go 官网教程跟学
go 的官网教程和主流的编程教程网站风格截然不同,应该是没用任何前端框架,纯手糊出来的 ,有一种老式风格的美。
go 的官网教程和主流的编程教程网站风格截然不同,应该是没用任何前端框架,纯手糊出来的 ,有一种老式风格的美。
我对于前端开发的感受是,实际工程和教程实例代码的差距很大,还有很容易陷在改局部需求,最终变成查文档和写局部 JS 代码的工具人,而失去对项目的总体认识。因为前端一般项目庞大,引入库众多,加上每个库都有自己独特的写法,写多了,就只知其一,不知其二了。
综上,为了建立对 react 项目的整体认知,我就第 N 次过一遍官网的教程,同时记录那些概念和项目结构。
CORS(Cross-Origin Resource Sharing,跨域资源共享) 是一种浏览器安全机制,允许或限制从不同来源(域名、协议或端口)加载资源的网页进行交互。它解决了浏览器的同源策略(Same-Origin Policy, SOP)限制,允许受控的跨域请求,以保护用户数据的安全。
浏览器的同源策略 规定,网页只能访问与其自身同源(即相同域名、协议和端口)的资源,防止恶意网站获取其他域的数据。这虽然有效提升了安全性,但限制了现代 Web 应用中常见的跨域交互需求,如 API 请求、跨域文件加载等。 CORS 允许在安全的情况下进行跨域请求,提 供了一种松散的跨源资源访问机制,使得服务器可以指定哪些外部源可以访问其资源。
Content-Type: text/plain
,这些请求可以直接发送。响应头 :
服务器通过在响应头中设置CORS 相关的头 ,告知浏览器是否允许这个跨域请求。重要的 CORS 响应头 :Access-Control-Allow-Origin
: 指定允许哪些来源访问资源。可以是具体的域名,也可以是*
(表示允许任何来源)。Access-Control-Allow-Origin: https://example.com
请求示例 :
GET /api/data HTTP/1.1
Origin: https://client.com
响应示例 :
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://client.com
Content-Type: application/json
OPTIONS
请求),以确保目标服务器允许该请求。预检请求示例 :OPTIONS /api/data HTTP/1.1
Origin: https://client.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
预检响应示例 :
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://client.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type
Access-Control-Max-Age: 86400
Access-Control-Allow-Methods
: 指定允许的 HTTP 方法,如GET
、POST
等。
Access-Control-Allow-Headers
: 允许使用的自定义请求头。
Access-Control-Max-Age
: 指定预检请求的结果可以缓存多长时间,减少后续预检请求的次数。
Access-Control-Allow-Origin
: 允许的跨域源。
Access-Control-Allow-Methods
: 允许的 HTTP 请求方法。
Access-Control-Allow-Headers
: 允许的请求头字段。
Access-Control-Allow-Credentials
: 是否允许发送凭证(如 Cookies、HTTP 认证等)。值为true
时,浏览器允许客户端发送和接收凭证。
Access-Control-Allow-Credentials: true
浏览器发起请求 :
当浏览器发起跨域请求时,会在请求头中添加Origin
字段,指示请求的来源。
服务器检查请求 :
服务器接收到请求后,根据自身配置检查Origin
,并决定是否允许该请求。如果允许,服务器会在响应头中返回相应的 CORS 头信息。
浏览器处理响应 :
浏览器根据服务器返回的Access-Control-Allow-Origin
等 CORS 头信息,决定是否允许页面访问返回的数据。如果服务器没有正确设置这些头,浏览器将阻止请求并抛出 CORS 错误。
fetch("https://api.example.com/data", {
method: "GET",
credentials: "include", // 发送凭证,如Cookie
})
.then((response) => response.json())
.then((data) => console.log(data))
.catch((error) => console.error("Error:", error));
假设 api.example.com
设置了 CORS 响应头:
Access-Control-Allow-Origin: https://client.com
Access-Control-Allow-Credentials: true
PUT
或DELETE
),或自定义请求头(如Authorization
),浏览器会首先发送预检请求:OPTIONS /api/data HTTP/1.1
Origin: https://client.com
Access-Control-Request-Method: PUT
服务器响应:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://client.com
Access-Control-Allow-Methods: PUT, GET, OPTIONS
Access-Control-Allow-Headers: Authorization
cors
中间件:const express = require("express");
const cors = require("cors");
const app = express();
app.use(
cors({
origin: "https://client.com", // 允许的来源
credentials: true, // 允许发送Cookies
})
);
app.get("/api/data", (req, res) => {
res.json({ message: "Hello World!" });
});
app.listen(3000);
server {
location /api/ {
add_header 'Access-Control-Allow-Origin' 'https://client.com';
add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type';
}
}
CORS 错误 :当浏览器禁止跨域请求时,会抛出 CORS 错误。这通常是因为服务器没有正确配置 CORS 响应头,或者浏览器不允许请求中的某些操作(如发送凭证)。
如何调试 :可以通过浏览器的开发者工具查看请求和响应头,检查Access-Control-Allow-*
相关头信息是否正确配置。
CORS 是为了解决同源策略下的跨域资源请求问题的浏览器机制。它通过一系列的 HTTP 请求头,让服务器控制哪些来源可以访问其资源,并规定了如何安全地进行跨域请求。在实现跨域请求时,确保服务器配置正确的 CORS 响应头是关键。
目标 :服务器、网站或网络资源。
