编程 Javascript

浅谈Koa2框架利用CORS完成跨域ajax请求

Posted in Javascript onMarch 06, 2018

实现跨域ajax请求的方式有很多，其中一个是利用CORS，而这个方法关键是在服务器端进行配置。

本文仅对能够完成正常跨域ajax响应的，最基本的配置进行说明（深层次的配置我也不会）。

CORS将请求分为简单请求和非简单请求，可以简单的认为，简单请求就是没有加上额外请求头部的get和post请求，并且如果是post请求，请求格式不能是application/json（因为我对这一块理解不深如果错误希望能有人指出错误并提出修改意见）。而其余的，put、post请求，Content-Type为application/json的请求，以及带有自定义的请求头部的请求，就为非简单请求。

简单请求的配置十分简单，如果只是完成响应就达到目的的话，仅需配置响应头部的Access-Control-Allow-Origin即可。

如果我们在http://localhost:3000 域名下想要访问 http://127.0.0.1:3001 域名。可以做如下配置：

app.use(async (ctx, next) => {
 ctx.set('Access-Control-Allow-Origin', 'http://localhost:3000');
 await next();
});

然后用ajax发起一个简单请求，例如post请求，就可以轻松的得到服务器正确响应了。

实验代码如下：

$.ajax({
  type: 'post',
  url: 'http://127.0.0.1:3001/async-post'
 }).done(data => {
  console.log(data);
})

服务器端代码：

router.post('/async-post',async ctx => {
 ctx.body = {
 code: "1",
 msg: "succ"
 }
});

然后就能得到正确的响应信息了。

这时候如果看一下请求和响应的头部信息，会发现请求头部多了个origin（还有一个referer为发出请求的url地址），而响应头部多了个Access-Control-Allow-Origin。

现在可以发送简单请求了，但是要想发送非简单请求还是需要其他的配置。

当第一次发出非简单请求的时候，实际上会发出两个请求，第一次发出的是preflight request，这个请求的请求方法是OPTIONS，这个请求是否通过决定了这一个种类的非简单请求是否能成功得到响应。

为了能在服务器匹配到这个OPTIONS类型的请求，因此需要自己做一个中间件来进行匹配，并给出响应使得这个预检能够通过。

app.use(async (ctx, next) => {
 if (ctx.method === 'OPTIONS') {
 ctx.body = '';
 }
 await next();
});

这样OPTIONS请求就能够通过了。

如果检查一下preflight request的请求头部，会发现多了两个请求头。

Access-Control-Request-Method: PUT
Origin: http://localhost:3000

要通过这两个头部信息与服务器进行协商，看是否符合服务器应答条件。

很容易理解，既然请求头多了两个信息，响应头自然也应该有两个信息相对应，这两个信息如下：

Access-Control-Allow-Origin: http://localhost:3000
Access-Control-Allow-Methods: PUT,DELETE,POST,GET

第一条信息和origin相同因此通过。第二条信息对应Access-Controll-Request-Method，如果在请求的方式包含在服务器允许的响应方式之中，因此这条也通过。两个约束条件都满足了，所以可以成功的发起请求。

至此为止，相当于仅仅完成了预检，还没发送真正的请求呢。

真正的请求当然也成功获得了响应，并且响应头如下（省略不重要部分）

Access-Control-Allow-Origin: http://localhost:3000
Access-Control-Allow-Methods: PUT,DELETE,POST,GET

请求头如下：

Origin: http://localhost:3000

这就很显而易见了，响应头部信息是我们在服务器设定的，因此是这样。

而客户端因为刚才已经预检过了，所以不需要再发Access-Control-Request-Method这个请求头了。

这个例子的代码如下：

$.ajax({
   type: 'put',
   url: 'http://127.0.0.1:3001/put'
  }).done(data => {
   console.log(data);
});

服务器代码：

app.use(async (ctx, next) => {
  ctx.set('Access-Control-Allow-Origin', 'http://localhost:3000');
  ctx.set('Access-Control-Allow-Methods', 'PUT,DELETE,POST,GET');
  await next();
});

