服务器实现了CORS接口,就可以跨源通信,如何实现?
//指定允许进行跨域资源访问的来源域。
ctx.set("Access-Control-Allow-Origin", "http://127.0.0.1:8080");
//指定允许请求方法列表,一般用在响应预检请求上
ctx.set("Access-Control-Allow-Methods", "OPTIONS,POST,GET,HEAD,DELETE,PUT");
//必需。指定服务器允许进行跨域资源访问的请求头列表
ctx.set("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type");
浏览器将CORS请求分成两类:简单请求和非简单请求
简单请求基本流程
1、浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段(本次请求来自哪个源)。
如果Origin指定的源,不在许可范围内:
回应的头信息不包含Access-Control-Allow-Origin,浏览器报错
非简单请求
预检请求:非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求
先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 method header
"预检"请求用的请求方法是OPTIONS, 用来询问的
先发出一个"预检"请求
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header //指定浏览器CORS请求会额外发送的头信息字段
Host: api.alice.com **//请求url 域名**
预检请求的回应
服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Methods: GET, POST, PUT 返回的是所有支持的方法,避免多次"预检"请求。
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000 指定本次预检请求的有效期,单位为秒
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
只要同时满足以下两大条件,就属于简单请求。
(1) 请求方法是以下三种方法之一:
- HEAD
- GET
- POST
(2)HTTP的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
如果要携带cookie,前端必须在AJAX请求中打开withCredentials属性。
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。
Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传
从此原文学习得来:www.ruanyifeng.com/blog/2016/0…
