跨域资源共享 CORS

用户7040852035967
113 阅读3分钟

服务器实现了CORS接口,就可以跨源通信

    //指定允许进行跨域资源访问的来源域。 

    ctx.set("Access-Control-Allow-Origin", "http://127.0.0.1:8080");

    //指定允许请求方法列表,一般用在响应预检请求上

    ctx.set("Access-Control-Allow-Methods", "OPTIONS,POST,GET,HEAD,DELETE,PUT"); 
    //必需。指定服务器允许进行跨域资源访问的请求头列表,一般用在响应预检请求上

    ctx.set("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type"); 
    //可选,单位为秒,指定浏览器在本次预检请求的有效期

    ctx.set("Access-Control-Max-Age", 300);

浏览器将CORS请求分成两类:简单请求和非简单请求

只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

简单请求基本流程

1、浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段(本次请求来自哪个源)。

如果Origin指定的源,不在许可范围内:

回应的头信息不包含Access-Control-Allow-Origin,浏览器报错

如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段


Access-Control-Allow-Credentials: true 表示是否允许发送Cookie 

前端必须在AJAX请求中打开withCredentials属性。

var xhr = new XMLHttpRequest();

xhr.withCredentials = true;

如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。

Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传


Access-Control-Expose-Headers: FooBar 如果想拿到其他字段,就必须在里面指定。getResponseHeader('FooBar')可以返回FooBar字段的值。

Content-Type: text/html; charset=utf-8

非简单请求

预检请求:非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求

先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源


var xhr = new XMLHttpRequest();

xhr.open('PUT', url, true);

xhr.setRequestHeader('X-Custom-Header', 'value');

xhr.send();

先发出一个"预检"请求


Origin: [http://api.bob.com](http://api.bob.com/)

Access-Control-Request-Method: PUT

Access-Control-Request-Headers: X-Custom-Header //指定浏览器CORS请求会额外发送的头信息字段

Host: [**api.alice.com**](http://api.alice.com) **//请求url 域名**

Accept-Language: en-US

Connection: keep-alive

User-Agent: Mozilla/5.0...

预检请求的回应

服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。


Date: Mon, 01 Dec 2008 01:15:39 GMT

Server: Apache/2.0.61 (Unix)

Access-Control-Allow-Origin: [http://api.bob.com](http://api.bob.com/)

Access-Control-Allow-Methods: GET, POST, PUT

Access-Control-Allow-Headers: X-Custom-Header

Content-Type: text/html; charset=utf-8

Content-Encoding: gzip

Content-Length: 0

Keep-Alive: timeout=2, max=100

Connection: Keep-Alive

Content-Type: text/plain

Access-Control-Allow-Methods: GET, POST, PUT  返回的是所有支持的方法,避免多次"预检"请求。

Access-Control-Allow-Headers: X-Custom-Header

Access-Control-Allow-Credentials: true

Access-Control-Max-Age: 1728000 指定本次预检请求的有效期,单位为秒

   

原文出处:www.ruanyifeng.com/blog/2016/0…

avatar
文章
阅读
粉丝