了解跨域

后台 后台 跨域
Created At :
Views 👀 : Comment:
  1. 什么是跨域
  2. 跨域请求资源的方法
  3. CORS
  • 简单请求
  • 非简单请求
    1. 预检请求的HTTP头信息
    2. 确认允许跨源请求,就可以做出回应。

    • 什么是跨域

    跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,凡是发送请求url的协议、域名、端口三者之间任意一个与当前页面地址不同即为跨域。
    无法跨域是浏览器对于用户安全的考虑。

    同源策略限制了一下行为:

    Cookie、LocalStorage 和 IndexDB 无法读取
    DOM 和 JS 对象无法获取
    Ajax请求发送不出去

    跨域请求资源的方法

    • JSONP跨域
      JavaScript设计模式中的一种代理模式。利用script标签可以跨域的原理实现。
    • nginx反向代理
      利用nginx反向代理把跨域为不跨域,支持各种请求方式
    • 跨域资源共享CORS
      目前主流的解决方案。W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。允许浏览器向跨源服务器,发出XMLHttpRequest请求。

    CORS

    CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

    一种是简单请求,另一种是非简单请求。浏览器对这两种请求方式的处理方式是不同的。

    简单请求

    要求如下:

    • 1.请求方式为HEADPOST 或者 GET

    • 2.HTTP的头信息不超出以下几种字段
      Accept Accept-Language
      Content-Language Last-Event-ID
      Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain**

    浏览器发送CORS请求时,在头信息之中,增加一个Origin字段。
    Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
    如果服务器允许跨域,需要在返回的响应头中携带下面信息:

    Access-Control-Allow-Origin: http://xxx.xxx.xxx
    Access-Control-Allow-Credentials: true
    Access-Control-Expose-Headers: ...
    withCredentials:

    • Access-Control-Allow-Origin(必须):可接受的域,是一个具体域名或者*,代表任意
    • Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true
    • Access-Control-Expose-Headers:CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
    • withCredentials:如果要把Cookie发到服务器,不仅要设置Access-Control-Allow-Credentials,还需要设置该属性。

    如果跨域请求要想操作cookie,需要满足3个条件:

    1.服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
    2.浏览器发起ajax需要指定withCredentials 为true
    3.响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名

    非简单请求

    非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

    非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)——浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

    预检请求的HTTP头信息

    • OPTIONS /cors HTTP/1.1
    • Origin: http://api.bob.com
    • Access-Control-Request-Method: PUT
    • Access-Control-Request-Headers: X-Custom-Header
    • Host: api.alice.com
    • Accept-Language: en-US
    • Connection: keep-alive
    • User-Agent: Mozilla/5.0…
      与简单模式相比多了OriginAccess-Control-Request-MethodAccess-Control-Request-Headers

      Access-Control-Request-Method:接下来会用到的请求方式,比如PUT
      Access-Control-Request-Headers:会额外用到的头信息,用逗号隔开

    确认允许跨源请求,就可以做出回应。

    • HTTP/1.1 200 OK
    • Date: Mon, 01 Dec 2008 01:15:39 GMT
    • Server: Apache/2.0.61 (Unix)
    • Access-Control-Allow-Origin: http://manage.leyou.com
    • Access-Control-Allow-Credentials: true
    • Access-Control-Allow-Methods: GET, POST, PUT
    • Access-Control-Allow-Headers: X-Custom-Header
    • Access-Control-Max-Age: 1728000
    • Content-Type: text/html; charset=utf-8
    • Content-Encoding: gzip
    • Content-Length: 0
    • Keep-Alive: timeout=2, max=100
    • Connection: Keep-Alive
    • Content-Type: text/plain
      这里又多了3个头

      Access-Control-Allow-Methods:允许访问的方式
      Access-Control-Allow-Headers:允许携带的头
      Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了

    如果浏览器得到上述响应,则认定为可以跨域。

    ©2016-2020 Yangandmore

    Built with Hexo and 3-hexo theme