跨域

首先准备三个文件

image.png

server1.js

const http = require('http')
const fs = require('fs')
const { resolve } = require('path')

const app = http.createServer((req,res) => {
  const html = fs.readFileSync(resolve(__dirname,'./test.html'),'utf8')
  res.writeHead(200,{
    'Content-type': 'text/html'
  })
  res.end(html)
})
app.listen(8888)

test.html

<div>跨域测试</div>

JSONP

原理

利用script标签的src不受浏览器同源策略约束的特性，发送跨域请求

在test.html的</body> 标签上添加一个script标签

  <div>跨域测试</div>
  <script>
      function cb() {
        console.log(arguments)
      } 
  </script>
  <script src="http://127.0.0.1:8887?callback=cb"></script>

server2.js

const http = require('http')
const queryString = require('querystring')
const url = require('url')

const app = http.createServer((req, res) => {
    const qs = req.url.substring(req.url.lastIndexOf('?') + 1)
    const cb = queryString.parse(qs)
    const fn = cb.callback
    const callback = fn + '(' + '123' + ')'
    res.end(callback) 
})
app.listen(8887)

CORS跨域资源共享

XMLHttpRequest和Fetch API遵循同源策略，这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源，除非使用CORS头文件
注意：跨域请求可以正常发起，服务器也会接收并返回数据，但是浏览器会将返回的数据拦截

原理

通过设置response的响应头 Access-Control-Allow-Origin 来允许特定的访问
test.html

<script>
    // 利用 服务器端 response的 响应头 Access-Control-Allow-Origin： '*'
    var xhr = new XMLHttpRequest()
    xhr.open('GET','http://127.0.0.1:8887/')
    xhr.send() 
</script>

server2.js

const http = require('http')

const app = http.createServer((req, res) => {
  console.log('request2 come', req.url);
        res.writeHead(200,{
          // * 代表允许任何访问，你也可以写死 http://127.0.0.1:8888
          'Access-Control-Allow-Origin': '*',
        }) 
    res.end('123')
})
app.listen(8887)

跨域的限制

跨域允许的方法：

get
head
post
跨域允许的Content-Type:
text/plain
multipart/form-data
application/x-www-form-urlencoded
请求头显示
跨域时有些自定义请求头不被允许

下面我们来测试下，注意html页面中 fetch请求的 method 和 headers
test.html

  <script>
    fetch('http://127.0.0.1:8887',{
      method: 'PUT',
      headers: {
        'X-Test-Cors': '123'
      }
    })
  </script>

const http = require('http')

const app = http.createServer((req, res) => {
    res.writeHead(200,{
      'Access-Control-Allow-Origin': '*',
      // 'Access-Control-Allow-Headers': 'X-Test-Cors',
      // 'Access-Control-Allow-Methods': 'Put,Delete'
    }) 
    res.end('123')
})
app.listen(8887)

控制台 network信息

image.png

浏览器报错信息

image.png

原因是什么呢？
跨域请求时，put方法和自定义请求头X-Test-Cors是不被允许的，会触发
CORS预检请求

CORS预检请求

跨域资源共享标准新增了一组 HTTP 首部字段，允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外，规范要求，对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求），浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨域请求。服务器确认允许之后，才发起实际的 HTTP 请求。在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证（包括 Cookies 和 HTTP 认证相关数据）。

将server2.js修改一下

const http = require('http')

const app = http.createServer((req, res) => {
    res.writeHead(200,{
      'Access-Control-Allow-Origin': '*',
      //服务器允许的自定义的请求首部字段
      'Access-Control-Allow-Headers': 'X-Test-Cors',
      //服务器允许的请求方法
      'Access-Control-Allow-Methods': 'PUT,DELETE,OPTIONS'
    }) 
    res.end('123')
})
app.listen(8887)

方法为options的预检请求

image.png

方法为 put的真实请求

image.png

可以看到server2.js中我们设置了

      //服务器允许的自定义的请求首部字段
      'Access-Control-Allow-Headers': 'X-Test-Cors',
      //服务器允许的请求方法
      'Access-Control-Allow-Methods': 'PUT,DELETE,OPTIONS'

Access-Control-Allow-Headers: 能够使自定义请求头通过预检
Access-Control-Allow-Methods：能够使指定方法通过预检

什么情况下会触发预检请求

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器，以获知服务器是否允许该实际请求。"预检请求“的使用，可以避免跨域请求对服务器的用户数据产生未预期的影响

当请求满足下述任一条件时，即应首先发送预检请求：

使用了下面任一 HTTP 方法：
- PUT
- DELETE
- CONNECT
- OPTIONS
- TRACE
- PATCH
人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。该集合为：
- Accept
- Accept-Language
- Content-Language
- Content-Type (but note the additional requirements below)
- [DPR](http://httpwg.org/http-extensions/client-hints.html#dpr)
- [Downlink](http://httpwg.org/http-extensions/client-hints.html#downlink)
- [Save-Data](http://httpwg.org/http-extensions/client-hints.html#save-data)
- [Viewport-Width](http://httpwg.org/http-extensions/client-hints.html#viewport-width)
- [Width](http://httpwg.org/http-extensions/client-hints.html#width)
Content-Type 的值不属于下列之一:
- application/x-www-form-urlencoded
- multipart/form-data
- text/plain
请求中的XMLHttpRequestUpload 对象注册了任意多个事件监听器。
请求中使用了ReadableStream对象。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 204,293评论 6赞 478
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 85,604评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 150,958评论 0赞 337
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,729评论 1赞 277
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,719评论 5赞 366
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,630评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,000评论 3赞 397
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,665评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,909评论 1赞 299
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,646评论 2赞 321
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,726评论 1赞 330
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,400评论 4赞 321
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 38,986评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,959评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,197评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 44,996评论 2赞 349
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,481评论 2赞 342

跨域

JSONP

原理

CORS跨域资源共享

原理

跨域的限制

CORS预检请求

什么情况下会触发 预检请求

推荐阅读更多精彩内容

什么情况下会触发预检请求