探討跨域請(qǐng)求資源的幾種方式（總結(jié)）

更新時(shí)間：2016年12月02日 16:25:35 作者：木的樹(shù)

這篇文章主要介紹了探討跨域請(qǐng)求資源的幾種方式（總結(jié)），小編覺(jué)得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

跨域請(qǐng)求資源的幾種方式，具體如下：

1.什么是跨域

2.JSONP

3.proxy代理

4.cors

5.xdr

由于瀏覽器同源策略，凡是發(fā)送請(qǐng)求url的協(xié)議、域名、端口三者之間任意一與當(dāng)前頁(yè)面地址不同即為跨域。具體可以查看下表

JSONP

這種方式主要是通過(guò)動(dòng)態(tài)插入一個(gè)script標(biāo)簽。瀏覽器對(duì)script的資源引用沒(méi)有同源限制，同時(shí)資源加載到頁(yè)面后會(huì)立即執(zhí)行（沒(méi)有阻塞的情況下）。

<script>
   var _script = document.createElement('script');
   _script.type = "text/javascript";
   _script.src = "http://localhost:8888/jsonp?callback=f";
   document.head.appendChild(_script);
  </script>

實(shí)際項(xiàng)目中JSONP通常用來(lái)獲取json格式數(shù)據(jù)，這時(shí)前后端通常約定一個(gè)參數(shù)callback，該參數(shù)的值，就是處理返回?cái)?shù)據(jù)的函數(shù)名稱(chēng)。

<!doctype html>
<html>
 <head>
  <meta charset="utf-8">
  <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
  <title>jsonp_test</title>

  <script>
   var f = function(data){
    alert(data.name);
   }
   /*var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/cors', true);
   xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
   xhr.send("f=json");*/
  </script>
  
  <script>
   var _script = document.createElement('script');
   _script.type = "text/javascript";
   _script.src = "http://localhost:8888/jsonp?callback=f";
   document.head.appendChild(_script);
  </script>
 </head>
 var query = _url.query;
    console.log(query);
    var params = qs.parse(query);
    console.log(params);
    var f = "";
  
    f = params.callback;
  
    res.writeHead(200, {"Content-Type": "text/javascript"});
    res.write(f + "({name:'hello world'})");
    res.end();

缺點(diǎn)：

1、這種方式無(wú)法發(fā)送post請(qǐng)求（這里）

2、另外要確定jsonp的請(qǐng)求是否失敗并不容易，大多數(shù)框架的實(shí)現(xiàn)都是結(jié)合超時(shí)時(shí)間來(lái)判定。

Proxy代理

這種方式首先將請(qǐng)求發(fā)送給后臺(tái)服務(wù)器，通過(guò)服務(wù)器來(lái)發(fā)送請(qǐng)求，然后將請(qǐng)求的結(jié)果傳遞給前端。

<!doctype html>
<html>
 <head>
  <meta charset="utf-8">
  <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
  <title>proxy_test</title>

  <script>
   var f = function(data){
    alert(data.name);
   }
   var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/proxy?http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
   xhr.send("f=json");
  </script>
 </head>
 
 <body>
 </body>
</html>

var proxyUrl = "";
   if (req.url.indexOf('?') > -1) {
     proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
     console.log(proxyUrl);
   }
   if (req.method === 'GET') {
     request.get(proxyUrl).pipe(res);
   } else if (req.method === 'POST') {
     var post = '';   //定義了一個(gè)post變量，用于暫存請(qǐng)求體的信息

    req.on('data', function(chunk){  //通過(guò)req的data事件監(jiān)聽(tīng)函數(shù)，每當(dāng)接受到請(qǐng)求體的數(shù)據(jù)，就累加到post變量中
      post += chunk;
    });
  
    req.on('end', function(){  //在end事件觸發(fā)后，通過(guò)querystring.parse將post解析為真正的POST請(qǐng)求格式，然后向客戶(hù)端返回。
      post = qs.parse(post);
      request({
           method: 'POST',
           url: proxyUrl,
           form: post
         }).pipe(res);
    });
   }

