目录
了解跨域
什么是跨域
跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,凡是发送请求url的协议、域名、端口三者之间任意一个与当前页面地址不同即为跨域。
无法跨域是浏览器对于用户安全的考虑。
同源策略限制了一下行为:
Cookie、LocalStorage 和 IndexDB 无法读取
DOM 和 JS 对象无法获取
Ajax请求发送不出去
跨域请求资源的方法
JSONP跨域
JavaScript设计模式中的一种代理模式。利用script标签可以跨域的原理实现。
nginx反向代理
利用nginx反向代理把跨域为不跨域,支持各种请求方式
跨域资源共享CORS
目前主流的解决方案。W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。允许浏览器向跨源服务器,发出XMLHttpRequest请求。
CORS
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
一种是简单请求,另一种是非简单请求。浏览器对这两种请求方式的处理方式是不同的。
简单请求
要求如下:
- 请求方式为HEAD、POST 或者 GET
- HTTP的头信息不超出以下几种字段
Accept Accept-Language
Content-Language Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain**
浏览器发送CORS请求时,在头信息之中,增加一个Origin字段。
Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果服务器允许跨域,需要在返回的响应头中携带下面信息:
Access-Control-Allow-Origin: http://xxx.xxx.xxx
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: ...
withCredentials:
- Access-Control-Allow-Origin(必须):可接受的域,是一个具体域名或者*,代表任意
- Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true
- Access-Control-Expose-Headers:CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
- withCredentials:如果要把Cookie发到服务器,不仅要设置Access-Control-Allow-Credentials,还需要设置该属性。
如果跨域请求要想操作cookie,需要满足3个条件:
- 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
- 浏览器发起ajax需要指定withCredentials 为true
- 响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名
非简单请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)——浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
预检请求的HTTP头信息
- OPTIONS /cors HTTP/1.1
- Origin: http://api.bob.com
- Access-Control-Request-Method: PUT
- Access-Control-Request-Headers: X-Custom-Header
- Host: api.alice.com
- Accept-Language: en-US
- Connection: keep-alive
- User-Agent: Mozilla/5.0…
- 与简单模式相比多了Origin、Access-Control-Request-Method和Access-Control-Request-Headers。
Access-Control-Request-Method:接下来会用到的请求方式,比如PUT
Access-Control-Request-Headers:会额外用到的头信息,用逗号隔开
确认允许跨源请求,就可以做出回应。
- HTTP/1.1 200 OK
- Date: Mon, 01 Dec 2008 01:15:39 GMT
- Server: Apache/2.0.61 (Unix)
- Access-Control-Allow-Origin: http://manage.leyou.com
- Access-Control-Allow-Credentials: true
- Access-Control-Allow-Methods: GET, POST, PUT
- Access-Control-Allow-Headers: X-Custom-Header
- Access-Control-Max-Age: 1728000
- Content-Type: text/html; charset=utf-8
- Content-Encoding: gzip
- Content-Length: 0
- Keep-Alive: timeout=2, max=100
- Connection: Keep-Alive
- Content-Type: text/plain
这里又多了3个头
Access-Control-Allow-Methods:允许访问的方式
Access-Control-Allow-Headers:允许携带的头
Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了
如果浏览器得到上述响应,则认定为可以跨域。