-
深入理解 Axios
Axios 是一个基于 Promise 的 HTTP 客户端,同时支持浏览器和 Node.js 环境。拥有以下特性:
- 支持 Promise API;
- 能够拦截请求和响应;
- 能够转换请求和响应数据;
- 客户端支持防御 CSRF 攻击;
- 同时支持浏览器和 Node.js 环境;
- 能够取消请求及自动转换 JSON 数据。
HTTP 拦截器
Axios 提供了请求拦截器和响应拦截器来分别处理请求和响应,它们的作用如下:
- 请求拦截器:在请求发送前统一执行某些操作,比如在请求头中添加 token 字段。
- 响应拦截器:在接收到服务器响应后统一执行某些操作,比如发现响应状态码为 401 时,自动跳转到登录页。
Axios 拦截器完整的使用流程:
- /** 添加请求拦截器 —— 处理请求配置对象 */
- axios.interceptors.request.use(function (config) {
- config.headers.token = 'added by interceptor';
- return config;
- }, function (error) {
- /** 对请求错误做些什么 */
- return Promise.reject(error);
- });
- /** 添加响应拦截器 —— 处理响应对象 */
- axios.interceptors.response.use(function (data) {
- data.data = data.data + ' - modified by interceptor';
- return data;
- }, function (error) {
- /** 超出 2xx 范围的状态码都会触发该函数。对响应错误做点什么 */
- return Promise.reject(error);
- });
- axios({
- url: '/hello',
- method: 'get',
- }).then(res =>{
- console.log('axios res.data: ', res.data)
- })
接下来将从任务注册、任务编排和任务调度 三个方面来分析 Axios 拦截器的实现。
任务注册
axios实例是通过createInstance方法创建的,该方法最终返回是Axios.prototype.request函数对象。interceptors.request和interceptors.response对象都是InterceptorManager类的实例。- /** lib/axios.js */
- function createInstance(defaultConfig) {
- var context = new Axios(defaultConfig);
- var instance = bind(Axios.prototype.request, context);
- /** 拷贝 axios.prototype 给 instance */
- utils.extend(instance, Axios.prototype, context);
- /** 拷贝 context 给 instance */
- utils.extend(instance, context);
- return instance;
- }
- /** Create the default instance to be exported */
- var axios = createInstance(defaults);
- /** lib/core/Axios.js */
- function Axios(instanceConfig) {
- this.defaults = instanceConfig;
- this.interceptors = {
- request: new InterceptorManager(),
- response: new InterceptorManager()
- };
- }
- /** lib/core/InterceptorManager.js */
- function InterceptorManager() {
- this.handlers = [];
- }
- InterceptorManager.prototype.use = function use(fulfilled, rejected) {
- this.handlers.push({
- fulfilled: fulfilled,
- rejected: rejected
- });
- /** 返回当前的索引,用于移除已注册的拦截器 */
- return this.handlers.length - 1;
- };
通过观察
use方法,我们可知注册的拦截器都会被保存到InterceptorManager对象的handlers属性中。下面我们用一张图来总结一下Axios对象与InterceptorManager对象的内部结构与关系:
任务编排
注册后,对已注册的任务进行编排,这样才能确保任务的执行顺序。
axios对象对应的Axios.prototype.request函数对象的具体实现如下:- /** lib/core/Axios.js */
- Axios.prototype.request = function request(config) {
- config = mergeConfig(this.defaults, config);
- // 省略部分代码
- var chain = [dispatchRequest, undefined];
- var promise = Promise.resolve(config);
- /** 任务编排 */
- this.interceptors.request.forEach(function unshiftRequestInterceptors(interceptor) {
- chain.unshift(interceptor.fulfilled, interceptor.rejected);
- });
- this.interceptors.response.forEach(function pushResponseInterceptors(interceptor) {
- chain.push(interceptor.fulfilled, interceptor.rejected);
- });
- /** 任务调度 */
- while (chain.length) {
- promise = promise.then(chain.shift(), chain.shift());
- }
- return promise;
- };
任务编排前后的对比图:
任务调度
从
Axios.prototype.request中可以看到,chain 是数组,所以通过 while 语句我们就可以不断地取出设置的任务,然后组装成 Promise 调用链从而实现任务调度,对应的处理流程如下图所示:
Axios 通过提供拦截器机制,让开发者可以很容易在请求的生命周期中自定义不同的处理逻辑。此外,也可以通过拦截器机制来灵活地扩展 Axios 的功能。综上,axios 具有以下的通用的任务处理模型:
HTTP 适配器
Axios 同时支持浏览器和 Node.js 环境,对于浏览器环境来说是通过
XMLHttpRequest或fetchAPI 来发送 HTTP 请求,而对于 Node.js 环境来说是通过 Node.js 内置的http或https模块来发送 HTTP 请求。为了支持不同的环境,Axios 引入了 HTTP 适配器。用于发送 HTTP 请求的 dispatchRequest 方法部分细节如下:- /** lib/core/dispatchRequest.js */
- module.exports = function dispatchRequest(config) {
- // 省略部分代码
- var adapter = config.adapter || defaults.adapter;
- return adapter(config).then(function onAdapterResolution(response) {
- // 省略部分代码
- return response;
- }, function onAdapterRejection(reason) {
- // 省略部分代码
- return Promise.reject(reason);
- });
- };
可以看的,Axios 支持自定义适配器,同时也提供了默认的适配器。对于大多数场景,直接使用默认的适配器(包含浏览器和 Node.js 环境的适配代码)即可。默认适配器逻辑为在
getDefaultAdapter方法中,首先通过平台中特定的对象来区分不同的平台,然后再导入不同的适配器,具体的代码比较简单:- /** lib/defaults.js */
- var defaults = {
- adapter: getDefaultAdapter(),
- xsrfCookieName: 'XSRF-TOKEN',
- xsrfHeaderName: 'X-XSRF-TOKEN',
- //...