需要注意的是如果你代理的是https協(xié)議的請(qǐng)求，那么你的proxy首先需要信任該證書(shū)（尤其是自定義證書(shū)）或者忽略證書(shū)檢查，否則你的請(qǐng)求無(wú)法成功。12306就提供了一個(gè)鮮活的例子。

還需要注意一點(diǎn)，對(duì)于同一請(qǐng)求瀏覽器通常會(huì)從緩存中讀取數(shù)據(jù)，我們有時(shí)候不想從緩存中讀取，所以會(huì)加一個(gè)preventCache參數(shù)，這個(gè)時(shí)候請(qǐng)求url變成：url?preventCache=12345567....;這本身沒(méi)有什么問(wèn)題，問(wèn)題出在當(dāng)使用某些前端框架（比如jquery）發(fā)送proxy代理請(qǐng)求時(shí)，請(qǐng)求url為proxy?url，同時(shí)設(shè)置preventCache：true，框架不能正確處理這個(gè)參數(shù)，結(jié)果發(fā)出去的請(qǐng)求變成proxy?url&preventCache=123456（正長(zhǎng)應(yīng)為proxy?url?preventCache=12356）;后端截取后發(fā)送的請(qǐng)求為url&preventCache=123456，根本沒(méi)有這個(gè)地址，所以你得不到正確結(jié)果。

CORS

這是現(xiàn)代瀏覽器支持跨域資源請(qǐng)求的一種方式。

當(dāng)你使用XMLHttpRequest發(fā)送請(qǐng)求時(shí)，瀏覽器發(fā)現(xiàn)該請(qǐng)求不符合同源策略，會(huì)給該請(qǐng)求加一個(gè)請(qǐng)求頭：Origin，后臺(tái)進(jìn)行一系列處理，如果確定接受請(qǐng)求則在返回結(jié)果中加入一個(gè)響應(yīng)頭：Access-Control-Allow-Origin;瀏覽器判斷該相應(yīng)頭中是否包含Origin的值，如果有則瀏覽器會(huì)處理響應(yīng)，我們就可以拿到響應(yīng)數(shù)據(jù)，如果不包含瀏覽器直接駁回，這時(shí)我們無(wú)法拿到響應(yīng)數(shù)據(jù)。

<!doctype html>
<html>
 <head>
  <meta charset="utf-8">
  <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
  <title>jsonp_test</title>

  <script>
   /*var f = function(data){
    alert(data.name);
   }*/
   var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/cors', true);
   xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
   xhr.send("f=json");
  </script>
  
  <script>
   /* var _script = document.createElement('script');
   _script.type = "text/javascript";
   _script.src = "http://localhost:8888/jsonp?callback=f";
   document.head.appendChild(_script);*/
  </script>
 </head>
 
 <body>
 </body>
</html>

前端cors

if (req.headers.origin) {

      res.writeHead(200, {
        "Content-Type": "text/html; charset=UTF-8",
        "Access-Control-Allow-Origin":'http://localhost'/*,
        'Access-Control-Allow-Methods': 'GET, POST, OPTIONS',
        'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'*/
      });
      res.write('cors');
      res.end();
    }

如果我們把Access-Control-Allow-Origin去掉，瀏覽器會(huì)駁回響應(yīng)，我們也就拿不到數(shù)據(jù)。

需要注意的一點(diǎn)是Preflighted Request的透明服務(wù)器驗(yàn)證機(jī)制支持開(kāi)發(fā)人員使用自定義的頭部、GET或POST之外的方法，以及不同類(lèi)型的主題內(nèi)容?？偨Y(jié)如如：

1、非GET 、POST請(qǐng)求

2、POST請(qǐng)求的content-type不是常規(guī)的三個(gè)：application/x- www-form-urlencoded（使用 HTTP 的 POST 方法提交的表單）、multipart/form-data（同上，但主要用于表單提交時(shí)伴隨文件上傳的場(chǎng)合）、text/plain（純文本）

