前端小白,“老王,你的接口不能用了”
后端老王一脸不屑,“怎么可能,刚刚还能用,你看看参数传对了没有。”
前端小白吭哧吭哧检查了几遍,“参数没问题啊,你看看是不是有 username, id。。。”
后端老王顿了许久, “参数应该没问题,你再清下浏览器缓存试试”
前端小白摁着 "ctr + f5" 刷新了好多次, 一脸苦逼的说:“清完浏览器缓存了,还是有问题”
后端老王略过一丝疑虑,难道是我接口出问题了,不该啊,刚还能用,都测试好几遍了,说道:“你看看是不是数据库存的测试数据有问题,删了再试试,或者换个浏览器,重启下 server。”
前端小白照着老王的方法逐一尝试着。。。
突然老王拍了下脑瓜,一脸尴尬的说:“小白,我刚 fix 一个线上 bug, 测试环境换了分支,所以接口出问题了。”
小白一脸生无可恋的望着老王头顶的地中海发呆。。。
上面情节纯属虚构,作为一个后端开发人员,我怎么忍心这么黑自己的同行呢 😭。不过思考下这么一个问题,前端如何能够快速的定位问题呢。这里面跟很多因素有关,比如前后端协作流程是否完善,前后端人员的经验。
我经常看见前端工程师的招聘贴上会有这么一个要求:了解一门后台语言,有后台开发经验者优先。很多人可能心里嘀咕:这是准备拿我当全栈去用啊。先不说这个算不算全栈,就说这个要求具体指什么。其实它指的是对于 web 开发流程的熟悉,你需要理解一个 ajax post 请求最后如何变成一条数据库记录的。流程其实很复杂,本文就说一个重点,前后端信息交互的信使,http 请求。
说到这,很多朋友觉得没意思,后端的同学会说不就是处理个请求吗,写个方法,拿到数据,存个数据库,返回个 success ,完事。前端的也说 ajax 我用的可溜了,post 一下,拿到后端返回的 success,弹个窗,皆大欢喜。
好吧,其实确实是这个道理。但如果不 success 了,怎么能够知道问题在哪。我相信大家对下面那张图都很熟悉,chrome 的 devtool ,一般情况下大家在这里看请求传递的参数,返回的结果。但是很多人都会忽略一些默认传递的 headers,比如 cookie,content-type
举个 csrf_token 的例子,经常有一些刚入门的前端会遇到这么个情况,页面上 form 表单 post 提交好好的。但是一旦换成 ajax 请求发现怎么就返回 403 了呢,搜了下最大工单系统 stackoverflow,一下子就有解决方案了,至于为什么,就没有去深入探究了。
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken);
}
}
});
入正题,对于一个前端来说,了解下 http 协议很有用。只有你了解发出去的包是什么,你才会有这个胆量说这个锅前端不背,浏览器也不背。
http 协议基于 tcp 协议之上,所以 tcp 将一些粗活累活都揽在自己手里了,比如分片,重试,连接。http 只需要将规定好的格式传给接收方就行了。
比如这个
GET / HTTP/1.1
Host: Example Domain
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1
Connection: Keep-Alive
由于 http 经过这么多年的发展,加的东西也是越来越多,权威指南越来越厚。基本上活到老学到老,但是添加新东西总有他的道理,如果我们能够添加的那些东西都解决了什么问题,其实比死记硬背效果更好。我们往下看
首先是交互的方法,最基本的方法有4种,分别是POST, GET, PUT,DELETE 。后端工程师平时工作有很大的部分就是做 CRUD,跟这些方法较劲。每个方法的出现都有它的作用,比如 HEAD,大家只是想知道 http://example.com 这个 url 对应的 http 头部里面有啥信息,用 GET 做请求把所有页面信息都返回了,太不经济,所以就有了 HEAD 这个方法。当然你也可以自己创造一个方法,比如 ‘FUCK’, 需要后端写个相应的方法支持。
[server端代码](https://gist.github.com/facert/c24f1ecf8a09d9ab43215e452d4e5ac7)
其实 http 里面最难理解的就是各种头,如果要一个个去记住实在太难,但是其实他们也是为了解决各种问题的。比如为了缓存页面,有 cache-control,If-Match, If-None-Match, If-Modified-Since, ETag。可以参考这篇: HTTP缓存控制小结 – 腾讯Web前端 IMWeb 团队社区
网站总会遇到一些安全问题,比如 xss, csrf 之类。开发人员很难保证写出来的程序没有漏洞,浏览器加了些安全策略来防御 xss,同样的,加一些 http 的头也能有效的防御攻击,比如 csp(Content Security Policy), 参考文章: Content Security Policy 介绍
还比如说 Cookie 这个头,它本身的值就有很多选项,控制 Cookie 的作用范围,失效时间。浏览器是默认传 Cookie 的,但是如果不在浏览器上,写爬虫脚本的话需要自己把 Cookie 这个 header 带上。很多的 web server 是借助 Cookie 作为用户会话的凭证的,比如存一个唯一的 sessionid 值到 Cookie,每次请求都带上,来判断是哪个用户。
另外如果不用 Cookie 作为会话认证,还有其他方式吗?其实说到底认证就是需要传给服务端有个字段标识哪个用户,那我们可以在头里面加个 Authorization 的字段,其他名字也行,只要跟服务端商量好。
还有一种情况,如果你请求的接口和你当前的域不一样,叫跨域请求,几种解决方案,其中一种是服务端加 Access-Control-Allow-Origin 头,其实就是浏览器看见了这种头,就给了权限访问其他域。
最后 http 会有一些状态码返回,http响应码对照表 – 运维生存时间,状态码也可以自定义,比如定义个 233。
如果你写的是手机端的混合页面,没有 dev_tool 调试很心塞,这个时候你可以用 charles 或者 mitmproxy 做代理。mitmproxy 作为中间人劫持工具,还能满足你的好奇心,比如看看隔壁妹子在刷什么微博,给她弹个窗什么的。
所以问题来了,最终锅甩给谁了呢?