網(wǎng)絡:跨域資源共享 CORS 詳解

轉載:http://www.ruanyifeng.com/blog/2016/04/cors.html
作者:阮一峰大大
CORS是一個W3C標準潜的,全稱是"跨域資源共享"(Cross-origin resource sharing)新锈。

它允許瀏覽器向跨源服務器,發(fā)出XMLHttpRequest請求拓诸,從而克服了AJAX只能同源使用的限制。

本文詳細介紹CORS的內(nèi)部機制麻昼。

一奠支、簡介

CORS需要瀏覽器和服務器同時支持。目前抚芦,所有瀏覽器都支持該功能倍谜,IE瀏覽器不能低于IE10。

整個CORS通信過程叉抡,都是瀏覽器自動完成尔崔,不需要用戶參與。對于開發(fā)者來說褥民,CORS通信與同源的AJAX通信沒有差別季春,代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源消返,就會自動添加一些附加的頭信息载弄,有時還會多出一次附加的請求,但用戶不會有感覺撵颊。

因此宇攻,實現(xiàn)CORS通信的關鍵是服務器。只要服務器實現(xiàn)了CORS接口倡勇,就可以跨源通信逞刷。

二、兩種請求

瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。

只要同時滿足以下兩大條件亲桥,就屬于簡單請求洛心。

(1) 請求方法是以下三種方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的頭信息不超出以下幾種字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三個值application/x-www-form-urlencodedmultipart/form-data题篷、text/plain

凡是不同時滿足上面兩個條件词身,就屬于非簡單請求。

瀏覽器對這兩種請求的處理番枚,是不一樣的法严。

三、簡單請求

3.1 基本流程

對于簡單請求葫笼,瀏覽器直接發(fā)出CORS請求深啤。具體來說,就是在頭信息之中路星,增加一個Origin字段溯街。

下面是一個例子,瀏覽器發(fā)現(xiàn)這次跨源AJAX請求是簡單請求洋丐,就自動在頭信息之中呈昔,添加一個Origin字段。


GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中友绝,Origin字段用來說明堤尾,本次請求來自哪個源(協(xié)議 + 域名 + 端口)。服務器根據(jù)這個值迁客,決定是否同意這次請求郭宝。

如果Origin指定的源,不在許可范圍內(nèi)掷漱,服務器會返回一個正常的HTTP回應粘室。瀏覽器發(fā)現(xiàn),這個回應的頭信息沒有包含Access-Control-Allow-Origin字段(詳見下文)切威,就知道出錯了育特,從而拋出一個錯誤,被XMLHttpRequestonerror回調(diào)函數(shù)捕獲先朦。注意缰冤,這種錯誤無法通過狀態(tài)碼識別,因為HTTP回應的狀態(tài)碼有可能是200喳魏。

如果Origin指定的域名在許可范圍內(nèi)棉浸,服務器返回的響應,會多出幾個頭信息字段刺彩。


Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

上面的頭信息之中迷郑,有三個與CORS請求相關的字段枝恋,都以Access-Control-開頭。

(1)Access-Control-Allow-Origin

該字段是必須的嗡害。它的值要么是請求時Origin字段的值焚碌,要么是一個*,表示接受任意域名的請求霸妹。

(2)Access-Control-Allow-Credentials

該字段可選十电。它的值是一個布爾值,表示是否允許發(fā)送Cookie叹螟。默認情況下鹃骂,Cookie不包括在CORS請求之中。設為true罢绽,即表示服務器明確許可畏线,Cookie可以包含在請求中,一起發(fā)給服務器良价。這個值也只能設為true寝殴,如果服務器不要瀏覽器發(fā)送Cookie,刪除該字段即可明垢。

(3)Access-Control-Expose-Headers

該字段可選杯矩。CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段:Cache-Control袖外、Content-LanguageContent-Type魂务、Expires曼验、Last-ModifiedPragma粘姜。如果想拿到其他字段鬓照,就必須在Access-Control-Expose-Headers里面指定。上面的例子指定孤紧,getResponseHeader('FooBar')可以返回FooBar字段的值豺裆。

3.2 withCredentials 屬性

上面說到,CORS請求默認不發(fā)送Cookie和HTTP認證信息号显。如果要把Cookie發(fā)到服務器臭猜,一方面要服務器同意,指定Access-Control-Allow-Credentials字段押蚤。