3、POST請(qǐng)求的payload為text/html

4、設(shè)置自定義頭部

OPTIONS請(qǐng)求頭部中會(huì)包含以下頭部：Origin、Access-Control-Request-Method、Access-Control-Request-Headers，發(fā)送這個(gè)請(qǐng)求后，服務(wù)器可以設(shè)置如下頭部與瀏覽器溝通來(lái)判斷是否允許這個(gè)請(qǐng)求。

Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/cors', true);
   xhr.setRequestHeader("Content-Type", "text/html");
   xhr.send("f=json");

if (req.headers.origin) {

      res.writeHead(200, {
        "Content-Type": "text/html; charset=UTF-8",
        "Access-Control-Allow-Origin":'http://localhost',
        'Access-Control-Allow-Methods': 'GET,POST,OPTIONS',
        'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'/**/
      });
      res.write('cors');
      res.end();
    }

如果你在調(diào)試狀態(tài)，你會(huì)發(fā)現(xiàn)后臺(tái)代碼執(zhí)行了兩遍，說(shuō)明發(fā)送了兩次請(qǐng)求。注意一下我們的onload代碼只執(zhí)行了一次，所以說(shuō)OPTIONS請(qǐng)求對(duì)程序來(lái)說(shuō)是透明的，他的請(qǐng)求結(jié)果會(huì)被緩存起來(lái)。

如果我們修改一下后臺(tái)代碼，把Content-Type去掉，你會(huì)發(fā)現(xiàn)OPTIONS請(qǐng)求失敗。

通過(guò)setRequestHeader('X-Request-With', null)可以避免瀏覽器發(fā)送OPTIONS請(qǐng)求。

　　根據(jù)我的測(cè)試，當(dāng)使用cors發(fā)送跨域請(qǐng)求時(shí)失敗時(shí)，后臺(tái)是接收到了這次請(qǐng)求，后臺(tái)可能也執(zhí)行了數(shù)據(jù)查詢(xún)操作，只是響應(yīng)頭部不合符要求，瀏覽器阻斷了這次請(qǐng)求。

XDR

這是IE8、IE9提供的一種跨域解決方案，功能較弱只支持get跟post請(qǐng)求，而且對(duì)于協(xié)議不同的跨域是無(wú)能為力的，比如在http協(xié)議下發(fā)送https請(qǐng)求?？匆幌挛④涀约旱睦泳托?br />

<!DOCTYPE html>

<html>
<body>
 <h2>XDomainRequest</h2>
 <input type="text" id="tbURL" value="http://www.contoso.com/xdr.txt" style="width: 300px"><br>
 <input type="text" id="tbTO" value="10000"><br>
 <input type="button" onclick="mytest()" value="Get">&nbsp;&nbsp;&nbsp;
  <input type="button" onclick="stopdata()" value="Stop">&nbsp;&nbsp;&nbsp;
  <input type="button" onclick="readdata()" value="Read">
 <br>
 <div id="dResponse"></div>
 <script>
  var xdr;
  function readdata()
  {
   var dRes = document.getElementById('dResponse');
   dRes.innerText = xdr.responseText;
   alert("Content-type: " + xdr.contentType);
   alert("Length: " + xdr.responseText.length);
  }
  
  function err()
  {
   alert("XDR onerror");
  }

  function timeo()
  {
   alert("XDR ontimeout");
  }

  function loadd()
  {
   alert("XDR onload");
   alert("Got: " + xdr.responseText);
  }

  function progres()
  {
   alert("XDR onprogress");
   alert("Got: " + xdr.responseText);
  }

  function stopdata()
  {
   xdr.abort();
  }

  function mytest()
  {
   var url = document.getElementById('tbURL');
   var timeout = document.getElementById('tbTO');
   if (window.XDomainRequest)
   {
    xdr = new XDomainRequest();
    if (xdr)
    {
     xdr.onerror = err;
     xdr.ontimeout = timeo;
     xdr.onprogress = progres;
     xdr.onload = loadd;
     xdr.timeout = tbTO.value;
     xdr.open("get", tbURL.value);
     xdr.send();
    }
    else
    {
     alert("Failed to create");
    }
   }
   else
   {
    alert("XDR doesn't exist");
   }
  }
 </script>
</body>
</html>

