Menu
Woocommerce Menu

跨域访问和防盗链基本原理,拖拽异步上传实现

0 Comment


跨域访问和防盗链基本原理(二)

2015/10/18 · HTML5 ·
跨域,
防盗链

原文出处: 童燕群
(@童燕群)   

WebSocket 教程

2017/05/15 · 基础技术 ·
websocket

原文出处:
阮一峰   

WebSocket
是一种网络通信协议,很多高级功能都需要它。

本文介绍 WebSocket 协议的使用方法。

图片 1

File杂谈——拖拽异步上传实现

2015/07/25 · HTML5 ·
异步上传

原文出处: 百码山庄   

在前一篇文章《File杂谈——拖拽上传前传》中我制作了一个静态的拖拽上传界面,拖拽文件到显示区域释放,可以显示拖入文件的基本信息。本文将在此基础上进一步加工,打造一个完整的拖拽上传示例。

二、跨域访问基本原理

在上一篇,介绍了盗链的基本原理和防盗链的解决方案。这里更深入分析一下跨域访问。先看看跨域访问的相关原理:跨网站指令码。维基上面给出了跨站访问的危害性。从这里可以整理出跨站访问的定义:JS脚本在浏览器端发起的请求其他域(名)下的网站数据的HTTP请求。

这里要与referer区分开,referer是浏览器的行为,所有浏览器发出的请求都不会存在安全风险。而由网页加载的脚本发起请求则会不可控,甚至可以截获用户数据传输到其他站点。referer方式拉取其他网站的数据也是跨域,但是这个是由浏览器请求整个资源,资源请求到后,客户端的脚本并不能操纵这份数据,只能用来呈现。但是很多时候,我们都需要发起请求到其他站点动态获取数据,并将获取到底数据进行进一步的处理,这也就是跨域访问的需求。

 

现在从技术上有几个方案去解决这个问题。

一、为什么需要 WebSocket?

初次接触 WebSocket 的人,都会问同样的问题:我们已经有了 HTTP
协议,为什么还需要另一个协议?它能带来什么好处?

答案很简单,因为 HTTP 协议有一个缺陷:通信只能由客户端发起。

举例来说,我们想了解今天的天气,只能是客户端向服务器发出请求,服务器返回查询结果。HTTP
协议做不到服务器主动向客户端推送信息。

图片 2

这种单向请求的特点,注定了如果服务器有连续的状态变化,客户端要获知就非常麻烦。我们只能使用“轮询”:每隔一段时候,就发出一个询问,了解服务器有没有新的信息。最典型的场景就是聊天室。

轮询的效率低,非常浪费资源(因为必须不停连接,或者 HTTP
连接始终打开)。因此,工程师们一直在思考,有没有更好的方法。WebSocket
就是这样发明的。

示例说明

点击区域选择文件或直接将文件拖入区域,触发文件上传功能,文件将异步发送到服务器。待服务端处理完成后返回基本信息,在页面中显示。由于服务器容量问题,本示例未做文件保存处理,只是简单的将文件基本信息返回,文件上传的后端具体处理逻辑需要自行补充。

1、JSONP跨域访问

利用浏览器的Referer方式加载脚本到客户端的方式。以:

<script type=”text/javascript”
src=”;

1
<script type="text/javascript" src="http://api.com/jsexample.js"></script>

这种方式获取并加载其他站点的JS脚本是被允许的,加载过来的脚本中如果有定义的函数或者接口,可以在本地使用,这也是我们用得最多的脚本加载方式。但是这个加载到本地脚本是不能被修改和处理的,只能是引用。

而跨域访问需要正是访问远端抓取到的数据。那么能否反过来,本地写好一个数据处理函数,让请求服务端帮助完成调用过程?JS脚本允许这样。

<script type=”text/javascript”> var localHandler = function(data)
{
alert(‘我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:’

  • data.result); }; </script> <script type=”text/javascript”
    src=”;
1
2
3
4
5
6
7
<script type="text/javascript">
var localHandler = function(data)
{
    alert(‘我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:’ + data.result);
};
</script>
<script type="text/javascript" src="http://remoteserver.com/remote.js"></script>

远端的服务器上面定义的remote.js是这样的:

JavaScript

localHandler({“result”:”我是远程js带来的数据”});

1
localHandler({"result":"我是远程js带来的数据"});

上面首先在本地定义了一个函数localHandler,然后远端返回的JS的内容是调用这个函数,返回到浏览器端执行。同时在JS内容中将客户端需要的数据返回,这样数据就被传输到了浏览器端,浏览器端只需要修改处理方法即可。这里有一些限制:1、客户端脚本和服务端需要一些配合;2、调用的数据必须是json格式的,否则客户端脚本无法处理;3、只能给被引用的服务端网址发送get请求。

<script type=”text/javascript”> var localHandler = function(data)
{
alert(‘我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:’