至此我们完成了能够正确进行跨域ajax响应的基本配置，还有一些可以进一步配置的东西。

比如，到目前为止，每一次非简单请求都会实际上发出两次请求，一次预检一次真正请求，这就比较损失性能了。为了能不发预检请求，可以对如下响应头进行配置。

Access-Control-Max-Age: 86400

这个响应头的意义在于，设置一个相对时间，在该非简单请求在服务器端通过检验的那一刻起，当流逝的时间的毫秒数不足Access-Control-Max-Age时，就不需要再进行预检，可以直接发送一次请求。

当然，简单请求时没有预检的，因此这条代码对简单请求没有意义。

目前代码如下：

app.use(async (ctx, next) => {
 ctx.set('Access-Control-Allow-Origin', 'http://localhost:3000');
 ctx.set('Access-Control-Allow-Methods', 'PUT,DELETE,POST,GET');
 ctx.set('Access-Control-Max-Age', 3600 * 24);
 await next();
});

到现在为止，可以对跨域ajax请求进行响应了，但是该域下的cookie不会被携带在请求头中。如果想要带着cookie到服务器，并且允许服务器对cookie进一步设置，还需要进行进一步的配置。

为了便于后续的检测，我们预先在http://127.0.0.1:3001这个域名下设置两个cookie。注意不要错误把cookie设置成中文（刚才我就设置成了中文，结果报错，半天没找到出错原因）

然后我们要做两步，第一步设置响应头Access-Control-Allow-Credentials为true，然后在客户端设置xhr对象的withCredentials属性为true。

客户端代码如下：

$.ajax({
   type: 'put',
   url: 'http://127.0.0.1:3001/put',
   data: {
    name: '黄天浩',
    age: 20
   },
   xhrFields: {
    withCredentials: true
   }
  }).done(data => {
   console.log(data);
  });

服务端如下：

app.use(async (ctx, next) => {
  ctx.set('Access-Control-Allow-Origin', 'http://localhost:3000');
  ctx.set('Access-Control-Allow-Methods', 'PUT,DELETE,POST,GET');
  ctx.set('Access-Control-Allow-Credentials', true);
  await next();
});

这时就可以带着cookie到服务器了，并且服务器也可以对cookie进行改动。但是cookie仍是http://127.0.0.1:3001域名下的cookie，无论怎么操作都在该域名下，无法访问其他域名下的cookie。

现在为止CORS的基本功能已经都提到过了。

一开始我不知道怎么给Access-Control-Allow-Origin，后来经人提醒，发现可以写一个白名单数组，然后每次接到请求时判断origin是否在白名单数组中，然后动态的设置Access-Control-Allow-Origin，代码如下：

app.use(async (ctx, next) => {
 if (ctx.request.header.origin !== ctx.origin && whiteList.includes(ctx.request.header.origin)) {
  ctx.set('Access-Control-Allow-Origin', ctx.request.header.origin);
  ctx.set('Access-Control-Allow-Methods', 'PUT,DELETE,POST,GET');
  ctx.set('Access-Control-Allow-Credentials', true);
  ctx.set('Access-Control-Max-Age', 3600 * 24);
 }
 await next();
});

这样就可以不用*通配符也可匹配多个origin了。

注意：ctx.origin与ctx.request.header.origin不同，ctx.origin是本服务器的域名，ctx.request.header.origin是发送请求的请求头部的origin，二者不要混淆。

最后，我们再稍微调整一下自定义的中间件的结构，防止每次请求都返回Access-Control-Allow-Methods以及Access-Control-Max-Age，这两个响应头其实是没有必要每次都返回的，只是第一次有预检的时候返回就可以了。

调整后顺序如下：

app.use(async (ctx, next) => {
 if (ctx.request.header.origin !== ctx.origin && whiteList.includes(ctx.request.header.origin)) {
  ctx.set('Access-Control-Allow-Origin', ctx.request.header.origin);
  ctx.set('Access-Control-Allow-Credentials', true);
 }
 await next();
});

app.use(async (ctx, next) => {
 if (ctx.method === 'OPTIONS') {
  ctx.set('Access-Control-Allow-Methods', 'PUT,DELETE,POST,GET');
  ctx.set('Access-Control-Max-Age', 3600 * 24);
  ctx.body = '';
 }
 await next();
});