Access-Control-Allow-Credentials: true

另一方面蔑歌,開發(fā)者必須在AJAX請求中打開withCredentials屬性。


var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則揽碘,即使服務器同意發(fā)送Cookie次屠,瀏覽器也不會發(fā)送园匹。或者劫灶,服務器要求設置Cookie裸违,瀏覽器也不會處理。

但是本昏,如果省略withCredentials設置供汛,有的瀏覽器還是會一起發(fā)送Cookie。這時凛俱,可以顯式關閉withCredentials紊馏。


xhr.withCredentials = false;

需要注意的是,如果要發(fā)送Cookie蒲犬,Access-Control-Allow-Origin就不能設為星號朱监,必須指定明確的、與請求網(wǎng)頁一致的域名原叮。同時赫编,Cookie依然遵循同源政策,只有用服務器域名設置的Cookie才會上傳奋隶,其他域名的Cookie并不會上傳擂送,且(跨源)原網(wǎng)頁代碼中的document.cookie也無法讀取服務器域名下的Cookie。

四唯欣、非簡單請求

4.1 預檢請求

非簡單請求是那種對服務器有特殊要求的請求嘹吨,比如請求方法是PUTDELETE,或者Content-Type字段的類型是application/json境氢。

非簡單請求的CORS請求蟀拷,會在正式通信之前,增加一次HTTP查詢請求萍聊,稱為"預檢"請求(preflight)问芬。

瀏覽器先詢問服務器,當前網(wǎng)頁所在的域名是否在服務器的許可名單之中寿桨,以及可以使用哪些HTTP動詞和頭信息字段此衅。只有得到肯定答復,瀏覽器才會發(fā)出正式的XMLHttpRequest請求亭螟,否則就報錯挡鞍。

下面是一段瀏覽器的JavaScript腳本。


var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代碼中预烙,HTTP請求的方法是PUT匕累,并且發(fā)送一個自定義頭信息X-Custom-Header

瀏覽器發(fā)現(xiàn)默伍,這是一個非簡單請求欢嘿,就自動發(fā)出一個"預檢"請求衰琐,要求服務器確認可以這樣請求。下面是這個"預檢"請求的HTTP頭信息炼蹦。


OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預檢"請求用的請求方法是OPTIONS羡宙,表示這個請求是用來詢問的。頭信息里面掐隐,關鍵字段是Origin狗热,表示請求來自哪個源。

除了Origin字段虑省,"預檢"請求的頭信息包括兩個特殊字段匿刮。

(1)Access-Control-Request-Method

該字段是必須的,用來列出瀏覽器的CORS請求會用到哪些HTTP方法探颈,上例是PUT熟丸。

(2)Access-Control-Request-Headers

該字段是一個逗號分隔的字符串,指定瀏覽器CORS請求會額外發(fā)送的頭信息字段伪节,上例是X-Custom-Header光羞。

4.2 預檢請求的回應

服務器收到"預檢"請求以后,檢查了Origin怀大、Access-Control-Request-MethodAccess-Control-Request-Headers字段以后纱兑,確認允許跨源請求,就可以做出回應化借。


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回應中潜慎,關鍵的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以請求數(shù)據(jù)蓖康。該字段也可以設為星號勘纯,表示同意任意跨源請求。


Access-Control-Allow-Origin: *

如果瀏覽器否定了"預檢"請求钓瞭,會返回一個正常的HTTP回應,但是沒有任何CORS相關的頭信息字段淫奔。這時山涡,瀏覽器就會認定,服務器不同意預檢請求唆迁,因此觸發(fā)一個錯誤鸭丛,被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲√圃穑控制臺會打印出如下的報錯信息鳞溉。


XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務器回應的其他CORS相關字段如下。


Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

(1)Access-Control-Allow-Methods

該字段必需鼠哥,它的值是逗號分隔的一個字符串熟菲,表明服務器支持的所有跨域請求的方法看政。注意,返回的是所有支持的方法抄罕,而不單是瀏覽器請求的那個方法允蚣。這是為了避免多次"預檢"請求。

(2)Access-Control-Allow-Headers

如果瀏覽器請求包括Access-Control-Request-Headers字段呆贿,則Access-Control-Allow-Headers字段是必需的嚷兔。它也是一個逗號分隔的字符串,表明服務器支持的所有頭信息字段做入,不限于瀏覽器在"預檢"中請求的字段冒晰。