- }
- function getDefaultAdapter() {
- var adapter;
- if (typeof XMLHttpRequest !== 'undefined') {
- /** 浏览器 使用 XHR adapter */
- adapter = require('./adapters/xhr');
- } else if (typeof process !== 'undefined' &&
- Object.prototype.toString.call(process) === '[object process]') {
- /** node 使用 HTTP adapter */
- adapter = require('./adapters/http');
- }
- return adapter;
- }
至于自定义适配器,参考 Axios 提供的示例:
- var settle = require('./../core/settle');
- module.exports = function myAdapter(config) {
- // 当前时机点:
- // - config 配置对象已经与默认的请求配置合并
- // - 请求转换器已经运行
- // - 请求拦截器已经运行
- // 使用提供的config配置对象发起请求
- // 根据响应对象处理Promise的状态
- return new Promise(function(resolve, reject) {
- var response = {
- data: responseData,
- status: request.status,
- statusText: request.statusText,
- headers: responseHeaders,
- config: config,
- request: request
- };
- settle(resolve, reject, response);
- // 此后:
- // - 响应转换器将会运行
- // - 响应拦截器将会运行
- });
- }
当调用自定义适配器之后,需要返回 Promise 对象。这是因为 Axios 内部是通过 Promise 链式调用来完成请求调度的。
CSRF 防御
跨站请求伪造(Cross-site request forgery),通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。
简单来说就是,利用用户的登录被攻击网站在毫不知情情况下点击发起攻击网站 中的指向被攻击网站的链接。跨站请求可以是:图片 URL、超链接、CORS、Form 提交等等。因为,如果只有简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF 防御措施一般有:
- 检查 Referer 字段(请求来源):在处理敏感数据请求时,通常来说,Referer 字段应和请求的地址位于同一域名下。因其完全依赖浏览器发送正确的 Referer 字段,无法保证浏览器没有安全漏洞影响到此字段,而且有被篡改的风险。
- 同步表单 CSRF 校验:原理是要求所有的用户请求都携带一个 CSRF 攻击者无法获取到的 token,具体是在返回页面时将 token 渲染到页面上,在 form 表单提交的时候通过隐藏域或者作为查询参数把 CSRF token 提交到服务器:
- <form method="POST" action="/upload?_csrf={{由服务端生成}}" enctype="multipart/form-data">
- 用户名: <input name="name" />
- 选择头像: <input name="file" type="file" />
- <button type="submit">提交</button>
- </form>
3. 双重 Cookie 防御:将 token 设置在 Cookie 中,在提交(POST、PUT、PATCH、DELETE)等请求时提交 Cookie,并通过请求头或请求体带上 Cookie 中已设置的 token,服务端接收到请求后,再进行对比校验:
- let csrfToken = Cookies.get('csrfToken');
- function csrfSafeMethod(method) {
- /** 以下HTTP方法不需要进行CSRF防护 */
- return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
- }
- $.ajaxSetup({
- beforeSend: function(xhr, settings) {
- if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
- xhr.setRequestHeader('x-csrf-token', csrfToken);
- }
- },
- });
而 Axios 中采用的是双重 Cookie 防御 的方案来防御 CSRF 攻击,提供了
xsrfCookieName和xsrfHeaderName两个属性来分别设置 CSRF 的 Cookie 名称和 HTTP 请求头的名称,默认值如下:- /** lib/defaults.js */
- var defaults = {
- adapter: getDefaultAdapter(),
- // 省略部分代码
- xsrfCookieName: 'XSRF-TOKEN',
- xsrfHeaderName: 'X-XSRF-TOKEN',
- };
以浏览器的适配器为例,Axios 防御 CSRF 攻击:
- /** lib/adapters/xhr.js */
- module.exports = function xhrAdapter(config) {
- return new Promise(function dispatchXhrRequest(resolve, reject) {
- var requestHeaders = config.headers;
- var request = new XMLHttpRequest();
- // 省略部分代码
- /** 添加 xsrf 头部 */
- if (utils.isStandardBrowserEnv()) {
- var xsrfValue = (config.withCredentials || isURLSameOrigin(fullPath)) && config.xsrfCookieName ?
- cookies.read(config.xsrfCookieName) :
- undefined;
- if (xsrfValue) {
- requestHeaders[config.xsrfHeaderName] = xsrfValue;
- }
- }
- request.send(requestData);
- });
- };
-
相关阅读:
Win11自动更新怎么永久关闭?
【车载以太网测试从入门到精通】——车载以太网休眠唤醒压力测试
千兆路由只有200M,原来是模式选择不对,也找到了内网不能通过动态域名访问内部服务的原因
《设计模式》之迭代器模式
MySQL查询的执行流程
Java简单使用EasyExcel操作读写excel
农业新闻查询易语言代码
jemalloc 5.3.0源码总结
2023最新短视频配音软件~
电脑右键新建记事本不见了--设置恢复篇(无需操作注册表)
- 原文地址:https://blog.csdn.net/qq_42415326/article/details/124911045