使用CORS解決跨域問題

1.跨域問題

1.1 什么是跨域

跨域是指跨域名的訪問，以下情況都屬於跨域：

跨域原因說明	示例
域名不同	www.jd.com 與 www.taobao.com
域名相同，端口不同	www.jd.com:8080 與 www.jd.com:8081
二級域名不同	item.jd.com 與 miaosha.jd.com

如果域名和端口都相同，但是請求路徑不同，不屬於跨域，如：

www.jd.com/item

www.jd.com/goods

1.2 為什么有跨域問題？

跨域不一定會有跨域問題。

因為跨域問題是瀏覽器對於ajax請求的一種安全限制：一個頁面發起的ajax請求，只能是於當前頁同域名的路徑，這能有效的阻止跨站攻擊。

因此：跨域問題 是針對ajax的一種限制。

但是這卻給我們的開發帶來了不變，而且在實際生成環境中，肯定會有很多台服務器之間交互，地址和端口都可能不同，怎么辦？

1.3 解決跨域問題的方案

目前比較常用的跨域解決方案有3種：

• Jsonp

  最早的解決方案，利用script標簽可以跨域的原理實現。

  限制：

  • 需要服務的支持
  • 只能發起GET請求

  Jsonp原理與實踐

• nginx反向代理

  思路是：利用nginx反向代理把跨域為不跨域，支持各種請求方式

  缺點：需要在nginx進行額外配置，語義不清晰

• CORS

  規范化的跨域請求解決方案，安全可靠。

  優勢：

  • 在服務端進行控制是否允許跨域，可自定義規則
  • 支持各種請求方式

  缺點：

  • 會產生額外的請求

我們這里會采用cors的跨域方案。

2 cors解決跨域

2.1 什么是cors

CORS是一個W3C標准，全稱是"跨域資源共享"（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

CORS需要瀏覽器和服務器同時支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低於IE10。

• 瀏覽器端：

  目前，所有瀏覽器都支持該功能（IE10以下不行）。整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。

• 服務端：

  CORS通信與AJAX沒有任何差別，因此你不需要改變以前的業務邏輯。只不過，瀏覽器會在請求中攜帶一些頭信息，我們需要以此判斷是否運行其跨域，然后在響應頭中加入一些信息即可。這一般通過過濾器完成即可。

2.2 原理有點復雜

瀏覽器會將ajax請求分為兩類，其處理方案略有差異：簡單請求、特殊請求。

簡單請求

只要同時滿足以下兩大條件，就屬於簡單請求。：

（1) 請求方法是以下三種方法之一：

• HEAD
• GET
• POST

（2）HTTP的頭信息不超出以下幾種字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

當瀏覽器發現發現的ajax請求是簡單請求時，會在請求頭中攜帶一個字段：Origin.

 

Origin

Origin中會指出當前請求屬於哪個域（協議+域名+端口）。服務會根據這個值決定是否允許其跨域。

如果服務器允許跨域，需要在返回的響應頭中攜帶下面信息：

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8

• Access-Control-Allow-Origin：可接受的域，是一個具體域名或者*，代表任意
• Access-Control-Allow-Credentials：是否允許攜帶cookie，默認情況下，cors不會攜帶cookie，除非這個值是true

注意：

如果跨域請求要想操作cookie，需要滿足3個條件：

• 服務的響應頭中需要攜帶Access-Control-Allow-Credentials並且為true。
• 瀏覽器發起ajax需要指定withCredentials 為true
• 響應頭中的Access-Control-Allow-Origin一定不能為*，必須是指定的域名

特殊請求

不符合簡單請求的條件，會被瀏覽器判定為特殊請求,，例如請求方式為PUT。

預檢請求

特殊請求會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。

瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

一個“預檢”請求的樣板：

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

與簡單請求相比，除了Origin以外，多了兩個頭：

• Access-Control-Request-Method：接下來會用到的請求方式，比如PUT
• Access-Control-Request-Headers：會額外用到的頭信息

預檢請求的響應

服務的收到預檢請求，如果許可跨域，會發出響應：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外，這里又額外多出3個頭：

• Access-Control-Allow-Methods：允許訪問的方式
• Access-Control-Allow-Headers：允許攜帶的頭
• Access-Control-Max-Age：本次許可的有效時長，單位是秒，過期之前的ajax請求就無需再次進行預檢了

如果瀏覽器得到上述響應，則認定為可以跨域，后續就跟簡單請求的處理是一樣的了。

2.3 實現非常簡單

雖然原理比較復雜，但是前面說過：

• 瀏覽器端都有瀏覽器自動完成，我們無需操心
• 服務端可以通過攔截器統一實現，不必每次都去進行跨域判定的編寫。

事實上，SpringMVC已經幫我們寫好了CORS的跨域過濾器：CorsFilter ,內部已經實現了剛才所講的判定邏輯，我們直接用就好了。

在Application下編寫一個配置類，並且注冊CorsFilter：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; @Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { //1.添加CORS配置信息 CorsConfiguration config = new CorsConfiguration(); //1) 允許的域,不要寫*，否則cookie就無法使用了 config.addAllowedOrigin("http://manage.leyou.com"); //2) 是否發送Cookie信息 config.setAllowCredentials(true); //3) 允許的請求方式 config.addAllowedMethod("OPTIONS"); config.addAllowedMethod("HEAD"); config.addAllowedMethod("GET"); config.addAllowedMethod("PUT"); config.addAllowedMethod("POST"); config.addAllowedMethod("DELETE"); config.addAllowedMethod("PATCH"); // 4）允許的頭信息 config.addAllowedHeader("*"); //2.添加映射路徑，我們攔截一切請求 UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource(); configSource.registerCorsConfiguration("/**", config); //3.返回新的CorsFilter. return new CorsFilter(configSource); } } 

