php跨域资源共享,CORS 跨域资源共享
CORS (Cross-Origin Resource Sharing) 跨域资源共享
为什么需要 CORS
首先,跨域指的是同一个域名下的资源,同时要注意域名与子域名,比如 developers.e.qq.com 和 developers.proxy.qq.com 不属于同一个域,同样属于跨域访问
由于 同源策略,浏览器会限制脚本中发起的跨域请求,比如通过 XMLHttpRequest 就不能发起的跨域请求
PS: 不是不能发跨域请求,而是跨域请求可以正常发起,只不过浏览器会拦截返回结果
虽然有一些 jsonp 这些请求方式,不过都只是利用了一些标签的可跨域性解决的,实质上已经不属于 XMLHttpRequest 的范围了
为了能开发出更强大、更丰富、更安全的 Web 应用程序,能够在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨域 HTTP 请求,于是就产生了一种新的机制,即 跨域资源共享(Cross-Origin Resource Sharing (CORS))
这种机制让 Web 应用服务器能支持跨域访问控制,从而使得安全地进行跨域数据传输成为可能
需要注意的是,浏览器必须能够支持这种新的访问机制,包括请求头和策略执行。同样,服务器端则需要解析这些新的请求头,并按照策略返回相应的响应头以及所请求的资源
在说 CORS 之前,我们先来弄清两个概念,请求与预请求
请求就不用多说,就是正常的 HTTP 请求
预请求
首先,发送的请求要满足以下条件
请求以 GET, HEAD 或者 POST 以外的方法发起请求
如果使用 POST 的话,请求的 Content-Type 必须是 application/x-www-form-urlencoded, multipart/form-data 或者 text/plain 以外的数据类型。比如,POST 发送的 Content-Type 为 application/xml 或者 text/xml
使用自定义请求头(比如: X-TEST)
当请求包含这几种特征时,该请求会先发出一个 预请求,以 OPTIONS 的方式对服务器先请求,当保证满足 CORS 约定的条件时,才会发出正式的请求
简单来说,预请求 就是为了保证服务器能够支持跨域访问,保证整个过程的访问安全
CORS 请求过程
ok,接下来我们来说如何通过 CORS 进行跨域访问,这里我们用 jquery 的 $.ajax() 的方法请求
首先,我们通过 预请求 的方式来确定服务器是否支持跨域
$.ajax({
url: 'http://developers.proxy.e.qq.com/cors.php',
method: 'POST',
'Content-Type': 'application/json',
headers: {
'X-TEST': 'test',
},
success: function(data) {
console.log(data);
}
});
下面是 预请求 的请求头信息和响应头信息
// request headers
OPTIONS /cors.php HTTP/1.1
Host: developers.proxy.e.qq.com
Connection: keep-alive
Cache-Control: max-age=0
Access-Control-Request-Method: POST
Origin: http://localhost
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 > Safari/537.36
Access-Control-Request-Headers: accept, x-test
Accept: /
Referer: http://localhost/example/index.php
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
// response headers
HTTP/1.1 200 OK
Date: Fri, 19 Aug 2016 03:32:18 GMT
Server: Apache
Access-Control-Allow-Origin: http://localhost
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-TEST
Access-Control-Max-Age: 86400
Cache-Control: max-age=0
Expires: Fri, 19 Aug 2016 03:32:18 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 23
Connection: close
Content-Type: text/html
在这里我们可以看到,预请求 的请求头信息中有 Access-Control-Request-Headers: accept, x-test 和 Access-Control-Request-Method: POST 这两个头信息
Access-Control-Request-Headers:头信息会告诉服务器,正式请求将会携带 accept、x-test 两个请求头信息
Access-Control-Request-Method:头信息则告诉服务器,正式请求将会以 POST 的方式发起
然后服务器的响应头信息里面
Access-Control-Allow-Headers : 告诉我们接受 X-TEST 这个自定义的 header 头
Access-Control-Allow-Methods : 服务器接受的方法 POST, GET, OPTIONS
Access-Control-Allow-Origin : 允许跨域访问的域名列表,这里是 localhost
Access-Control-Max-Age : 本次 预请求 的响应结果有效时间是多久,这里 86400 秒表示一天内,浏览器在处理针对该服务器的跨站请求,都可以无需再发送预请求
请求头里面的信息会和响应头信息里面的内容进行核对,如果条件都满足的话,预请求完成
然后 预请求 结束,结果表明支持跨域访问,并且现在的域名也在跨域访问的列表内,确认信息后,接下来会进行正式的请求
下面是正式请求的请求头信息和响应头信息
// request headers
POST /cors.php HTTP/1.1
Host: developers.proxy.e.qq.com
Connection: keep-alive
Content-Length: 0
Cache-Control: max-age=0
Accept: /
X-TEST: test
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 > Safari/537.36
Origin: http://localhost
Referer: http://localhost/example/index.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
// response headers
HTTP/1.1 200 OK
Date: Fri, 19 Aug 2016 03:32:18 GMT
Server: Apache
Access-Control-Allow-Origin: http://localhost
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-TEST
Access-Control-Max-Age: 86400
Cache-Control: max-age=0
Expires: Fri, 19 Aug 2016 03:32:18 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 23
Connection: close
Content-Type: text/html
这样就完成了一次 CORS 的跨域请求过程
注意:服务器端也要做响应的配置,如下示例:
// PHP 为例
header('Access-Control-Allow-Origin: http://localhost');
header('Access-Control-Allow-Methods: POST, GET, OPTIONS');
header('Access-Control-Allow-Headers: X-TEST');
header('Access-Control-Max-Age: 0');
携带 Cookies 的请求
需要再 xhr 里面设置 withCredentials: true
同时服务器上面要设置返回的响应头信息 Access-Control-Allow-Credentials: true,否则不会返回响应结果以保证信息的安全
$.ajax({
url: 'http://developers.proxy.e.qq.com/cors.php',
method: 'POST',
'Content-Type': 'text/plain',
xhrFields: {
withCredentials: true,
},
headers: {
'X-TEST': 'test',
},
success: function(data) {
console.log(data);
}
});
对应的,服务器上要加上:
// PHP 为例
header('Access-Control-Allow-Credentials: true');
下面我们来列举整个过程涉及到的响应头信息和请求头信息
HTTP 响应头
Access-Control-Expose-Headers : 允许访问服务器的头信息的白名单
Access-Control-Allow-Origin : 允许跨域访问的域名白名单
Access-Control-Allow-Methods : 允许跨域访问的 Method
Access-Control-Allow-Headers : 跨域访问时可以使用的自定义的 HTTP 请求头
Access-Control-Max-Age : 本次预请求结果的有效期,在这个时间内不需要再次预请求
Access-Control-Allow-Credentials : 当为 true 时,表明本次请求是携带 Cookies 的请求
HTTP 请求头
Origin : 发送请求或是预请求的域名
Access-Control-Request-Method : 在正式请求中会使用的 Method
Access-Control-Request-Headers : 在正式请求中会携带的头信息
php跨域资源共享,CORS 跨域资源共享相关推荐
- php cros跨域处理,CORS跨域问题解决方案
跨域问题主要是由于浏览器同源策略限制引起,简单来说,就是只相信自己人,不相信外人,只响应同域名发来的http请求,不相信其他域名发来的http请求.好处是减少上当受骗的几率,缺点是不符合webapi的 ...
- nginx解决浏览器跨域问题_Nginx解决前端跨域问题 CORS跨域配置
最近连续两个朋友问我跨域相关问题,我猜想可能不少朋友也遇到类似问题,我打算写个博客聊一下我实际使用的配置, 先说明一下,我并不太了解这配置,没精力去了解太多,但我觉得其中有一些关键的小注意点,可能有些 ...
- Spring Boot CORS跨域资源共享实现方案
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能 同源策略限制cookie 等信息的跨源网页读取,可以保护本地用户信息 同源策略限制跨域 aja ...
- Web API 实现JSONP或者安装配置Cors跨域
前言 照理来说本节也应该讲Web API原理,目前已经探讨完了比较底层的Web API消息处理管道以及Web Host寄宿管道,接下来应该要触及控制器.Action方法,以及过滤器.模型绑定等等,想想 ...
- 跨域资源共享CORS详解
最近深入了解了CORS的相关东西,觉得阮一峰老师的文章写得最详细易懂了,所有转载作为学习笔记. 原文地址:跨域资源共享 CORS 详解 CORS是W3C的一个标准,全称是跨域资源共享(Cross-or ...
- javascript --- XMLHttp2级、CORS(跨域资源共享)
FormData: // 为序列化表单以及创建与表单格式相同的数据提供了便利 var data = new FromData(); data.append("name", &quo ...
- xmlhttprequest 跨域_跨域资源共享(CORS)安全性
跨域资源共享(CORS)安全性 背景 提起浏览器的同源策略,大家都很熟悉.不同域的客户端脚本不能读写对方的资源.但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域.比如在同域内做一 ...
- cors跨域资源共享】同源策略和jsonp
在执行下面那段代码的时候,我遇到了一个跨域资源共享的问题 <!doctype html> <html> <head> <meta charset=" ...
- CORS跨域资源共享(二):详解Spring MVC对CORS支持的相关类和API【享学Spring MVC】
每篇一句 重构一时爽,一直重构一直爽.但出了问题火葬场 前言 上篇文章通过我模拟的跨域请求实例和结果分析,相信小伙伴们都已经80%的掌握了CORS到底是怎么一回事以及如何使用它.由于Java语言中的w ...
最新文章
- 理解 IntelliJ IDEA 的项目配置和Web部署
- oracle数据库数据导入导出步骤(入门)
- python多线程详解_python基础:python多线程详解
- Maven对插件进行全局设置
- 2021牛客多校3 - Kuriyama Mirai and Exclusive Or(差分+倍增)
- 图像拼接c语言,安卓上实现图像拼接(JNI调用NATIVE方法)
- redis基础类型:string
- EasyUI的DataGrid 分页栏英文改中文解决方案
- 用于机器学习的Python和HDFS
- wordpress 使用mysql添加文章_WordPress代码插入文章函数:wp_insert_post
- 使用pyqt开发gui(pyqt集成到pycharm)
- Bex5文档服务器,不通过登录直接打开BeX5的首页和功能页的url是什么?
- Linux 系统下实践 VLAN
- 大牛云集!清华大学2019年姚班及智班第一届AI本科生名单公布!
- js移除Array中指定元素
- 星云日记是什么?流量共享,一键解决卖货难题
- os.path.isfile() 判断问题
- 容器服务Kubernetes或jenkins 414问题
- bzoj1038 瞭望塔
- 计算机毕业设计ssm+vue基本微信小程序的健康管理系统
热门文章
- 列出Sell in application所有可以传输的application object
- 关于MyAccount无法在standalone环境下运行的问题
- SM37作业条目的存储表
- 如何添加任意一个UI component到SAP CRM的overview页面上
- 在SAP Smart Business workspace里创建KPI tile的错误消息分析
- SAP CRM的IOITF框架:Individual Object Integration Framework
- 聊聊JavaScript和Scala的表达式 Expression
- python web server_Python实现简易版的Web服务器(推荐)
- access2003安装包百度云_阿里云服务器安装JDK与配置环境详细步骤
- 2021广西对口中职高考成绩查询,教育资讯:2021广西本科对口中职分数线公布时间 几号查分...