當使用ajax跨域請求時,瀏覽器報錯:XmlHttpRequest error: Origin null is not allowed by Access-Control-Allow-Origin.肯定是跨域的問題,如果用jsonp或者proxy的方式進行修改的話未免需要太大的工程量,所以采用CORS這種比較簡單高效的技術。相比JOSP的方式,CORS更為高效。JSONP由於它的原理只能實現GET請求,而CORS支持所有類型的HTTP請求。使用CORS,可以使用普通的ajax實現跨域,這對於前端來說是極大的福音了,這個技術被現在大多數瀏覽器所普遍支持,因為跨域已經是普遍的要求,瀏覽器肯定會逐漸流出適當的‘后門’出來專門用以跨域。
瀏覽器支持情況
經本人測試IE瀏覽器中IE10及以上才可正常發送請求
1.服務器端對於CORS的支持,是通過設置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應的設置,就可以允許Ajax進行跨域的訪問,也就是相應的‘后門’。
設置Apache:Apache需要使用mod_headers模塊來激活HTTP頭的設置,它默認是激活的。你只需要修改Apache配置文件中的httpd.conf文件:
原始代碼
<Directory />
AllowOverride none
Require all denied
</Directory>
改為下面代碼
<Directory />
Require all denied
Header set Access-Control-Allow-Origin *
</Directory>
在處理請求的PHP文件中設置:
<?php
header("Access-Control-Allow-Origin:*");
//處理請求輸出數據
?>
配置的含義是允許任何域發起的請求都可以獲取當前服務器的數據。當然,這樣有很大的危險性,惡意站點可能通過XSS攻擊我們的服務器。所以我們應該盡量有針對性的對限制安全的來源,例如下面的設置使得只有http://wysblog.com/這個域才能跨域訪問服務器的API。
httpd.conf中:
Header set Access-Control-Allow-Origin http://www.wysblog.com
php文件中:
<?php
header("Access-Control-Allow-Origin:http://www.wysblog.com");
前台代碼:
<script type="text/javascript"> function createCORSRequest(method, url) { var xhr = new XMLHttpRequest(); if ("withCredentials" in xhr) { // 此時即支持CORS的情況 // 檢查XMLHttpRequest對象是否有“withCredentials”屬性 // “withCredentials”僅存在於XMLHTTPRequest level 2對象里 } else { // 否則檢查是否支持XDomainRequest // XDomainRequest僅存在於IE中,是IE用於支持CORS請求的方式 xhr = new XDomainRequest(); } xhr.open(method, url, true); xhr.send(); xhr.onload = function(){ alert(xhr.responseText); } } createCORSRequest('GET', "http://192.168.1.58/t.php"); </script>