以上就是我在實(shí)際項(xiàng)目中遇到的跨域請(qǐng)求資源的情況，有一種跨域需要特別注意就是在https協(xié)議下發(fā)送https請(qǐng)求，除了使用proxy代理外其他方法都無(wú)解，會(huì)被瀏覽器直接block掉。如果哪位道友知道解決方法，麻煩你告訴我一聲。

最后附上完整的測(cè)試demo

iss中：

<!doctype html>
<html>
 <head>
  <meta charset="utf-8">
  <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
  <title>jsonp_test</title>

  <script>
   /*var f = function(data){
    alert(data.name);
   }*/
   var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/cors', true);
   xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
   xhr.setRequestHeader("aaaa","b");
   xhr.send("f=json");
  </script>
  
  <script>
   /* var _script = document.createElement('script');
   _script.type = "text/javascript";
   _script.src = "http://localhost:8888/jsonp?callback=f";
   document.head.appendChild(_script);*/
  </script>
 </head>
 
 <body>
 </body>
</html>

node-html

<!doctype html>
<html>
 <head>
  <meta charset="utf-8">
  <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">
  <title>proxy_test</title>

  <script>
   var f = function(data){
    alert(data.name);
   }
   var xhr = new XMLHttpRequest();
   xhr.onload = function(){
    alert(xhr.responseText);
   };
   xhr.open('POST', 'http://localhost:8888/proxy?https://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
   xhr.send("f=json");
  </script>
 </head>
 
 <body>
 </body>
</html>

node-server

var http = require('http');
var url = require('url');
var fs = require('fs');
var qs = require('querystring');
var request = require('request');

http.createServer(function(req, res){
  var _url = url.parse(req.url);
  if (_url.pathname === '/jsonp') {
    var query = _url.query;
    console.log(query);
    var params = qs.parse(query);
    console.log(params);
    var f = "";
  
    f = params.callback;
  
    res.writeHead(200, {"Content-Type": "text/javascript"});
    res.write(f + "({name:'hello world'})");
    res.end();
  } else if (_url.pathname === '/proxy') {
   var proxyUrl = "";
   if (req.url.indexOf('?') > -1) {
     proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
     console.log(proxyUrl);
   }
   if (req.method === 'GET') {
     request.get(proxyUrl).pipe(res);
   } else if (req.method === 'POST') {
     var post = '';   //定義了一個(gè)post變量，用于暫存請(qǐng)求體的信息

    req.on('data', function(chunk){  //通過(guò)req的data事件監(jiān)聽(tīng)函數(shù)，每當(dāng)接受到請(qǐng)求體的數(shù)據(jù)，就累加到post變量中
      post += chunk;
    });
  
    req.on('end', function(){  //在end事件觸發(fā)后，通過(guò)querystring.parse將post解析為真正的POST請(qǐng)求格式，然后向客戶(hù)端返回。
      post = qs.parse(post);
      request({
           method: 'POST',
           url: proxyUrl,
           form: post
         }).pipe(res);
    });
   }
  } else if (_url.pathname === '/index') {
    fs.readFile('./index.html', function(err, data) {
     res.writeHead(200, {"Content-Type": "text/html; charset=UTF-8"});
      res.write(data);
      res.end();
    });
  } else if (_url.pathname === '/cors') {
    if (req.headers.origin) {

      res.writeHead(200, {
        "Content-Type": "text/html; charset=UTF-8",
        "Access-Control-Allow-Origin":'http://localhost',
        'Access-Control-Allow-Methods': 'GET,POST,OPTIONS',
        'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type,aaaa'/**/
      });
      res.write('cors');
      res.end();
    }
  }
  
}).listen(8888);

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: