Yii2 Restful 跨域調用 - CORS 過濾器

標簽（空格分隔）： Yii2

1 CORS 簡介

跨域資源共享（Cross-origin resource sharing CORS）允許一個網(wǎng)站從其他域(domain) 請求資源。

正常情況下，由于同源安全策略(same origin security policy),跨域資源訪問請求(cross-domain resourse requests) 會被瀏覽器禁止叨吮。CORS 定義了一種 Browser和 Server 協(xié)同來決定是否允許跨域請求。

2 Yii2 實現(xiàn) CORS

2.1 使用默認設置

yii\filters\Cors 過濾器可以用來幫助 Yii2 配置是否允許跨域請求。
Cors 過濾器必須在 Authentication / Authorization filters之前糊闽，保證 CORS headers 總是被發(fā)送給瀏覽器邢锯。

在Controller 中添加如下代碼即可

use yii\filters\auth\HttpBasicAuth;

public function behaviors()
{
    $behaviors = parent::behaviors();

    // remove authentication filter
    $auth = $behaviors['authenticator'];
    unset($behaviors['authenticator']);
    
    // add CORS filter
    $behaviors['corsFilter'] = [
        'class' => \yii\filters\Cors::className(),
    ];
    
    // re-add authentication filter
    $behaviors['authenticator'] = $auth;
    // avoid authentication on CORS-pre-flight requests (HTTP OPTIONS method)
    $behaviors['authenticator']['except'] = ['options'];

    return $behaviors;
}

上面代碼將使用默認 $cors 設置。

$cors 默認值

public $cors = [
        'Origin' => ['*'],
        'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
        'Access-Control-Request-Headers' => ['*'],
        'Access-Control-Allow-Credentials' => null,
        'Access-Control-Max-Age' => 86400,
        'Access-Control-Expose-Headers' => [],
    ];

1. cors['Origin']: 允許的源. [''] (所有都允許) 或者 ['http://www.myserver.net', 'http://www.myotherserver.com']谊囚。默認 ['']怕享。

cors['Access-Control-Request-Method']: 允許的動詞，比如 ['GET', 'OPTIONS', 'HEAD']. 默認 ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS']镰踏。
cors['Access-Control-Request-Headers']: 允許的請求頭函筋。 [''] 所有請求頭都允許或者具體指定 ['X-Request-With'].默認[''].
cors['Access-Control-Allow-Credentials']: 是否允許使用 credentials。允許的值 true, false or null 奠伪，默認 null.
cors['Access-Control-Max-Age']: pre-flight 請求的生命周期跌帐。默認 86400.**

2.2 使用自定義設置

Cors 過濾器可以使用$cors屬性來調整響應頭。

代碼

public function behaviors()
{
    return [
        'corsFilter' => [
            'class' => \yii\filters\Cors::className(),
            'cors' => [
                // restrict access to
                'Origin' => ['http://www.myserver.com', 'https://www.myserver.com'],
                'Access-Control-Request-Method' => ['POST', 'PUT'],
                // Allow only POST and PUT methods
                'Access-Control-Request-Headers' => ['X-Wsse'],
                // Allow only headers 'X-Wsse'
                'Access-Control-Allow-Credentials' => true,
                // Allow OPTIONS caching
                'Access-Control-Max-Age' => 3600,
                // Allow the X-Pagination-Current-Page header to be exposed to the browser.
                'Access-Control-Expose-Headers' => ['X-Pagination-Current-Page'],
            ],

        ],
    ];
}

2.3 為特定 action 設置響應頭

可以使用 $actions 屬性為特定 action 調整 CORS 響應頭绊率，她會覆蓋 $cors 上的相同設置谨敛。比如為 actionLogin 添加 Control-Allow-Credentials
代碼

 

public function behaviors()
{
    return ArrayHelper::merge([
        [
            'class' => Cors::className(),
            'cors' => [
                'Origin' => ['http://www.myserver.net'],
                'Access-Control-Request-Method' => ['GET', 'HEAD', 'OPTIONS'],
            ],
            'actions' => [
                'login' => [
                    'Access-Control-Allow-Credentials' => true,
                ]
            ]
        ],
    ], parent::behaviors());
}

