websocket 带头部信息请求 header_关于websocket跨域的一个奇怪问题
最近在建设 websocket 长连接网关,过程中遇到一件比较奇怪的事情,做下简单的记录。
需求十分的简单,websocket 网关在做权限校验的时候期望复用现有登录逻辑的 jwt-token。如下图所示,sso 与 websocket 网关属于不同的二级域名,登录的 jwt-token cookie 的 domain 设置为 *.xx.com。所以我们的期望是浏览器与 websocket 网关进行 handshark 请求时可以带上 jwt-token cookie。
结果自然是不行的,服务端并没有收到来自 *.xx.com 的 cookie。于是开始考虑可能和跨域行为有关系。
CORS
CORS 是一种用于解决跨域的 w3c 标准,全称为 "跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。CORS 基于 http 协议关于跨域方面的规定,使用时,客户端浏览器直接异步请求被调用端服务端,在响应头增加响应的字段,告诉浏览器后台允许跨域。
概括的说,CORS 就是服务端对跨域权限的控制,由一组标准的 header 来控制客户端的跨域行为,不同浏览器对于 CORS 的实现均有不同。
常用的 CORS header 主要有:
Access-Control-Allow-Origin :指示请求的资源能共享给哪些域,可以是具体的域名或者 * 表示所有域。
Access-Control-Allow-Credentials :指示当请求的凭证标记为 true 时,是否响应该请求。
Access-Control-Allow-Headers :用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。
Access-Control-Allow-Methods:指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。
CORS 处理请求的流程如下:
判断当前请求是否简单请求。
如果不是简单请求,则会使用 OPTIONS 方法先发起一个预检请求 (PreFlight),预检请求通过返回的 response 里设置了对应的 header 并匹配上了才会进行下一步具体的请求。
预检请求后会发起实际请求,但会根据返回的 response header 来决定请求行为,例如根据服务端设置的 Access-Control-Allow-Credentials 值来决定请求是否携带当前域的 cookie。
这里涉及到的简单请求和非简单请求的概念,那么简单请求和非简单请求有什么区别呢?若请求满足所有下述条件,则该请求可视为简单请求:
使用了下列 HTTP 方法:GET、HEAD、POST。
只用了以下 header:Accept、Accept-Language、Content-Language、Content-Type(有额外限制)、DPR、Downlink、Save-Data、Viewport-Width、Width。
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
请求中没有使用 ReadableStream 对象。
经过一番简单的科普,回到我们的问题上来。浏览器对 websocket 的 handshark 请求会不会应用同源策略呢。我们先不回答,先来看看如果 CORS 应用在 websocket 上会是什么样的。
首先一个 websocket 的握手连接报文大概如下:
GET / HTTP/1.1
Upgrade: websocket
Connection: Upgrade
Host: ws.xx.com
Origin: http://www.xx.com
Sec-WebSocket-Key: sB9cRrP/a9NdMgdcy2VJFX==
Sec-WebSocket-Version: 11
它和普通 HTTP 请求的区别是多了两行 header
Upgrade: websocket
Connection: Upgrade
显然它们不属于 CORS 安全的 header 集合,自然浏览器会认为这不是一个 "简单请求"。那么它会按照发起 "预检请求",随后根据返回的 response header 来判断下一步行为。此处我们希望能带上当前域的 cookie,那么按照 CORS 标准,我们需要在服务端做一些配置,让其支持 CORS 并带上 Access-Control-Allow-Credentials 为 true 的 response header。
我们使用的是 Netty 来构建 websocket 网关,Netty 支持 CORS 很简单:
CorsConfig corsConfig = CorsConfigBuilder.forAnyOrigin().allowNullOrigin().allowCredentials().build();
pipeline.addLast(new CorsHandler(corsConfig));
结果是什么呢?我们的 websocket 服务端正确拿到了 *.xx.com 的 cookie,并完成了后续鉴权工作。
websocket 需要 CORS 么?
