上一篇
Html与服务器交互
HTML通过表单提交(GET/POST)或配合JS的XMLHttpRequest/Fetch API实现与服务器交互,服务器处理请求后返回数据(如JSON),前端解析并动态更新页面内容,完成数据交换
Html与服务器交互的核心流程
HTTP协议基础
- 请求与响应模型:浏览器通过HTTP协议向服务器发送请求(Request),服务器处理后返回响应(Response)。
- 常见请求方法:
GET:获取资源,参数拼接在URL后。POST:提交数据(如表单),参数在请求体中。
- 状态码:
200 OK:请求成功。404 Not Found:资源未找到。500 Internal Server Error:服务器内部错误。
表单提交与服务器交互
| 组件 | 作用 |
|---|---|
<form> | 定义表单,action指定服务器地址,method指定请求方法(默认GET)。 |
<input> | 用户输入数据,name属性用于标识参数名。 |
submit按钮 | 触发表单提交,浏览器发送HTTP请求。 |
示例:
<form action="/api/login" method="POST"> <input type="text" name="username" /> <input type="password" name="password" /> <button type="submit">登录</button> </form>
服务器端处理流程
接收请求:服务器解析URL、请求方法、参数(
GET参数在URL,POST参数在请求体)。业务逻辑:
- 验证数据(如检查用户名密码)。
- 操作数据库(如查询、插入数据)。
- 生成响应内容(HTML、JSON等)。
返回响应:
HTTP/1.1 200 OK Content-Type: text/html <h1>欢迎,用户{{username}}</h1>
异步交互(AJAX)
- 传统方式:表单提交会刷新页面,用户体验差。
- AJAX解决方案:通过JavaScript异步发送请求,无需刷新。
- XMLHttpRequest(老旧方式):
const xhr = new XMLHttpRequest(); xhr.open("POST", "/api/data"); xhr.send(JSON.stringify({ key: "value" })); - Fetch API(现代方式):
fetch("/api/data", { method: "POST", headers: { "Content-Type": "application/json" }, body: JSON.stringify({ key: "value" }) }).then(response => response.json()).then(data => console.log(data));
- XMLHttpRequest(老旧方式):
数据格式对比
| 格式 | 特点 | 适用场景 |
|---|---|---|
| 表单数据 | key=value&key2=value2,URL编码。 | 简单表单提交(GET/POST)。 |
| JSON | 结构化数据,支持嵌套对象和数组。 | API交互、复杂数据传递。 |
跨域问题
- 同源策略:浏览器禁止不同域(协议+域名+端口)之间的脚本访问。
- 解决方案:
- CORS:服务器设置
Access-Control-Allow-Origin头。 - JSONP:通过
<script>标签绕过限制(仅支持GET)。
- CORS:服务器设置
安全防护
- CSRF(跨站请求伪造):
- 攻击方式:第三方网站诱导用户执行未授权操作。
- 防御:使用CSRF Token(如在表单中隐藏随机值)。
- XSS(跨站脚本):
- 攻击方式:注入反面脚本到页面。
- 防御:对用户输入进行HTML转义(如
<代替<)。
相关问题与解答
问题1:GET和POST的区别是什么?
- GET:
- 参数在URL中,有长度限制(约2KB)。
- 安全风险高(敏感信息暴露在URL)。
- 通常用于获取数据。
- POST:
- 参数在请求体中,无长度限制。
- 更安全(数据不显示在URL)。
- 通常用于提交数据。
问题2:如何防止XSS攻击?
- 措施:
- 对用户输入的特殊字符进行转义(如
<转成<)。 - 使用白名单过滤允许的HTML标签和属性。
- 设置HTTP响应头
Content-Security-Policy限制资源
- 对用户输入的特殊字符进行转义(如