(3)Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同。

(4)Access-Control-Max-Age

該字段可選竟块,用來指定本次預檢請求的有效期壶运,單位為秒。上面結果中彩郊,有效期是20天(1728000秒)前弯,即允許緩存該條回應1728000秒(即20天),在此期間秫逝,不用發(fā)出另一條預檢請求恕出。

4.3 瀏覽器的正常請求和回應

一旦服務器通過了"預檢"請求,以后每次瀏覽器正常的CORS請求违帆,就都跟簡單請求一樣浙巫,會有一個Origin頭信息字段。服務器的回應刷后,也都會有一個Access-Control-Allow-Origin頭信息字段的畴。

下面是"預檢"請求之后,瀏覽器的正常CORS請求尝胆。


PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動添加的丧裁。

下面是服務器正常的回應。


Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中含衔,Access-Control-Allow-Origin字段是每次回應都必定包含的煎娇。

五、與JSONP的比較

CORS與JSONP的使用目的相同贪染,但是比JSONP更強大缓呛。

JSONP只支持GET請求,CORS支持所有類型的HTTP請求杭隙。JSONP的優(yōu)勢在于支持老式瀏覽器哟绊,以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)。

(完)

?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末痰憎,一起剝皮案震驚了整個濱河市票髓,隨后出現(xiàn)的幾起案子攀涵,更是在濱河造成了極大的恐慌,老刑警劉巖炬称,帶你破解...
    沈念sama閱讀 218,386評論 6 506
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件汁果,死亡現(xiàn)場離奇詭異,居然都是意外死亡玲躯,警方通過查閱死者的電腦和手機据德,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,142評論 3 394
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來跷车,“玉大人棘利,你說我怎么就攤上這事⌒嘟桑” “怎么了善玫?”我有些...
    開封第一講書人閱讀 164,704評論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀的道長密强。 經(jīng)常有香客問我茅郎,道長,這世上最難降的妖魔是什么或渤? 我笑而不...
    開封第一講書人閱讀 58,702評論 1 294
  • 正文 為了忘掉前任系冗,我火速辦了婚禮,結果婚禮上薪鹦,老公的妹妹穿的比我還像新娘掌敬。我一直安慰自己,他們只是感情好池磁,可當我...
    茶點故事閱讀 67,716評論 6 392
  • 文/花漫 我一把揭開白布奔害。 她就那樣靜靜地躺著,像睡著了一般地熄。 火紅的嫁衣襯著肌膚如雪华临。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,573評論 1 305
  • 那天端考,我揣著相機與錄音雅潭,去河邊找鬼。 笑死跛梗,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的棋弥。 我是一名探鬼主播核偿,決...
    沈念sama閱讀 40,314評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼顽染!你這毒婦竟也來了漾岳?” 一聲冷哼從身側響起轰绵,我...
    開封第一講書人閱讀 39,230評論 0 276
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎尼荆,沒想到半個月后左腔,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,680評論 1 314
  • 正文 獨居荒郊野嶺守林人離奇死亡捅儒,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,873評論 3 336
  • 正文 我和宋清朗相戀三年液样,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片巧还。...
    茶點故事閱讀 39,991評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡鞭莽,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出麸祷,到底是詐尸還是另有隱情澎怒,我是刑警寧澤,帶...
    沈念sama閱讀 35,706評論 5 346
  • 正文 年R本政府宣布阶牍,位于F島的核電站喷面,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏走孽。R本人自食惡果不足惜惧辈,卻給世界環(huán)境...
    茶點故事閱讀 41,329評論 3 330
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望融求。 院中可真熱鬧咬像,春花似錦、人聲如沸生宛。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,910評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽陷舅。三九已至倒彰,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間莱睁,已是汗流浹背待讳。 一陣腳步聲響...
    開封第一講書人閱讀 33,038評論 1 270
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留仰剿,地道東北人创淡。 一個月前我還...
    沈念sama閱讀 48,158評論 3 370
  • 正文 我出身青樓,卻偏偏與公主長得像南吮,于是被迫代替她去往敵國和親琳彩。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 44,941評論 2 355

推薦閱讀更多精彩內(nèi)容