这样就减少了多余的响应头。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

浅谈Koa2框架利用CORS完成跨域ajax请求

- Author -

黄天浩

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐

js获取html参数及向swf传递参数应用介绍

Feb 18 Javascript

jquery实现漂浮在网页右侧的qq在线客服插件示例

May 13 Javascript

javascript获取flash版本号的方法

Nov 20 Javascript

JavaScript的事件代理和委托实例分析

Mar 25 Javascript

使用Raygun对Node.js应用进行错误处理的方法

Jun 23 Javascript

javascript 继承学习心得总结

Mar 17 Javascript

jQuery插件HighCharts绘制2D带Label的折线图效果示例【附demo源码下载】

Mar 08 Javascript

基于HTML5+JS实现本地图片裁剪并上传功能

Mar 24 Javascript

AngularJs实现聊天列表实时刷新功能

Jun 15 Javascript

AngularJS实现的base64编码与解码功能示例

May 17 Javascript

解决Echarts 显示隐藏后宽度高度变小的问题

Jul 19 Javascript

JavaScript 实现页面滚动动画

Apr 24 Javascript

JavaScript基础心法深浅拷贝(浅拷贝和深拷贝)

Mar 05 #Javascript

JavaScript基础心法数据类型

Mar 05 #Javascript

js获取html页面代码中图片地址的实现代码

Mar 05 #Javascript

vue axios 在页面切换时中断请求方法 ajax

Mar 05 #Javascript

node.js通过axios实现网络请求的方法

Mar 05 #Javascript

axios发送post请求springMVC接收不到参数的解决方法

Mar 05 #Javascript

基于vue 添加axios组件,解决post传参数为null的问题

Mar 05 #Javascript

You might like

PHP 数字左侧自动补0

2008/03/31 PHP

php常用Output和ptions/Info函数集介绍

2013/06/19 PHP

thinkPHP使用post方式查询时分页失效的解决方法

2015/12/09 PHP

三个思路解决laravel上传文件报错：413 Request Entity Too Large问题

2017/11/13 PHP

datePicker——日期选择控件（with jquery）

2007/02/20 Javascript

ie 处理 gif动画的onload 事件的一个 bug

2007/04/12 Javascript

javascript中节点的最近的相关节点访问方法

2013/03/20 Javascript

JQuery each打印JS对象的方法

2013/11/13 Javascript

jquery实现个人中心导航菜单效果和美观都非常不错

2014/09/02 Javascript

Jquery中find与each方法用法实例

2015/02/04 Javascript

jQuery实现的点赞随机数字显示动画效果(附在线演示与demo源码下载)

2015/12/31 Javascript

DIV随滚动条滚动而滚动的实现代码【推荐】

2016/04/12 Javascript

Node.js中文件操作模块File System的详细介绍

2017/01/05 Javascript

easy ui datagrid 从编辑框中获取值的方法

2017/02/22 Javascript

从零开始做一个pagination分页组件

2017/03/15 Javascript

微信小程序tabbar不显示解决办法

2017/06/08 Javascript

JS实现简单的选择题测评系统代码思路详解(demo)

2017/09/03 Javascript

Angular实现双向折叠列表组件的示例代码

2017/11/21 Javascript

基于layui的table插件进行复选框联动功能的实现方法

2019/09/19 Javascript

JS中锚点链接点击平滑滚动并自由调整到顶部位置

2021/02/06 Javascript

[02:50]2014DOTA2 TI预选赛预选赛大神专访第一弹!

2014/05/21 DOTA

[01:11:02]Secret vs Newbee 2019国际邀请赛小组赛 BO2 第一场 8.15

2019/08/17 DOTA

python通过自定义isnumber函数判断字符串是否为数字的方法

2015/04/23 Python

详解python基础之while循环及if判断

2017/08/24 Python

Python绘制3d螺旋曲线图实例代码

2017/12/20 Python

Tensorflow的常用矩阵生成方式

2020/01/04 Python

localStorage的过期时间设置的方法详解

2018/11/26 HTML / CSS

英国领先的高街书籍专家：Waterstones

2018/02/01 全球购物

巴西购物网站：Estrela10

2018/12/13 全球购物

幼儿园课题实施方案

2014/05/14 职场文书

2014乡镇党政班子四风问题思想汇报

2014/09/14 职场文书

县政府领导班子四风问题对照检查材料思想汇报

2014/09/26 职场文书

破坏寝室公物检讨书

2014/11/17 职场文书

2015年预算员工作总结

2015/05/14 职场文书

goland 恢复已更改文件的操作

2021/04/28 Golang

Python趣味爬虫之用Python实现智慧校园一键评教

2021/05/28 Python