数据请求的交互方式（ajax，axios，fetch）

目前客户端向服务端数据请求的交互方式有 **ajax，axios，fetch，**那么接下来咱们仔细说一下他们的有点和缺点

1. ajax

ajax是XMLHttpRequest（XHR），最早的发送后端请求的技术，多个请求之间如果有先后关系的话，就会出现回调地狱。

用法：

$.ajax({
   type: 'POST',
   url: url,
   data: data,
   dataType: dataType,
   success: function () {},
   error: function () {}
});

那么这里会引入两个概念 CSRF（跨站请求伪造），XSS（跨站脚本攻击）

CSRF（跨站请求伪造）

解决方案：
1. 验证http Referer字段
2. 在请求地址中添加 token 并验证
3. CSRF攻击是有条件的，当用户访问恶意链接时，认证的cookie仍然有效，所以当用户关闭页面时要及时清除认证cookie
4. 通过图形验证码
XSS（跨站脚本攻击）
是一种代码注入攻击，攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。

解决方案：

1. 将能被转换为html的输入内容，在写代码时改为innerText而不用innerHTML。（过滤用户输入的 检查用户输入的内容中是否有非法内容）
2. 表单提交或者url参数传递前，对需要的参数进行过滤,请看如下XSS过滤工具类代码

 function safeStr(str){
	return str.replace(/,'<').replace(/>/g,'>').replace(/"/g, """).replace(/'/g, "'");
 }

ajax 优缺点

1. 本身是针对MVC的编程,不符合现在前端MVVM的浪潮。
2. 基于原生的XHR开发，XHR本身的架构不清晰，已经有了fetch的替代方案。
3. JQuery整个项目太大，单纯使用ajax却要引入整个JQuery非常的不合理（采取个性化打包的方案又不能享受CDN服务）。
4. 如果有请求的顺序，会造成回调地狱

2. axios

基于XMLHttpRequest + promise 实现的。

用法：

axios({
    method: 'post',
    url: '/user/12345',
    data: {
        firstName: 'Fred',
        lastName: 'Flintstone'
    }
})
.then(function (response) {
    console.log(response);
})
.catch(function (error) {
    console.log(error);
});

axios优缺点

1. 从 node.js 创建 http 请求
2. 支持 Promise API
3. 提供了一些并发请求的接口，很方便
4. 在浏览器中创建 XMLHttpRequests
5. 支持拦截请求和响应
6. 转换请求和响应数据也可以取消请求
7. 自动转换 JSON 数据。
8. 客户端支持防止CSRF

3.fetch

fetch号称是AJAX的替代品，是在ES6出现的，使用了ES6中的promise对象。Fetch是基于promise设计的。Fetch的代码结构比起ajax简单多了，参数有点像jQuery
ajax。但是，一定记住fetch不是ajax的进一步封装，而是原生js，没有使用XMLHttpRequest对象。

用法：

try {
  let response = await fetch(url);
  let data = response.json();
  console.log(data);
} catch(e) {
  console.log("Oops, error", e);
}

fetch 优缺点

1. 符合关注分离，没有将输入、输出和用事件来跟踪的状态混杂在一个对象里
2. 更好更方便的写法
3. 更加底层，提供的API丰富（request, response）
4. 脱离了XHR，是ES规范里新的实现方式
5. fetchtch只对网络请求报错，对400，500都当做成功的请求，需要封装去处理
6. fetch默认不会带cookie，需要添加配置项
7. fetch不支持abort，不支持超时控制，使用setTimeout及Promise.reject的实现的超时控制并不能阻
8. 请求过程继续在后台运行，造成了量的浪费
9. fetch没有办法原生监测请求的进度，而XHR可以。