CORS - 通过允许服务器上的 Origin 实现无需 JSONP 的跨域 AJAX

服务器

跨域资源共享（CORS）是一种用于在浏览器中处理跨域请求的标准机制。通过允许服务器上的特定来源（Origin），我们可以实现在不使用JSONP的情况下进行跨域的Ajax请求。这种方法使得客户端可以从不同域的服务器上请求数据，而不受同源策略的限制。在本文中，我们将深入探讨CORS的原理，并提供一个简单的案例代码来演示如何在服务器端实现CORS，以实现无需JSONP的跨域Ajax。

1. CORS原理

CORS的核心思想是通过在HTTP响应头中添加一些特殊的字段，来告知浏览器哪些来源是被允许的。这些字段包括Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等。其中，Access-Control-Allow-Origin是最常见的字段，用于指定允许访问资源的来源。

在服务器端配置CORS时，我们可以通过设置Access-Control-Allow-Origin的值为特定的域名，或者使用通配符*表示允许所有来源。这样一来，浏览器就能够知道是否允许发起跨域请求。

2. 服务器端配置CORS

下面是一个使用Node.JS和Express框架实现CORS的简单示例代码：

Javascript
const express = require('express');
const app = express();
// 允许所有来源访问
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
});
// 其他路由和中间件的定义...
const PORT = 3000;
app.listen(PORT, () => {
  console.log(<code>Server is running on port ${PORT}</code>);
});

在上述代码中，通过设置Access-Control-Allow-Origin为*，我们允许任何域的请求访问资源。如果你希望限制只有特定域名可以访问，可以将*替换为相应的域名。

3. 案例代码

现在，让我们看一个简单的前端案例代码，使用XMLHttpRequest来进行跨域Ajax请求：

html
<!DOCTYPE html>
<html lang="en">
<head>
  <Meta charset="UTF-8">
  <Meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>CORS跨域请求</title>
</head>
<body>
  <h1>通过CORS实现跨域Ajax</h1>
  <button onclick="fetchData()">获取数据</button>
  <div id="result"></div>
  <script>
    function fetchData() {
      const xhr = new XMLHttpRequest();
      xhr.open('GET', 'http://example.com/api/data', true);
      xhr.onreadystatechange = function () {
        if (xhr.readyState === 4 && xhr.status === 200) {
          document.getElementById('result').innerHTML = xhr.responseText;
        }
      };
      xhr.send();
    }
  </script>
</body>
</html>

在这个案例中，我们通过XMLHttpRequest对象向http://example.com/api/data发起GET请求，从而跨域获取数据。在服务器端配置了CORS的情况下，浏览器会允许这个跨域请求，并在响应中将数据返回给前端。

通过这个简单的案例，我们展示了如何通过配置CORS来实现无需JSONP的跨域Ajax请求。希望本文对理解CORS以及跨域请求有所帮助。