所以真相是什么呢?websocket 也需要 CORS 支持来避免跨域问题么?
google 任何 websocket 与跨域相关的问题都会告诉你,websocket 本身就是支持跨域的,websocket 本身没有同源策略!也就是说,在第一幅图中,我们应该不作任何事就可以把 xx.com 的 cookie 带到 ws.xx.com 的 websocket 网关上去,这似乎和我们实际情况不符。
我们使用的是 chrome,后来突发奇想试了下 firefox 与 safari,结论是这两者不用配置任何 CORS 相关属性就可以把 cookie 带上。难道这是 chrome 的一个 bug? 翻了翻网络,找到了一个似乎可以应征的 bug report: Cookies not sent in Websocket handshake with cookies blocked and domain whitelisted (https://bugs.chromium.org/p/chromium/issues/detail?id=947413)
作者:fredalxin
来源链接:
https://fredal.xin/websocket-cors-problem
websocket 带头部信息请求 header_关于websocket跨域的一个奇怪问题相关推荐
- websocket 带头部信息请求 header_BeetleX之Websocket协议分析详解
Websocket应用协议已经普及多年了,它是HTTP1.1的内部升级协议,主要作用是补充HTTP1.1无法灵活地主动推送消息给客户端的缺陷问题.在这里主要介绍一下使用组件如何扩展一个完整的Webso ...
- http与websocket(基于SignalR)两种协议下的跨域基于ASP.NET MVC--竹子整理
这段时间,项目涉及到移动端,这就不可避免的涉及到了跨域的问题.这是本人第一次接触跨域,有些地方的配置是有点麻烦,导致一开始的不顺. 至于websocket具体是什么意义,用途如何:请百度. 简单说就是 ...
- 网络协议从入门到底层原理(6)应用层 - 域名、DNS、DHCP、HTTP(ABNF、HTTP报文格式、请求方法、头部字段、状态码、跨域)、代理、CDN
应用层 域名( Domain Name)- 顶级域名.二级域名 DNS - DNS服务器.常用命令 DHCP(DISCOVER.OFFER.REQUEST.ACKNOWLEDGE) HTTP HTTP ...
- 前端cookie 放到请求头_ajax请求携带cookie和自定义请求头header(跨域和同域)
错误: 1.ajax请求时是不会自动带上cookie的,要是想让他带上的话,必须设置withCredential为true. 正确: 1.ajax同域请求下,ajax会自动带上同源的cookie: 2 ...
- ajax请求时cookie,ajax跨域请求中的cookie问题
update 另一个问题 ajax在进行复杂请求如PUT,POST,DELETE等时,当请求为cross domain request是,会先发一个OPTIONS请求确认服务器的跨域支持情况,在发送原 ...
- ajax 跨域请求_什么是跨域问题?如何解决?
1. 概述 几个疑问: 什么是跨域? 如何判断是否产生「跨域」? 跨域,带来的问题? 跨域问题,解决思路? 2. 跨域:是什么 跨域的问题根源:浏览器的「同源策略」. 2.1. 同源策略 同源策略(S ...
- axios不发起请求_axios无法发起跨域请求
具体情况看截图 我封装了一个ajax模块,源码如下 import axios from 'axios' import Qs from 'qs' export default { post: funct ...
- php 微信授权 跨域,微信公众号支付 请求跳转code跨域
1.开发微信商城公众号支付,前端发起ajax请求到服务器初始化订单.之后由服务器获取openid之后发起支付.在获取openid的第一步出现跨域异常.一下是部分代码: header('Access-C ...
- 微信小程序请求的封装及跨域的解决。
我这个是把所有请求都抽离到不同页面对应的js文件中,可以方便后期的修改和排查问题. 第一步:新建api文件夹并创建config.js文件配置公共信息 const baseURL='http://xxx ...
最新文章
- C#按关闭按钮实现最小化,按ESC才关闭的实现【含系统消息大全】
- IPv6的利与弊—Vecloud微云
- Css框架and公共Css文件
- 双系统重装windows以后修复ubuntu的引导
- HDOJ 2196
- linux忘记mysql密码_linux下忘记mysql root密码解决办法 | 系统运维
- 计算机用户 图片存储位置,手机相册在哪个文件夹,详细教您手机图片存放在哪里...
- redis debug命令详解
- Eclisp配置Maven(基础简易版)
- java http 面试题_Java面试高级篇—说说TCP,UDP和socket,Http之间联系和区别面试题12期...
- 说说年度补税退税的问题
- 7.携程架构实践 --- IaaS & PaaS
- Altium Designer 入门教程
- ns3学习之初识ns3
- 普源示波器 电脑 连接 软件_乐高wedo2.0电脑软件安装及蓝牙连接方法
- JOB DESCRIPTION
- WebGL默认全屏显示
- 零基础做一个微信答题小程序(二)
- java ipc pgsql_[转]PostgreSQL源码结构
- 【C++学习笔记】函数匹配和函数指针