  • data.result); }; </script> <script type=”text/javascript”
    src=”;
1
2
3
4
5
6
7
<script type="text/javascript">
var localHandler = function(data)
{
    alert(‘我是本地函数,可以被跨域的remote.js文件调用,远程js带来的数据是:’ + data.result);
};
</script>
<script type="text/javascript" src="http://remoteserver.com/remote.php?callBack=localHandler"></script>

服务端的PHP函数可能是这样的:

PHP

<?php $data = “…….”; $callback = $_GET[‘callback’]; echo
$callback.'(‘.json_encode($data).’)’; exit; ?>

1
2
3
4
5
6
7
8
<?php
 
$data = "…….";
$callback = $_GET[‘callback’];
echo $callback.'(‘.json_encode($data).’)’;
exit;
 
?>

这样即可根据客户端指定的回调拼装调用过程。

二、简介

WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。

它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于服务器推送技术的一种。

图片 3

其他特点包括:

(1)建立在 TCP 协议之上,服务器端的实现比较容易。

(2)与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用
HTTP 协议,因此不容易屏蔽,能通过各种 HTTP 代理服务器。

(3)数据格式比较轻量,性能开销小,通信高效。

(4)可以发送文本,也可以发送二进制数据。

(5)没有同源限制,客户端可以与任意服务器通信。

(6)协议标识符是ws(如果加密,则为wss),服务器网址就是 URL。

ws://example.com:80/some/path

1
2
ws://example.com:80/some/path
 

图片 4

新的小伙伴FormData

我们知道,传统的文件上传如果要实现异步的效果,我们会使用iframe去模拟,或使用flash上传插件。但是今天,我们又认识了一位新成员——FromData,它可以通过js创建表单对象,并可以向该对象中添加表单数据(字符串、数字、文件等)。再结合我们熟悉的XMLHttpRequest对象,将表单数据异步提交到服务端,这样我们的问题就解决了。

下面,我们来看下核心代码:

JavaScript

function uploadFile(fs) { var len = fs.length; for (var i = 0; i <
len; i++) { sendFile(fs[i]); } } function sendFile(file) { var xhr =
new XMLHttpRequest(), fd = new FormData(); fd.append(‘file’, file);
xhr.onreadystatechange = function() { if (xhr.readyState == 4 &&
xhr.status == 200) { // 将服务端返回信息输出到日志区(考虑多文件情况)
consoleDiv.innerHTML += ‘<br>’ + xhr.responseText; } };
xhr.open(‘POST’, ‘./upload.php’); xhr.send(fd); } //
文件控件发生变化时,调用uploadFile函数,触发上传功能 file.onchange =
function() { uploadFile(this.files); }; //
在区域内释放拖入文件时,调用文件上传函数 area.ondrop = function(ev) {
ev.preventDefault(); var dt = ev.dataTransfer; uploadFile(dt.files); };

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
function uploadFile(fs) {
    var len = fs.length;
    for (var i = 0; i < len; i++) {
        sendFile(fs[i]);
    }
}
function sendFile(file) {
    var xhr = new XMLHttpRequest(),
        fd = new FormData();
    fd.append(‘file’, file);
    xhr.onreadystatechange = function() {
        if (xhr.readyState == 4 && xhr.status == 200) {
            // 将服务端返回信息输出到日志区(考虑多文件情况)
            consoleDiv.innerHTML += ‘<br>’ + xhr.responseText;
        }
    };
    xhr.open(‘POST’, ‘./upload.php’);
    xhr.send(fd);
}
// 文件控件发生变化时,调用uploadFile函数,触发上传功能
file.onchange = function() {
    uploadFile(this.files);
};
// 在区域内释放拖入文件时,调用文件上传函数
area.ondrop = function(ev) {
    ev.preventDefault();
    var dt = ev.dataTransfer;
    uploadFile(dt.files);
};

代码很简单,不再做过多阐述。但是这里我想发表一点个人意见:根据示例我们不难发现有这么一个问题——如果用户都使用拖拽上传功能,而不使用点击触发File控件选择文件上传,那么File控件完全没有存在的必要。联系上文中我提到的File控件的地位受到威胁这一观点,我大胆的设想,假如未来的某一项标准中给每个HTMLElement暴露一个选择文件的功能接口,那么拖拽和点选功能将可以集于一个元素之上,到那时File控件的地位恐怕不仅仅是受到威胁,很有可能退出历史舞台!出于File控件视觉效果和交互不统一的角度去考虑,我觉得以上推测还是有可能的,哈哈~~

虽然示例并未在后端做太多工作,我这里还是以PHP为例,说明一下后端该如何工作。单从示例而言,我的代码是这样的:

PHP

$file = $_FILES[‘file’]; echo json_encode($file);

1
2
$file = $_FILES[‘file’];
echo json_encode($file);

可以说是非常简单了。而我们在实际应用中往往还会涉及更多更复杂的处理逻辑。最起码的我们应该要将tmp_name对应的临时文件移动到我们指定的上传目录吧。当然,这一过程我们就会对文件类型进行判断,大小限制,重命名,数据保存,等等。基本代码:

