跨域处理之JSONP和CORS

2019年8月20日 171次阅读 来源: 落霞与孤鹜齐飞

雷同协定、域名、端口下

  • 页面在 http://localhost:3000/0
  • 效劳在 http://localhost:3000/1
  • 控制台能一般输出 {name: ”, sex: ”, _stamp: ”}

views/0.ejs

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
    <style>

    </style>
</head>
<body>
    <form action="/" onsubmit="return false">
        <label for="name">NAME</label><input type="text" id="name" name="name"><br>
        <label for="sex">SEX</label><input type="text" id="sex" name="sex"><br>
        <input type="submit" value="SUBMIT">
    </form>
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
    <script>
        $('form').on('submit', function(){
            $.ajax({
                url: 'http://localhost:3000/1',
                data: {
                    name: $('#name').val(),
                    sex: $('#sex').val()
                },
                success: function(data){
                    console.log(data);
                }
            })
        })
    </script>
</body>
</html>

serve.js

const server = require('express')();

server.set('view engine', 'ejs');

server.get('/0', (req, res) => {
    res.render('0.ejs', {});
})

server.get('/1', (req, res) => {
    let {name, sex} = req.query;
    res.send({name, sex, _stamp: + new Date});
})

server.listen(3000);

JSONP

  • 0.ejs改成0.hmtl,直接翻开或许在http://localhost:3001/views/0.html翻开(3000端口被占用时运转$ browser-sync start --server --files '**'
  • 控制台报错 Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

jQuery 的 JSONP

0.html 的剧本改成

function jCb(data){ // 这个函数和ajax 的 success 一样能够操纵 data
    console.log('你要的', data);
}
$('form').on('submit', function(){
    $.ajax({
        url: 'http://localhost:3000/1',
        data: {
            name: $('#name').val(),
            sex: $('#sex').val()
        },
        dataType: 'jsonp',
        jsonpCallback: 'jCb', // 效劳端 req.query.callback = 'jCb'
        success: function(data){
            console.log(data);
        }
    })
})

server.js 注重返回客户端的字符串的拼接

const server = require('express')();
server.get('/1', (req, res) => {
    let {name, sex, callback} = req.query;
    var data = "{name: '', sex: '', _stamp: ''}"; // 然后再在单引号处拼接
        data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}";
        data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}`

    var resStr = callback + "()"
        resStr = callback + "(" + data + ")"
    console.log(callback, typeof callback); // jCb string
    console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string
    res.send(resStr);
})

server.listen(3000);

应用 script 标签

0.html

<script>
    function jCb(data) {
        console.log("jsonpCallback: " + data.name)
    }
</script>
<script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script>

server.js

server.get('/1', (req, res) => {
    var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };'
    var debug = 'console.log(data);'
    var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});'
    res.send(callback);
})

CORS

html 代码照样最初的代码,server.js 转变

server.get('/1', (req, res) => {
    // 设置能够要求的域名,"*" 代表一切域名
    res.header("Access-Control-Allow-Origin", "http://localhost:3001");

    // 设置所许可的HTTP要求要领。
    res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE");

    // 字段是必须的。它也是一个逗号分开的字符串,表明效劳器支撑的一切头信息字段。
    res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type");

    // 效劳器收到要求今后,搜检了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段今后,确认许可跨源要求,就能够做出回应。

    // Content-Type示意详细要求中的媒体范例信息。
    res.header("Content-Type", "application/json;charset=utf-8");

    // 该字段可选。它的值是一个布尔值,示意是不是许可发送Cookie。默许情况下,Cookie不包括在CORS要求当中。
    // 当设置成许可要求照顾cookie时,须要保证"Access-Control-Allow-Origin"是效劳器有的域名,而不能是"*"。
    res.header("Access-Control-Allow-Credentials", true);

    // 该字段可选,用来指定本次预检要求的有用期,单元为秒。
    // 当要求要领是PUT或DELETE等特别要领或许Content-Type字段的范例是application/json时,效劳器会提早发送一次要求举行考证
    // 下面的的设置只本次考证的有用时候,即在该时候段内效劳端能够不必举行考证
    res.header("Access-Control-Max-Age", 300);

    /*
    CORS要求时,XMLHttpRequest对象的getResponseHeader()要领只能拿到6个基础字段:
        Cache-Control、
        Content-Language、
        Content-Type、
        Expires、
        Last-Modified、
        Pragma。
    */
    // 须要猎取其他字段时,运用Access-Control-Expose-Headers,
    // getResponseHeader('myData')能够返回我们所需的值
    res.header("Access-Control-Expose-Headers", "myData");


    let {name, sex} = req.query;
    res.send({name, sex, _stamp: + new Date});
})
    原文作者:落霞与孤鹜齐飞
    原文地址: https://segmentfault.com/a/1190000017050233
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