MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

Node.js HTTP 服务的跨域问题解决方案

2021-03-254.9k 阅读

一、跨域问题的基本概念

1.1 什么是跨域

在前端开发中,当一个网页的 JavaScript 代码试图访问另一个不同源的资源时,就会出现跨域问题。这里的“源”指的是协议、域名和端口号的组合。例如,http://example.com:80https://example.com:443 是不同的源,因为协议不同;http://example.comhttp://sub.example.com 也是不同的源,因为域名不同(即使它们属于同一个顶级域名);http://example.com:80http://example.com:81 同样是不同的源,因为端口号不同。

浏览器的同源策略(Same-Origin Policy)是一种安全机制,它限制了从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这一策略旨在防止恶意网站窃取用户数据,比如一个恶意网站可能试图通过 JavaScript 访问用户在银行网站上的信息。

1.2 跨域的常见场景

  1. 不同域名之间的跨域:例如,前端代码运行在 http://site1.com 上,而要请求的数据接口在 http://site2.com 上。这是最常见的跨域场景,比如许多公司会将前端和后端部署在不同的域名下,以实现更好的架构分离和资源管理。
  2. 不同端口之间的跨域:假设前端运行在 http://example.com:8080,而后端 API 服务运行在 http://example.com:3000,由于端口号不同,也会产生跨域问题。这种情况在开发过程中较为常见,例如前端使用一个本地开发服务器(如 Vue CLI 的默认端口 8080),而后端使用自己特定的端口进行开发调试。
  3. 不同协议之间的跨域:比如前端在 http://example.com 页面,要请求 https://api.example.com 的接口,由于 httphttps 协议不同,会触发跨域限制。随着 HTTPS 的普及,这种跨域场景也逐渐增多,许多网站为了提高安全性,将 API 服务迁移到了 HTTPS 协议,但前端页面可能由于各种原因仍暂未完全迁移。

二、Node.js HTTP 服务中的跨域问题

2.1 Node.js 作为 HTTP 服务器

Node.js 内置了强大的 HTTP 模块,可以方便地搭建 HTTP 服务器。通过 http.createServer() 方法,我们可以创建一个简单的 HTTP 服务器,例如:

const http = require('http');

const server = http.createServer((req, res) => {
    res.writeHead(200, {'Content-Type': 'text/plain'});
    res.end('Hello, World!');
});

const port = 3000;
server.listen(port, () => {
    console.log(`Server running on port ${port}`);
});

上述代码创建了一个简单的 Node.js HTTP 服务器,监听在 3000 端口上,当有请求到达时,会返回“Hello, World!”。

2.2 跨域问题在 Node.js HTTP 服务中的体现

当我们使用 Node.js 搭建的 HTTP 服务器作为后端 API 服务,而前端页面来自不同的源时,跨域问题就会出现。例如,前端页面在 http://localhost:8080 运行,向 http://localhost:3000(Node.js 服务器)发送 AJAX 请求,浏览器会阻止该请求,并在控制台报错,提示跨域问题。这是因为浏览器遵循同源策略,而 Node.js 服务器默认并没有处理跨域请求的机制。

三、Node.js HTTP 服务跨域问题的解决方案

3.1 使用 CORS(Cross - Origin Resource Sharing)

  1. CORS 简介:CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,允许网页从不同的源请求资源。通过在服务器端设置适当的 CORS 头,浏览器就会允许跨域请求。
  2. 在 Node.js 中实现 CORS
    • 手动设置 CORS 头:在 Node.js 的 HTTP 服务器响应中手动设置 CORS 相关的头信息。以下是一个示例:
const http = require('http');

const server = http.createServer((req, res) => {
    // 设置 CORS 头
    res.setHeader('Access - Control - Allow - Origin', '*');
    res.setHeader('Access - Control - Allow - Methods', 'GET, POST, PUT, DELETE, OPTIONS');
    res.setHeader('Access - Control - Allow - Headers', 'Content - Type, Authorization');

    if (req.method === 'OPTIONS') {
        res.writeHead(200);
        res.end();
        return;
    }

    res.writeHead(200, {'Content - Type': 'text/plain'});
    res.end('Hello, World!');
});

const port = 3000;
server.listen(port, () => {
    console.log(`Server running on port ${port}`);
});

在上述代码中,Access - Control - Allow - Origin 设置为 *,表示允许任何源访问该资源。Access - Control - Allow - Methods 列出了允许的 HTTP 方法,Access - Control - Allow - Headers 列出了允许的请求头。对于预检请求(通常是 OPTIONS 方法),服务器需要单独处理并返回正确的响应。 - 使用 cors 中间件cors 是一个流行的 Node.js 中间件,用于处理 CORS 问题。首先,需要安装 cors 包:

npm install cors

然后,在 Node.js 服务器中使用它:

const http = require('http');
const cors = require('cors');

const app = http.createServer();
app.use(cors());

app.on('request', (req, res) => {
    res.writeHead(200, {'Content - Type': 'text/plain'});
    res.end('Hello, World!');
});

const port = 3000;
app.listen(port, () => {
    console.log(`Server running on port ${port}`);
});

cors 中间件提供了更便捷的方式来处理 CORS,它有许多可配置的选项。例如,可以根据不同的源进行不同的配置:

const http = require('http');
const cors = require('cors');

const whitelist = ['http://localhost:8080', 'http://example.com'];
const corsOptions = {
    origin: function (origin, callback) {
        if (whitelist.indexOf(origin)!== -1 ||!origin) {
            callback(null, true);
        } else {
            callback(new Error('Not allowed by CORS'));
        }
    }
};

const app = http.createServer();
app.use(cors(corsOptions));

app.on('request', (req, res) => {
    res.writeHead(200, {'Content - Type': 'text/plain'});
    res.end('Hello, World!');
});

const port = 3000;
app.listen(port, () => {
    console.log(`Server running on port ${port}`);
});

在上述代码中,corsOptions 配置了允许的源列表,只有在 whitelist 中的源或者没有 origin 头(如在一些测试环境中)的请求才会被允许。

3.2 JSONP(JSON with Padding)

  1. JSONP 原理:JSONP 利用了 <script> 标签没有跨域限制的特性。它通过动态创建一个 <script> 标签,将请求的数据以函数调用的形式返回。前端页面需要定义一个回调函数,服务器返回的数据就是这个回调函数的调用,其中包含了需要的数据。
  2. 在 Node.js 中实现 JSONP:以下是一个简单的示例,假设前端页面有如下代码:
<!DOCTYPE html>
<html>

<head>
    <meta charset="UTF - 8">
    <title>JSONP Example</title>
</head>

<body>
    <script>
        function handleResponse(data) {
            console.log(data);
        }
    </script>
    <script src="http://localhost:3000/api?callback=handleResponse"></script>
</body>

</html>

在 Node.js 服务器端,代码如下:

const http = require('http');
const url = require('url');

const server = http.createServer((req, res) => {
    const query = url.parse(req.url, true).query;
    const callback = query.callback;
    const data = { message: 'Hello from server' };

    res.writeHead(200, {'Content - Type': 'application/javascript'});
    res.end(`${callback}(${JSON.stringify(data)})`);
});

const port = 3000;
server.listen(port, () => {
    console.log(`Server running on port ${port}`);
});

在上述代码中,服务器获取请求中的 callback 参数,将数据以回调函数调用的形式返回。前端定义的 handleResponse 函数就会被调用,并传入服务器返回的数据。

3.3 代理服务器

  1. 代理服务器原理:代理服务器位于前端和后端服务器之间,前端向代理服务器发送请求,代理服务器再将请求转发到实际的后端服务器,并将后端服务器的响应返回给前端。由于前端和代理服务器在同一源(通常可以这样配置),所以不存在跨域问题。
  2. 在 Node.js 中实现代理服务器:可以使用 http - proxy - middleware 中间件来实现代理。首先,安装该中间件:
npm install http - proxy - middleware

假设我们有一个前端运行在 http://localhost:8080,后端 API 服务在 http://localhost:3001,我们可以在 Node.js 中创建一个代理服务器:

const http = require('http');
const { createProxyMiddleware } = require('http - proxy - middleware');

const proxy = createProxyMiddleware('/api', {
    target: 'http://localhost:3001',
    changeOrigin: true
});

const server = http.createServer((req, res) => {
    if (req.url.startsWith('/api')) {
        proxy(req, res);
    } else {
        res.writeHead(200, {'Content - Type': 'text/plain'});
        res.end('This is the proxy server.');
    }
});

const port = 3000;
server.listen(port, () => {
    console.log(`Proxy server running on port ${port}`);
});

在上述代码中,http - proxy - middleware 将以 /api 开头的请求转发到 http://localhost:3001changeOrigin 设置为 true 是为了在转发请求时修改 Origin 头,使其看起来像是来自代理服务器。前端只需要将请求发送到代理服务器的 /api 路径,代理服务器会负责处理跨域问题并将响应返回。

3.4 WebSocket 实现跨域通信

  1. WebSocket 简介:WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议。它不受同源策略的限制,因此可以用于跨域通信。
  2. 在 Node.js 中使用 WebSocket 实现跨域:首先,安装 ws 包,这是一个流行的 WebSocket 库:
npm install ws

以下是一个简单的 Node.js WebSocket 服务器示例:

const WebSocket = require('ws');

const wss = new WebSocket.Server({ port: 8081 });

wss.on('connection', (ws) => {
    ws.send('Hello, client!');

    ws.on('message', (message) => {
        console.log('Received message:', message);
        ws.send('Message received by server.');
    });

    ws.on('close', () => {
        console.log('Connection closed');
    });

    ws.on('error', (error) => {
        console.log('Error:', error);
    });
});

在前端页面,可以这样连接 WebSocket 服务器:

<!DOCTYPE html>
<html>

<head>
    <meta charset="UTF - 8">
    <title>WebSocket Example</title>
</head>

<body>
    <script>
        const socket = new WebSocket('ws://localhost:8081');

        socket.onopen = function () {
            console.log('Connected to server');
        };

        socket.onmessage = function (event) {
            console.log('Received from server:', event.data);
        };

        socket.onclose = function () {
            console.log('Connection closed');
        };

        socket.onerror = function (error) {
            console.log('Error:', error);
        };

        // 发送消息
        socket.send('Hello, server!');
    </script>
</body>

</html>

通过 WebSocket,前端和后端可以进行跨域的实时通信,不受浏览器同源策略的限制。这种方式适用于需要实时交互的场景,如聊天应用、实时数据推送等。

四、不同解决方案的优缺点及适用场景

4.1 CORS 的优缺点及适用场景

  1. 优点
    • 标准规范:CORS 是 W3C 标准,被现代浏览器广泛支持,是解决跨域问题的主流方案。
    • 安全性高:可以精确控制允许的源、方法和请求头,通过设置 Access - Control - Allow - Origin 等头信息,可以只允许特定的源访问,提高了安全性。
    • 兼容性好:无论是简单请求还是复杂请求(如包含自定义头的 POST 请求),CORS 都能很好地处理。
  2. 缺点
    • 需要服务器配置:CORS 需要在服务器端进行配置,如果服务器端没有正确配置 CORS 头,跨域请求将无法成功。这对于一些无法修改服务器配置的场景(如使用第三方 API 且对方未配置 CORS)不太适用。
    • 预检请求开销:对于复杂请求,浏览器会先发送一个预检请求(OPTIONS 方法),以确认服务器是否允许该实际请求。这会增加额外的网络开销,影响性能,特别是在频繁请求的场景下。
  3. 适用场景:适用于大多数前后端分离的项目,当我们能够控制服务器端配置时,CORS 是一个很好的选择。例如,公司内部的项目,前后端团队可以协同工作,在后端服务器上正确配置 CORS 头。