PHP

$file = $_FILES[‘file’]; $path = ‘./upload’; if ($file[‘size’] >
2000000) { echo ‘{“error”: “1000”, “message”:
“上传文件大小超限,不能超过xxM”}’; } $path .= ‘/file_’ . time() .
‘.png’; // 这里还可能会存在文件数据保存,新旧名称关联等逻辑
move_uploaded_file($file[‘tmp_name’], $path);

1
2
3
4
5
6
7
8
$file = $_FILES[‘file’];
$path = ‘./upload’;
if ($file[‘size’] > 2000000) {
    echo ‘{"error": "1000", "message": "上传文件大小超限,不能超过xxM"}’;
}
$path .= ‘/file_’ . time() . ‘.png’;
// 这里还可能会存在文件数据保存,新旧名称关联等逻辑
move_uploaded_file($file[‘tmp_name’], $path);

2、CORS(Cross-origin resource sharing)跨域访问

上述的JSONP由于有诸多限制,已经无法满足各种灵活的跨域访问请求。现在浏览器支持一种新的跨域访问机制,基于服务端控制访问权限的方式。简而言之,浏览器不再一味禁止跨域访问,而是需要检查目的站点返回的消息的头域,要检查该响应是否允许当前站点访问。通过HTTP头域的方式来通知浏览器:

JavaScript

Response headers[edit] Access-Control-Allow-Origin
Access-Control-Allow-Credentials Access-Control-Expose-Headers
Access-Control-Max-Age Access-Control-Allow-Methods
Access-Control-Allow-Headers

1
2
3
4
5
6
7
Response headers[edit]
Access-Control-Allow-Origin
Access-Control-Allow-Credentials
Access-Control-Expose-Headers
Access-Control-Max-Age
Access-Control-Allow-Methods
Access-Control-Allow-Headers

服务端利用这几个HTTP头域通知浏览器该资源的访问权限信息。在访问资源前,浏览器会先发出OPTIONS请求,获取这些权限信息,并比对当前站点的脚本是否有权限,然后再将实际的脚本的数据请求发出。发现权限不允许,则不会发出请求。逻辑流程图为:

图片 5

浏览器也可以直接将GET请求发出,数据和权限同时到达浏览器端,但是数据是否交给脚本处理需要浏览器检查权限对比后作出决定。

一次具体的跨域访问的流程为:

图片 6

因此权限控制交给了服务端,服务端一般也会提供对资源的CORS的配置。

跨域访问还有其他几种方式:本站服务端代理、跨子域时使用修改域标识等方法,但是应用场景的限制更多。目前绝大多数的跨域访问都由JSONP和CORS这两类方式组成。

1 赞 1 收藏
评论

图片 7

三、客户端的简单示例

WebSocket 的用法相当简单。

下面是一个网页脚本的例子(点击这里看运行结果),基本上一眼就能明白。

var ws = new WebSocket(“wss://echo.websocket.org”); ws.onopen =
function(evt) { console.log(“Connection open …”); ws.send(“Hello
WebSockets!”); }; ws.onmessage = function(evt) { console.log( “Received
Message: ” + evt.data); ws.close(); }; ws.onclose = function(evt) {
console.log(“Connection closed.”); };

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
var ws = new WebSocket("wss://echo.websocket.org");
 
ws.onopen = function(evt) {
  console.log("Connection open …");
  ws.send("Hello WebSockets!");
};
 
ws.onmessage = function(evt) {
  console.log( "Received Message: " + evt.data);
  ws.close();
};
 
ws.onclose = function(evt) {
  console.log("Connection closed.");
};      
 

一个神奇的方法sendAsBinary

前面我们聊到的使用FormData来实现文件异步上传,在高级浏览器中都能正常运作,没有太大问题。接下来我们另外一个在Firefox实现异步上传的方法。这个方法,我们又会交到一个新的朋友——FireReader。FileReader是HTML5新增的一个对象,它可以访问用户本地文件,并且可以以不同格式读取文件内容。

四、客户端的 API

WebSocket 客户端的 API 如下。

FileReader基本使用

首先我们来看一下如何创建一个FileReader实例对象,以及它拥有哪些实例方法。在js中创建一个FileReader对象很简单:

JavaScript

var reader = new FileReader();

1
var reader = new FileReader();

我们可以通过reader对象访问本地文件,那么reader对象拥有哪些我们常用的属性、事件和方法呢?请看以下列表:

4.1 WebSocket 构造函数

WebSocket 对象作为一个构造函数,用于新建 WebSocket 实例。

var ws = new WebSocket(‘ws://localhost:8080’);

1
2
var ws = new WebSocket(‘ws://localhost:8080’);
 

执行上面语句之后,客户端就会与服务器进行连接。

实例对象的所有属性和方法清单,参见这里。

事件

  • onload :文件成功读完时触发
  • onloadend :文件读完时触发,无论成功与否
  • onloadstart :开始读取文件时触发
  • onprogress :文件读取中,常用于获取读取进度
  • onabort :文件读取操作中断
  • onerror :文件读取出错
标签:,

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图