AJAX请求之前,浏览器会先发送一个OPTIONS请求(称为preflighted请求)到这个URL上,询问目标服务器是否接受:
OPTIONS /path/to/resource HTTP/1.1 Host: bar.com Origin: http://my.com Access-Control-Request-Method: POST
服务器必须响应并明确指出允许的Method:
HTTP/1.1 200 OK Access-Control-Allow-Origin: http://my.com Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS Access-Control-Max-Age: 86400
浏览器确认服务器响应的Access-Control-Allow-Methods头确实包含将要发送的AJAX请求的Method,才会继续发送AJAX,否则,抛出一个错误。
Access-Control-Max-Age: 86400 表明 response 可以被 缓存多久, 这样在这段时间内后续的 请求就不需要再发送preflight请求了.
Access-Control-Max-Age: 86400
preflight
不在简单请求方法之列, 发送请求时需要先验证该方法在 CORS 时是否可以通过, 验证步骤如下, 其中每一步都可以中断这次请求:
Origin
method
Access-Control-Allow-Methods
parse
Access-Control-Request-Headers
header field-names
Content-Type
参考资料:
https://www.w3.org/TR/cors/ https://www.liaoxuefeng.com/wiki/001434446689867b27157e896e74d51a89c25cc8b43bdb3000/001434499861493e7c35be5e0864769a2c06afb4754acc6000 https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest
https://www.w3.org/TR/cors/
https://www.liaoxuefeng.com/wiki/001434446689867b27157e896e74d51a89c25cc8b43bdb3000/001434499861493e7c35be5e0864769a2c06afb4754acc6000
https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest
Ajax
是什么? 有什么用?
AJAX 是与服务器交换数据并更新部分网页的技术,在不重新加载整个页面的情况下,可以与服务端进行数据交互。
语法
请求状态
0 : (未初始化) 还没有调用 open 方法 1 : (载入) 已经调用 open() 方法, 正在派发请求, send() 方法还没有调用 2 : (载入完成) send() 已经调用, 响应头和响应状态已经返回 3 : (交互) 响应体下载中, responseText 已经获取了部分数据 4 : (完成) 响应内容已经解析完成, 用户可以调用
在上面的示例中 , xhq.open 的第二个参数传入的是 相对地址, 假如使用
http://api.money.126.net
这种绝对地址, 在 devtools 中会发现有这样一种错误 :这就是遇到 跨域访问资源 问题
跨域访问资源 CORS
浏览器中, js 发送 AJAX 请求时, URL的域名必须和当前页面完全一致. 包括:
请求外域的方法:
通过Flash插件
在同源域名下假设一个 代理服务器 来转发, 不过需要服务器做额外的开发
JSONP, 但是它只支持 GET 请求, 并且要求返回 Javascript.
html5 中, 浏览器接受到响应后, 首先检查
Access-Control-Allow-Origin
是否包含本域,如果是,则此次跨域请求成功,如果不是,则请求失败,JavaScript将无法获取到响应的任何数据。跨域是否成功, 取决于对方服务器是否愿意设置一个正确的
Access-Control-Allow-Origin
. 上面这种跨域请求,称之为“简单请求”。简单请求包括 :简单请求头包括 (大小写不敏感):
简单响应头(大小写不敏感):
并且不能出现任何自定义头(例如,X-Custom: 12345),通常能满足90%的需求。
引用外域资源时,除了JavaScript和CSS外,都要验证CORS。例如,当你引用了某个第三方CDN上的字体文件时:
如果该CDN服务商未正确设置Access-Control-Allow-Origin,那么浏览器无法加载字体资源。
对于PUT、DELETE以及其他类型如application/json的POST请求,在发送AJAX请求之前,浏览器会先发送一个OPTIONS请求(称为preflighted请求)到这个URL上,询问目标服务器是否接受:
服务器必须响应并明确指出允许的Method:
浏览器确认服务器响应的Access-Control-Allow-Methods头确实包含将要发送的AJAX请求的Method,才会继续发送AJAX,否则,抛出一个错误。
Access-Control-Max-Age: 86400
表明 response 可以被 缓存多久, 这样在这段时间内后续的 请求就不需要再发送preflight
请求了.Preflight Request
不在简单请求方法之列, 发送请求时需要先验证该方法在 CORS 时是否可以通过, 验证步骤如下, 其中每一步都可以中断这次请求:
Origin
请求头不存在Origin
大小写敏感不匹配Access-Control-Allow-Origin
中的某一个值method
大小写敏感的不匹配Access-Control-Allow-Methods
解析后的值, 如果没有method
或者parse
时错误Access-Control-Request-Headers
解析后的值, 如果没有Access-Control-Request-Headers
, 使header field-names
为空列表header field-names
是 简单的请求头, 并且没有Content-Type
,这一步跳过参考资料: