cors跨域探讨
前端跨域
前端跨域方案很多,jsonp
、iframe
等等,但是个人觉得,最正宗,最无损的跨域方式还是CORS
。CORS
(Cross-origin resource sharing
)是一个W3C标准,翻译过来是跨域资源共享。
它允许浏览器向跨域(协议、域名、端口任一不相同)服务器发送XMLHttpRequest
请求。
目前支持所有现代浏览器(>IE10)
借阅了阮一峰大神的《跨域资源共享 CORS 详解》,结合自己的理解,说一说自己的CORS
的领会。
简介
CORS
协议本身,可以说,完全是由浏览器执行的。
对前端开发者而言,CORS
是在浏览器检查到跨域请求的时候,自动发起的。
对后台开发者而言,只要在headers
中返回特定的信息(相当于白名单)–具体的CORS
步骤,浏览器会根据headers
中返回的信息做出具体的行为。
请求
浏览器会自动将请求分为两类:简单请求、非简单请求。
只要同时满足以下条件,就属于简单请求。
(1) 请求方法是以下三种方法之一:
· HEAD
· GET
· POST
(2)HTTP的头信息不超出以下几种字段:
· Accept
· Accept-Language
· Content-Language
· Last-Event-ID
· Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。
简单请求
当浏览器发起简单请求的时候,会自动在请求头加上origin
,标识请求来源。
这时候,服务器需要携带Access-Control-Allow-Origin
返回,并且里面的值包含origin
,浏览器才会允许xhr
获取返回的内容。
一条简单的跨域请求就完成了:
前端不需要写任何东西。
后台也可以不做任何逻辑处理,一律返回Access-Control-Allow-Origin
。
全部的CORS
把关工作都在浏览器端正式执行。
同时,发起跨域请求的时候,默认是不带cookie
的,需要手动开启,后台也需要权限允许。
一个简单的跨域样例如下:
非简单请求
当浏览器判定是非简单请求的时候,会在发正式请求前,想同一地址发起一个options
的预请求。
预请求携带了正式请求的方法(method)和特殊头(headers)。
Access-Control-Request-Method: POST,
Access-Control-Request-Headers: CARVEN
然后服务器返回自己允许的方法(method)和特殊头(headers),当然还有允许域
Access-Control-Allow-Method: POST, PUT
Access-Control-Allow-Headers: CARVEN, ZJY
Access-Control-Allow-Origin: http://localhost:63342
然后浏览器会比较,如果请求发起内容–origin
,method
,headers
,都在服务器响应的名单里,正式请求就可以发起了,流程再次回归到简单请求.
为什么会有非简单请求?
对于非简单(偏激理解为 危险)的请求,做到询问与逻辑代码的隔离。
比如:PUT、DELETE等method,从规范来说,会使目标地址发生增、删等行为,使目标服务器资源发生改变。
所以,浏览器会发起正式请求前,先向发起一次预请求,等到允许后再发正式请求。
请求如图:
控制CORS
在ES6的fetch中,已经可以控制cors
开关了。
fetch(url,{ mode: mode})
- mode=same-origin,不支持跨域,直接在浏览器端拦截跨域请求
mode=no-cors,不执行跨域协议,即不存在跨域问题,即使有特殊header,也不发options。
但是只支持HEAD、GET、POST,且代码不能接收到响应信息。mode=cors,默认,执行cors协议。
结尾
前面举的实行例子,只是最简单的cors
规则演示,但其实,前后台手动通过获取headers
上携带的各种信息,可以很灵活的做其他的逻辑处理。