3 參考

[Cors][1]
[1]: http://www.yiiframework.com/doc-2.0/guide-structure-filters.html#cors

guide-rest-controllers

最后編輯于：2017.12.10 03:14:56

?著作權歸作者所有,轉載或內容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個濱河市滤否，隨后出現(xiàn)的幾起案子脸狸，更是在濱河造成了極大的恐慌，老刑警劉巖藐俺，帶你破解...
沈念sama閱讀 221,548評論 6贊 515
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件炊甲，死亡現(xiàn)場離奇詭異，居然都是意外死亡欲芹，警方通過查閱死者的電腦和手機卿啡，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 94,497評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來菱父，“玉大人颈娜，你說我怎么就攤上這事剑逃。” “怎么了揭鳞？”我有些...
開封第一講書人閱讀 167,990評論 0贊 360
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵炕贵，是天一觀的道長。經(jīng)常有香客問我野崇，道長称开，這世上最難降的妖魔是什么？我笑而不...
開封第一講書人閱讀 59,618評論 1贊 296
?港島之戀（遺憾婚禮）
正文為了忘掉前任乓梨，我火速辦了婚禮鳖轰，結果婚禮上，老公的妹妹穿的比我還像新娘扶镀。我一直安慰自己蕴侣，他們只是感情好，可當我...
茶點故事閱讀 68,618評論 6贊 397
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布臭觉。她就那樣靜靜地躺著昆雀，像睡著了一般。火紅的嫁衣襯著肌膚如雪蝠筑。梳的紋絲不亂的頭發(fā)上狞膘，一...
開封第一講書人閱讀 52,246評論 1贊 308
城市分裂傳說
那天，我揣著相機與錄音什乙，去河邊找鬼挽封。笑死，一個胖子當著我的面吹牛臣镣，可吹牛的內容都是我干的辅愿。我是一名探鬼主播，決...
沈念sama閱讀 40,819評論 3贊 421
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼忆某，長吁一口氣：“原來是場噩夢啊……” “哼点待！你這毒婦竟也來了？” 一聲冷哼從身側響起弃舒，我...
開封第一講書人閱讀 39,725評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤亦鳞，失蹤者是張志新（化名）和其女友劉穎，沒想到半個月后棒坏，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 46,268評論 1贊 320
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡遭笋，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內容為張勛視角年9月15日...
茶點故事閱讀 38,356評論 3贊 340
?白月光啟示錄
正文我和宋清朗相戀三年坝冕，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片瓦呼。...
茶點故事閱讀 40,488評論 1贊 352
活死人
序言：一個原本活蹦亂跳的男人離奇死亡喂窟，死狀恐怖测暗，靈堂內的尸體忽然破棺而出，到底是詐尸還是另有隱情磨澡，我是刑警寧澤碗啄，帶...
沈念sama閱讀 36,181評論 5贊 350
?日本核電站爆炸內幕
正文年R本政府宣布，位于F島的核電站稳摄，受9級特大地震影響稚字，放射性物質發(fā)生泄漏。R本人自食惡果不足惜厦酬，卻給世界環(huán)境...
茶點故事閱讀 41,862評論 3贊 333
男人毒藥：我在死后第九天來索命
文/蒙蒙一胆描、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧仗阅，春花似錦昌讲、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,331評論 0贊 24
一樁弒父案短绸，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽。三九已至筹裕，卻和暖如春醋闭，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背饶碘。一陣腳步聲響...
開封第一講書人閱讀 33,445評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工目尖，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留，地道東北人扎运。一個月前我還...
沈念sama閱讀 48,897評論 3贊 376
代替公主和親
正文我出身青樓瑟曲，卻偏偏與公主長得像，于是被迫代替她去往敵國和親豪治。傳聞我的和親對象是個殘疾皇子洞拨，可洞房花燭夜當晚...
茶點故事閱讀 45,500評論 2贊 359