bug|项目经验|记录某次页面div使用v-html标签渲染图片等内容的过程

前言

记录某次页面div使用v-html标签渲染图片等内容的过程

一、结论：

get请求但被设置Sec-Fetch-*请求头的图片无法展示。

二、原因：

1.本项目中的img标签发起get请求，目标链接在浏览器中发起get请求，

2.但本项目img标签的get请求->默认sec-fetch-dest为image，如下所示：

sec-fetch-dest: image

sec-fetch-mode: no-cors

sec-fetch-site: cross-site

3.浏览器输入的目标链接的get请求的sec-fetch-*等字段（网络请求的元数据描述），如下所示：

Sec-Fetch-Dest: document

Sec-Fetch-Mode: navigate

Sec-Fetch-Site: none

Sec-Fetch-User: ?1

4.解释：

https://pics1.baidu.com/ 的服务器端根据根据这些补充数据进行细粒度的控制相应，即服务器可以精准判断请求是否合法，到底是用户真的请求的还是取用的链接，从而杜绝非法请求和攻击，提升web服务器的安全性。

5.结论：原文中的get请求但被设置Sec-Fetch-*请求头的图片无法展示。

<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8">
		<title></title>
	</head>
	<body>
	</body>
	<script>
		function downLoad() {

		　　var url =  'https://pics1.baidu.com/feed/9213b07eca806538ce9d9019899d264fad348214.jpeg@f_auto?token=eb7c1aed39d2aadb2e799209e986320b'  //接口请求的完整地址
		        if(window.XMLHttpRequest){
		            var xhr = new XMLHttpRequest();
		        }else{
		            var xhr = new ActiveXObject("Microsoft.XMLHTTP");
		        };
		        xhr.open('GET', url, true);        // 也可以使用POST方式，根据接口
		        // xhr.setRequestHeader('AuthToken', '需要传的token')
		        // xhr.setRequestHeader('Content-Type', 'application/json')
				xhr.setRequestHeader('accept', 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9')
		        // xhr.setRequestHeader('pragma', 'no-cache')
		        // xhr.setRequestHeader('sec-fetch-dest', 'document')
		        // xhr.setRequestHeader('sec-fetch-mode', 'navigate')
		        // xhr.setRequestHeader('sec-fetch-site', 'none')
		        // xhr.setRequestHeader('sec-fetch-user', '?1')
		        xhr.setRequestHeader('upgrade-insecure-requests', '1')
		        xhr.responseType = "blob";    // 返回类型blob
		        xhr.send(null)
		        // da.comp.loadding.show();
		        // 定义请求完成的处理函数，请求前也可以增加加载框/禁用下载按钮逻辑
		        xhr.onload = function () {
		            // 请求完成
		            var name = xhr.getResponseHeader('Content-disposition').split('=');
		            if (this.status === 200) {
		                // 返回200
		                // da.comp.loadding.hide();
		                var blob = this.response;
		                var reader = new FileReader();
		                reader.readAsDataURL(blob);    // 转换为base64，可以直接放入a表情href
		                reader.onload = function (e) {
		                    // 转换完成，创建一个a标签用于下载
		                    var a = document.createElement('a');
		                    a.download = decodeURI(name[name.length-1]);// name[name.length-1];
		                    a.href = e.target.result;
		                    $("body").append(a);    // 修复firefox中无法触发click
		                    a.click();
		                    $(a).remove();
		                }
		            }
		        };
		}
		download()
	</script>
</html>

6.截图

三、参考链接：

Sec-Fetch-*請求頭，瞭解下?

前段使用get获取文件流，实现下载

1 注：

sec-fetch-*等字段是http请求的headers字段，即Fetch Metadata Request Headers

2 引用上述文章的部分内容：

Fetch Metadata Request Headers

Sec-Fetch開頭的請求頭都屬於Fetch Metadata Request Headers，於2019年發佈的新草案，目前處於Editor's Draft階段，支持度還不是很高，還須要注意的是，這些請求頭都是Forbidden header，也就是不能被篡改的，是瀏覽器自動加上的請求頭，這樣也保證了數據的準確性，還須要注意的是若是資源是本地緩存加載，那麼就不會添加這些請求頭了，這也容易理解，就很少說了。web

規範的意義

近些年web領域發展迅速，可是安全問題也十分突出，從最初瀏覽器的同源模型到CSP，再到Fetch Metadata Request Headers，都是對web安全不斷的完善和增強，以往不少安全策略側重於客戶端的防禦，服務端須要識別非法請求每每比較困難，由於缺少判斷請求的依據，控制比較粗線條，而Fetch Metadata Request Headers的出現就爲服務端過濾非法請求提供了元數據，避免csrf,xssi等攻擊就很容易了。chrome