結構：

放到Application下即可。

 

GlobalCorsConfig

4.5.4.重啟測試：

訪問正常：

 

訪問正常

作者：最后的輕語_dd43
鏈接：https://www.jianshu.com/p/98d4bc7565b2
來源：簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

 

 

PHP開啟CORS

php后台響應頭部代碼

  php可以控制本次請求的響應頭，在響應結果中添加我們想返回的字段。我們只要在頁面響應之前添加以下響應頭操作代碼即可。

 

//json頭
header("Content-type: application/json");
//跨域
header("Access-Control-Allow-Credentials: true");// 設置是否允許發送 cookies
header("Access-Control-Allow-Origin: http://www.k2zone.cn"); //允許哪些url可以跨域請求到本域
//CORS
header("Access-Control-Request-Methods:GET, POST, PUT, DELETE, OPTIONS"); //允許的請求方法，一般是GET,POST,PUT,DELETE,OPTIONS
header('Access-Control-Allow-Headers:x-requested-with,content-type,test-token,test-sessid');//注意頭部自定義參數不要用下划線
或header(‘Access-Control-Allow-Headers:Content-Type,Content-Length,Accept-Encoding,X-Requested-with, Origin‘);
header('Access-Control-Expose-Headers: *');  //服務器 headers 白名單，可以讓客戶端進行訪問 允許哪些請求頭可以跨域
或header(‘Access-Control-Expose-Headers:Content-Length,Content-Range‘);

header('Access-Control-Max-Age:60'); //表明在該時間段內不再“預檢”允許的請求方法（相當於緩存），即不以OPTIONS方法進行請求

 

 上面的代碼將允許來自http://www.k2zone.cn的訪問，並且支持攜帶Cookie訪問。但是在實際生產中可能會遇到需要多個域名跨域，這樣我們就需要來動態獲取請求者域名。

允許多域名跨域

$_ALLOW_ORIGIN = array(
          'http://127.0.0.1:8080'
);
      $_ORIGIN = isset($_SERVER['HTTP_ORIGIN'])? $_SERVER['HTTP_ORIGIN'] : '';
      if(in_array($_ORIGIN, $_ALLOW_ORIGIN)){
          header('Access-Control-Allow-Origin:'.$_ORIGIN);
      }
      header('Access-Control-Allow-Credentials: true'); // 設置是否允許發送 cookies
      header('Access-Control-Expose-Headers: *');
      header('Access-Control-Allow-Headers: *');
}

例如：

$origin = isset($_SERVER['HTTP_ORIGIN'])? $_SERVER['HTTP_ORIGIN'] : '';  

$allow_origin = array( 
 'http://baidu.com';, 
 'http://xuzg.com'; 
); 
 
if(in_array($origin, $allow_origin)){ 
 header('Access-Control-Allow-Origin:'.$origin); 
}

 上面的代碼可以設置域名白名單，通過$_SERVER['HTTP_ORIGIN']可以獲取到請求的來源，通過判斷是否存在來控制跨域權限。

 

 

js請求代碼

 

$.ajax({
        type: "POST",
        url: "",
        xhrFields: {withCredentials: true},
        crossDomain: true,
        data: "",
        beforeSend: function (XMLHttpRequest) {
            XMLHttpRequest.setRequestHeader("test-token", 'abcd');
            XMLHttpRequest.setRequestHeader("test-sessid", 'abcd');
        },
        error: function (XMLHttpRequest) {
            if (XMLHttpRequest.status === 401) {

            }
        },
        success: function () {},
        complete: function () {}
    });

 

http是無狀態的，因此我們通常需要用到cookie以及session來保存狀態，session是在服務器端存儲的，會和cookie一起使用，設置了session之后，會發送給瀏覽器一個cookie,這個cookie是session_id，當再次請求的時候瀏覽器會將它發送給服務器，以此來找到對應的session.
但是，我們實際使用的時候通常會用到跨域，就是向不同的域發起請求，但是默認情況下此時cookie是不會發送給服務器的，此時就導致了丟失session_id,從而導致了session的值為undefined。解決方案如下：
首先，前端頁面發起ajax請求時，加上參數：

jquery ajax:

withCredentials: true, 

或者：xmlHttpRequest ajax:

xmlHttp.withCredentials = true;

 

 

 

  http://www.jinhuajuanke.cn/jswz/front-end/365.html