4.2 JSONP 的优缺点及适用场景

  1. 优点
    • 兼容性好:JSONP 利用 <script> 标签的特性,几乎所有浏览器都支持,兼容性非常好,即使在一些较老的浏览器中也能正常工作。
    • 简单易用:在服务器端和客户端的实现都相对简单,服务器只需要将数据以回调函数调用的形式返回,客户端定义好回调函数即可。
  2. 缺点
    • 只支持 GET 方法:由于 JSONP 是通过 <script> 标签加载数据,而 <script> 标签只能发起 GET 请求,所以 JSONP 不支持 POST、PUT 等其他 HTTP 方法,这在需要进行数据修改等操作时受到很大限制。
    • 安全性问题:如果服务器返回的数据被篡改,可能会导致恶意代码执行,因为 JSONP 是直接将返回的数据作为 JavaScript 代码执行的。此外,如果在一个页面中使用多个 JSONP 请求,可能会存在函数名冲突的问题。
  3. 适用场景:适用于一些简单的数据获取场景,特别是在需要兼容较老浏览器,且只需要进行 GET 请求获取数据的情况下。例如,在一些展示类的网页中获取第三方数据,如天气数据、新闻数据等。

4.3 代理服务器的优缺点及适用场景

  1. 优点
    • 前端透明:对于前端开发者来说,不需要额外处理跨域逻辑,只需要像请求同域资源一样请求代理服务器即可,降低了前端开发的复杂度。
    • 灵活配置:可以在代理服务器上进行各种请求的处理和转发规则配置,例如可以根据不同的请求路径转发到不同的后端服务器,还可以对请求和响应进行一些中间处理,如日志记录、请求头修改等。
  2. 缺点
    • 增加服务器部署和维护成本:需要额外部署代理服务器,增加了服务器的数量和维护成本。如果代理服务器出现故障,可能会影响整个系统的正常运行。
    • 性能问题:代理服务器在转发请求和响应时会有一定的性能开销,特别是在高并发场景下,如果代理服务器性能不足,可能会成为系统的瓶颈。
  3. 适用场景:适用于前后端同属一个团队维护,且对性能和安全性要求较高的项目。例如,大型企业级应用,通过部署代理服务器可以更好地管理和控制前后端的通信,同时也能保证安全性和性能优化。

4.4 WebSocket 的优缺点及适用场景

  1. 优点
    • 全双工通信:WebSocket 支持双向实时通信,非常适合需要实时交互的场景,如聊天应用、实时数据监控等。
    • 不受同源策略限制:可以方便地实现跨域通信,无需像 CORS 那样在服务器端进行复杂的配置。
  2. 缺点
    • 协议差异:WebSocket 使用的是不同于 HTTP 的协议,在一些环境中可能需要额外的配置或处理。例如,在一些网络代理或防火墙环境中,可能需要特殊配置才能正常通过。
    • 学习成本:相较于传统的 HTTP 请求,WebSocket 的使用方式和编程模型有较大差异,开发者需要学习新的 API 和概念,增加了一定的学习成本。
  3. 适用场景:适用于实时性要求高的应用场景,如在线游戏、股票行情实时显示、协同办公等。在这些场景中,需要及时地将数据推送给客户端或从客户端获取最新数据,WebSocket 提供了高效的解决方案。

五、总结与选择建议

在 Node.js HTTP 服务开发中,解决跨域问题有多种方案,每种方案都有其优缺点和适用场景。CORS 作为标准规范,适用于大多数可控的前后端分离项目;JSONP 适合简单的数据获取且需要兼容老浏览器的场景;代理服务器适用于对安全性和性能要求较高且前后端协同维护的项目;WebSocket 则专注于实时通信场景。

在实际项目中,我们应根据项目的具体需求、浏览器兼容性要求、安全性要求以及性能等多方面因素综合考虑,选择最合适的跨域解决方案。同时,也可以根据不同的业务场景在项目中组合使用多种方案,以达到最优的效果。例如,对于一些简单的数据展示接口可以使用 JSONP 来兼容老浏览器,而对于核心的业务接口则使用 CORS 来保证安全性和兼容性。在实时通信部分,采用 WebSocket 实现高效的实时交互。通过合理选择和组合这些跨域解决方案,我们能够构建出更加健壮、高效且兼容的前端应用与 Node.js HTTP 服务。