对于大多数SPA应用程序来说,通常会使用token进行用户的身份认证。这就要求在认证通过后,我们需要在每个请求上都携带认证信息。针对这个需求,为了避免为每个请求单独处理,我们可以通过封装统一的request函数来为每个请求统一添加token信息。
那么对于这个问题,该如何解决呢?Axios为我们提供了解决方案——拦截器。Axios是一个基于Promise的HTTP客户端,而HTTP协议是基于请求和响应,所以Axios提供了请求拦截器和响应拦截器来分别处理请求和响应,它们的作用如下:
在Axios中设置拦截器很简单,通过axios.interceptors.request和axios.interceptors.response对象提供的use方法,就可以分别设置请求拦截器和响应拦截器:
//添加请求拦截器axios.interceptors.request.use(function(config){config.headers.token='addedbyinterceptor';returnconfig;});//添加响应拦截器axios.interceptors.response.use(function(data){data.data=data.data+'-modifiedbyinterceptor';returndata;});那么拦截器是如何工作的呢?在看具体的代码之前,我们先来分析一下它的设计思路。Axios的作用是用于发送HTTP请求,而请求拦截器和响应拦截器的本质都是一个实现特定功能的函数。
我们可以按照功能把发送HTTP请求拆解成不同类型的子任务,比如有用于处理请求配置对象的子任务,用于发送HTTP请求的子任务和用于处理响应对象的子任务。当我们按照指定的顺序来执行这些子任务时,就可以完成一次完整的HTTP请求。
了解完这些,接下来我们将从「任务注册、任务编排和任务调度」三个方面来分析Axios拦截器的实现。
2、任务注册
通过前面拦截器的使用示例,我们已经知道如何注册请求拦截器和响应拦截器,其中请求拦截器用于处理请求配置对象的子任务,而响应拦截器用于处理响应对象的子任务。要搞清楚任务是如何注册的,就需要了解axios和axios.interceptors对象。
//lib/axios.jsfunctioncreateInstance(defaultConfig){varcontext=newAxios(defaultConfig);varinstance=bind(Axios.prototype.request,context);//Copyaxios.prototypetoinstanceutils.extend(instance,Axios.prototype,context);//Copycontexttoinstanceutils.extend(instance,context);returninstance;}//Createthedefaultinstancetobeexportedvaraxios=createInstance(defaults);在Axios的源码中,我们找到了axios对象的定义,很明显默认的axios实例是通过createInstance方法创建的,该方法最终返回的是Axios.prototype.request函数对象。同时,我们发现了Axios的构造函数:
//lib/core/InterceptorManager.jsfunctionInterceptorManager(){this.handlers=[];}InterceptorManager.prototype.use=functionuse(fulfilled,rejected){this.handlers.push({fulfilled:fulfilled,rejected:rejected});//返回当前的索引,用于移除已注册的拦截器returnthis.handlers.length-1;};通过观察use方法,我们可知注册的拦截器都会被保存到InterceptorManager对象的handlers属性中。下面我们用一张图来总结一下Axios对象与InterceptorManager对象的内部结构与关系:
3、任务编排
现在我们已经知道如何注册拦截器任务,但仅仅注册任务是不够,我们还需要对已注册的任务进行编排,这样才能确保任务的执行顺序。这里我们把完成一次完整的HTTP请求分为处理请求配置对象、发起HTTP请求和处理响应对象3个阶段。接下来我们来看一下Axios如何发请求的:
axios({url:'/hello',method:'get',}).then(res=>{console.log('axiosres:',res)console.log('axiosres.data:',res.data)})通过前面的分析,我们已经知道axios对象对应的是Axios.prototype.request函数对象,该函数的具体实现如下:
//lib/core/Axios.jsAxios.prototype.request=functionrequest(config){config=mergeConfig(this.defaults,config);//省略部分代码varchain=[dispatchRequest,undefined];varpromise=Promise.resolve(config);//任务编排this.interceptors.request.forEach(functionunshiftRequestInterceptors(interceptor){chain.unshift(interceptor.fulfilled,interceptor.rejected);});this.interceptors.response.forEach(functionpushResponseInterceptors(interceptor){chain.push(interceptor.fulfilled,interceptor.rejected);});//任务调度while(chain.length){promise=promise.then(chain.shift(),chain.shift());}returnpromise;};任务编排的代码比较简单,我们来看一下任务编排前和任务编排后的对比图:
4、任务调度
任务编排完成后,要发起HTTP请求,我们还需要按编排后的顺序执行任务调度。在Axios中具体的调度方式很简单,具体如下所示:
//lib/core/Axios.jsAxios.prototype.request=functionrequest(config){//省略部分代码varpromise=Promise.resolve(config);while(chain.length){promise=promise.then(chain.shift(),chain.shift());}}因为chain是数组,所以通过while语句我们就可以不断地取出设置的任务,然后组装成Promise调用链从而实现任务调度,对应的处理流程如下图所示:
下面我们来回顾一下Axios拦截器完整的使用流程:
//添加请求拦截器——处理请求配置对象axios.interceptors.request.use(function(config){config.headers.token='addedbyinterceptor';returnconfig;});//添加响应拦截器——处理响应对象axios.interceptors.response.use(function(data){data.data=data.data+'-modifiedbyinterceptor';returndata;});axios({url:'/hello',method:'get',}).then(res=>{console.log('axiosres.data:',res.data)})介绍完Axios的拦截器,我们来总结一下它的优点。Axios通过提供拦截器机制,让开发者可以很容易在请求的生命周期中自定义不同的处理逻辑。此外,也可以通过拦截器机制来灵活地扩展Axios的功能,比如Axios生态中列举的axios-response-logger和axios-debug-log这两个库。
参考Axios拦截器的设计模型,我们就可以抽出以下通用的任务处理模型:
1、默认HTTP适配器
为了支持不同的环境,Axios引入了适配器。在HTTP拦截器设计部分,我们看到了一个dispatchRequest方法,该方法用于发送HTTP请求,它的具体实现如下所示:
//lib/core/dispatchRequest.jsmodule.exports=functiondispatchRequest(config){//省略部分代码varadapter=config.adapter||defaults.adapter;returnadapter(config).then(functiononAdapterResolution(response){//省略部分代码returnresponse;},functiononAdapterRejection(reason){//省略部分代码returnPromise.reject(reason);});};通过查看以上的dispatchRequest方法,我们可知Axios支持自定义适配器,同时也提供了默认的适配器。对于大多数场景,我们并不需要自定义适配器,而是直接使用默认的适配器。因此,默认的适配器就会包含浏览器和Node.js环境的适配代码,其具体的适配逻辑如下所示:
2、自定义适配器
其实除了默认的适配器外,我们还可以自定义适配器。那么如何自定义适配器呢?Axios有提供的示例,这里就不多说了,平时使用的很少。
3、图解:下面我们用一张图解释一下Axios的拦截器与适配器的处理流程
1、CSRF简介
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。
攻击者利用了Web中用户身份验证的一个漏洞:「简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的」。既然存在以上的漏洞,那么我们应该怎么进行防御呢?接下来我们来介绍一些常见的CSRF防御措施。
2、CSRF防御措施
(1)检查Referer字段
以商城操作为例,Referer字段地址通常应该是商城所在的网页地址。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,这时候服务器就能识别出恶意的访问。
这种办法简单易行,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然HTTP协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。
(2)同步表单CSRFToken校验
CSRF攻击之所以能够成功,是因为服务器无法区分正常请求和攻击请求。针对这个问题我们可以要求所有的用户请求都携带一个CSRF攻击者无法获取到的token。对于CSRF示例图中的表单攻击,我们可以使用「同步表单CSRF校验」的防御措施。
「同步表单CSRF校验」就是在返回页面时将token渲染到页面上,在form表单提交的时候通过隐藏域或者作为查询参数把CSRFtoken提交到服务器。比如,在同步渲染页面时,在表单请求中增加一个_csrf的查询参数,这样当用户在提交这个表单的时候就会将CSRFtoken提交上来:
「双重Cookie防御」就是将token设置在Cookie中,在提交(POST、PUT、PATCH、DELETE)等请求时提交Cookie,并通过请求头或请求体带上Cookie中已设置的token,服务端接收到请求后,再进行对比校验。
下面我们以jQuery为例,来看一下如何设置CSRFtoken:
letcsrfToken=Cookies.get('csrfToken');functioncsrfSafeMethod(method){//以下HTTP方法不需要进行CSRF防护return(/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));}$.ajaxSetup({beforeSend:function(xhr,settings){if(!csrfSafeMethod(settings.type)&&!this.crossDomain){xhr.setRequestHeader('x-csrf-token',csrfToken);}},});介绍完CSRF攻击的方式和防御手段,最后我们来看一下Axios是如何防御CSRF攻击的。
3、AxiosCSRF防御
Axios提供了xsrfCookieName和xsrfHeaderName两个属性来分别设置CSRF的Cookie名称和HTTP请求头的名称,它们的默认值如下所示:
//lib/defaults.jsvardefaults={adapter:getDefaultAdapter(),//省略部分代码xsrfCookieName:'XSRF-TOKEN',xsrfHeaderName:'X-XSRF-TOKEN',};前面我们已经知道在不同的平台中,Axios使用不同的适配器来发送HTTP请求,这里我们以浏览器平台为例,来看一下Axios如何防御CSRF攻击:
//lib/adapters/xhr.jsmodule.exports=functionxhrAdapter(config){returnnewPromise(functiondispatchXhrRequest(resolve,reject){varrequestHeaders=config.headers;varrequest=newXMLHttpRequest();//省略部分代码//添加xsrf头部if(utils.isStandardBrowserEnv()){varxsrfValue=(config.withCredentials||isURLSameOrigin(fullPath))&&config.xsrfCookieNamecookies.read(config.xsrfCookieName):undefined;if(xsrfValue){requestHeaders[config.xsrfHeaderName]=xsrfValue;}}request.send(requestData);});};看完以上的代码,相信小伙伴们就已经知道答案了,原来Axios内部是使用「双重Cookie防御」的方案来防御CSRF攻击。