方法 :利用僵尸网络(Botnet)来发起大规模流量攻击。
目标 :使用 SQL 数据库的网站或应用程序。
后果 :窃取或删除数据库中的敏感信息,或篡改应用行为。
目标 :Web 应用程序用户。
后果 :窃取用户的会话令牌、用户凭证,或者在用户浏览器上执行恶意操作。
目标 :用户登录系统、SSH、RDP 等需要密码的系统。
防御 :使用强密码、账户锁定策略和双因素认证。
目标 :PHP、ASP 等动态加载文件的 Web 应用程序。
后果 :攻击者可能获得服务器的控制权或敏感数据。
目标 :Web 应用中的合法用户。
后果 :攻击者可以利用用户的身份执行未经授权的操作。
特性 | Authentication(身份验证) | Authorization(授权) |
---|---|---|
目的 | 确认用户身份(你是谁) | 决定用户能做什么(有什么权限) |
过程 | 验证用户凭证(用户名、密码、指纹等) | 检查用户是否有权限访问特定资源或执行特定操作 |
顺序 | 首先进行身份验证 | 身份验证之后进行授权 |
实例 | 用户输入用户名和密码,系统验证其合法性 | 用户登录后,系统决定用户能否查看特定页面或文件 |
应用范围 | 登录、身份识别、用户认证系统 | 权限管理、资源访问控制、功能限制 |
身份验证 :你输入用户名和密码登录银行网站。
授权 :你登录成功后,银行网站决定你可以查看账户余额,但不能访问管理员功能。
在实际应用中,身份验证和授权经常结合使用。例如,在 OAuth 2.0 中,用户首先 通过身份验证登录(Authentication),然后授权应用程序访问其资源(Authorization)。
今天工作中,遇到一个难缠的需求:在 nodejs 中用命令行方式运行一段 etl 脚本。数据库是 SAP 公司的 hana,相对冷门,驱动的接口和其他也有区别。需求中用到了await-exec
这个库,其背后是 child-process,即用于创建和控制子进程。这个模块允许你在 Node.js 应用中运行外部命令、脚本或其他 Node.js 进程,并与这些子进程进行通信。通过 child_process,你可以执行 shell 命令、启动其他程序,甚至是在独立的 Node.js 环境中运行代码。
child_process
是 Node.js 标准库中的一个模块,用于创建和控制子进程。这个模块允许你在 Node.js 应用中运行外部命令、脚本或其他 Node.js 进程,并与这些子进程进行通信。通过 child_process
,你可以执行 shell 命令、启动其他程序,甚至是在独立的 Node.js 环境中运行代码。child_process
提供了几种方法来创建和管理子进程:
exec
:用于执行一个命令,并且将整个命令的输出缓存在内存中。
适合用于执行简单的命令,例如调用一个 shell 命令并收集结果。
代码示例:
const { exec } = require("child_process");
exec("ls -lh", (error, stdout, stderr) => {
if (error) {
console.error(`执行出错: ${error}`);
return;
}
console.log(`stdout: ${stdout}`);
console.error(`stderr: ${stderr}`);
});
spawn
:用于启动一个新的进程,并且可以通过流(streams)与该进程进行交互。
适合用于处理大输出或者需要与进程进行持续交互的场景。
代码示例:
const { spawn } = require("child_process");
const ls = spawn("ls", ["-lh", "/usr"]);
ls.stdout.on("data", (data) => {
console.log(`stdout: ${data}`);
});
ls.stderr.on("data", (data) => {
console.error(`stderr: ${data}`);
});
ls.on("close", (code) => {
console.log(`子进程退出码: ${code}`);
});
fork
:专门用于创建一个新的 Node.js 进程,并且能够很方便地在 父子进程之间传递消息。
适合用于多进程处理的场景,例如将任务分配给多个子进程来并行处理。
代码示例:
const { fork } = require("child_process");
const child = fork("child.js");
child.on("message", (message) => {
console.log("来自子进程的消息:", message);
});
child.send("开始处理");
execFile
:类似于 exec
,但 execFile
直接执行一个可执行文件,而不是通过 shell。
比 exec
更加安全,因为不涉及 shell 命令解析。
代码示例:
const { execFile } = require("child_process");
execFile("node", ["--version"], (error, stdout, stderr) => {
if (error) {
console.error(`执行出错: ${error}`);
return;
}
console.log(`stdout: ${stdout}`);
});
主要用途:
自动化任务 :可以用来执行 shell 脚本或其他命令行工具,自动化各种任务。
与系统交互 :能够直接调用系统命令或运行外部程序。
多进程处理 :通过 fork
或 spawn
创建多个进程来并行处理任务,提升性能。child_process
模块在需要与操作系统或其他程序交互时非常有用,同时也可以用来在 Node.js 中实现多进程并发处理。
在主进程脚本文件中,调用 cp 的代码片段:
const pipelineRet = await exec(`${tapCMD} | \
$TARGET_CLICKHOUSE_CMD -c $TARGET_CLICKHOUSE_HOME/config.json`);
其中 tapCMD 大致内容是node xxx.js
。我发现,在 xxx.js 中无论打多少次 log,控制台都不会显示。我大概猜到是因为不在同一个进程的原因。只有在 throw Error 时,控制台才会打印出错误。可是这样一来,throw error 后面的代码就不会运行,给调试带来极大的不方便。后来,我研究了一下 cp 的 api,发现本不必如此麻烦。
const { exec } = require("child_process");
exec("node xxx.js", (error, stdout, stderr) => {
if (error) {
console.error(`执行出错: ${error}`);
return;
}
console.log(`stdout: ${stdout}`);
console.error(`stderr: ${stderr}`);
});
在 xxx.js 执行完毕后(或者意外退出),就会执行后面的回调函数,error 是 Error 加 stderr,steerr 对应的是 console.error 级别,stdout 就是 console.log。如果 error 存在,就会进入 if 中,return 返回,自然不会执行后面的打印 stdout。await-exec
库的源代码与上面逻辑类似。
其实,正确的调试方式是 console.error 来取代 log,这样调试起来方便多了。