目前客户端向服务端数据请求的交互方式有 **ajax,axios,fetch,**那么接下来咱们仔细说一下他们的有点和缺点
1. ajax
ajax是XMLHttpRequest(XHR),最早的发送后端请求的技术,多个请求之间如果有先后关系的话,就会出现回调地狱。
用法:
$.ajax({
type: 'POST',url: url,data: data,dataType: dataType,success: function () {
},error: function () {
}
});
那么这里会引入两个概念 CSRF(跨站请求伪造),XSS(跨站脚本攻击)
CSRF(跨站请求伪造)
解决方案:
1. 验证http Referer字段
2. 在请求地址中添加 token 并验证
3. CSRF攻击是有条件的,当用户访问恶意链接时,认证的cookie仍然有效,所以当用户关闭页面时要及时清除认证cookie
4. 通过图形验证码
XSS(跨站脚本攻击)
是一种代码注入攻击,攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
解决方案:
- 将能被转换为html的输入内容,在写代码时改为innerText而不用innerHTML。(过滤用户输入的 检查用户输入的内容中是否有非法内容)
- 表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码
function safeStr(str){
return str.replace(/</g,'<').replace(/>/g,'>').replace(/"/g, """).replace(/'/g, "'");}
ajax 优缺点
- 本身是针对MVC的编程,不符合现在前端MVVM的浪潮。
- 基于原生的XHR开发,XHR本身的架构不清晰,已经有了fetch的替代方案。
- JQuery整个项目太大,单纯使用ajax却要引入整个JQuery非常的不合理(采取个性化打包的方案又不能享受CDN服务)。
- 如果有请求的顺序,会造成回调地狱
2. axios
基于XMLHttpRequest + promise 实现的。
用法:
axios({
method: 'post',url: '/user/12345',data: {
firstName: 'Fred',lastName: 'Flintstone'}
})
.then(function (response) {
console.log(response);
})
.catch(function (error) {
console.log(error);
});
axios优缺点
- 从 node.js 创建 http 请求
- 支持 Promise API
- 提供了一些并发请求的接口,很方便
- 在浏览器中创建 XMLHttpRequests
- 支持拦截请求和响应
- 转换请求和响应数据也可以取消请求
- 自动转换 JSON 数据。
- 客户端支持防止CSRF
3.fetch
fetch号称是AJAX的替代品,是在ES6出现的,使用了ES6中的promise对象。Fetch是基于promise设计的。Fetch的代码结构比起ajax简单多了,参数有点像jQuery
ajax。但是,一定记住fetch不是ajax的进一步封装,而是原生js,没有使用XMLHttpRequest对象。
用法:
try {
let response = await fetch(url);let data = response.json();console.log(data);
} catch(e) {
console.log("Oops, error", e);
}
fetch 优缺点
- 符合关注分离,没有将输入、输出和用事件来跟踪的状态混杂在一个对象里
- 更好更方便的写法
- 更加底层,提供的API丰富(request, response)
- 脱离了XHR,是ES规范里新的实现方式
- fetchtch只对网络请求报错,对400,500都当做成功的请求,需要封装去处理
- fetch默认不会带cookie,需要添加配置项
- fetch不支持abort,不支持超时控制,使用setTimeout及Promise.reject的实现的超时控制并不能阻
- 请求过程继续在后台运行,造成了量的浪费
- fetch没有办法原生监测请求的进度,而XHR可以。