轉載:http://www.ruanyifeng.com/blog/2016/04/cors.html
作者:阮一峰大大
CORS是一個W3C標準潜的,全稱是"跨域資源共享"(Cross-origin resource sharing)新锈。
它允許瀏覽器向跨源服務器,發(fā)出XMLHttpRequest請求拓诸,從而克服了AJAX只能同源使用的限制。
本文詳細介紹CORS的內(nèi)部機制麻昼。
一奠支、簡介
CORS需要瀏覽器和服務器同時支持。目前抚芦,所有瀏覽器都支持該功能倍谜,IE瀏覽器不能低于IE10。
整個CORS通信過程叉抡,都是瀏覽器自動完成尔崔,不需要用戶參與。對于開發(fā)者來說褥民,CORS通信與同源的AJAX通信沒有差別季春,代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源消返,就會自動添加一些附加的頭信息载弄,有時還會多出一次附加的請求,但用戶不會有感覺撵颊。
因此宇攻,實現(xiàn)CORS通信的關鍵是服務器。只要服務器實現(xiàn)了CORS接口倡勇,就可以跨源通信逞刷。
二、兩種請求
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
只要同時滿足以下兩大條件亲桥,就屬于簡單請求洛心。
(1) 請求方法是以下三種方法之一:
- HEAD
- GET
- POST
(2)HTTP的頭信息不超出以下幾種字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三個值
application/x-www-form-urlencoded、multipart/form-data题篷、text/plain
凡是不同時滿足上面兩個條件词身,就屬于非簡單請求。
瀏覽器對這兩種請求的處理番枚,是不一樣的法严。
三、簡單請求
3.1 基本流程
對于簡單請求葫笼,瀏覽器直接發(fā)出CORS請求深啤。具體來說,就是在頭信息之中路星,增加一個Origin字段溯街。
下面是一個例子,瀏覽器發(fā)現(xiàn)這次跨源AJAX請求是簡單請求洋丐,就自動在頭信息之中呈昔,添加一個Origin字段。
GET /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
上面的頭信息中友绝,Origin字段用來說明堤尾,本次請求來自哪個源(協(xié)議 + 域名 + 端口)。服務器根據(jù)這個值迁客,決定是否同意這次請求郭宝。
如果Origin指定的源,不在許可范圍內(nèi)掷漱,服務器會返回一個正常的HTTP回應粘室。瀏覽器發(fā)現(xiàn),這個回應的頭信息沒有包含Access-Control-Allow-Origin字段(詳見下文)切威,就知道出錯了育特,從而拋出一個錯誤,被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲先朦。注意缰冤,這種錯誤無法通過狀態(tài)碼識別,因為HTTP回應的狀態(tài)碼有可能是200喳魏。
如果Origin指定的域名在許可范圍內(nèi)棉浸,服務器返回的響應,會多出幾個頭信息字段刺彩。
Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8
上面的頭信息之中迷郑,有三個與CORS請求相關的字段枝恋,都以Access-Control-開頭。
(1)Access-Control-Allow-Origin
該字段是必須的嗡害。它的值要么是請求時Origin字段的值焚碌,要么是一個*,表示接受任意域名的請求霸妹。
(2)Access-Control-Allow-Credentials
該字段可選十电。它的值是一個布爾值,表示是否允許發(fā)送Cookie叹螟。默認情況下鹃骂,Cookie不包括在CORS請求之中。設為true罢绽,即表示服務器明確許可畏线,Cookie可以包含在請求中,一起發(fā)給服務器良价。這個值也只能設為true寝殴,如果服務器不要瀏覽器發(fā)送Cookie,刪除該字段即可明垢。
(3)Access-Control-Expose-Headers
該字段可選杯矩。CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段:Cache-Control袖外、Content-Language、Content-Type魂务、Expires曼验、Last-Modified、Pragma粘姜。如果想拿到其他字段鬓照,就必須在Access-Control-Expose-Headers里面指定。上面的例子指定孤紧,getResponseHeader('FooBar')可以返回FooBar字段的值豺裆。
3.2 withCredentials 屬性
上面說到,CORS請求默認不發(fā)送Cookie和HTTP認證信息号显。如果要把Cookie發(fā)到服務器臭猜,一方面要服務器同意,指定Access-Control-Allow-Credentials字段押蚤。
Access-Control-Allow-Credentials: true
另一方面蔑歌,開發(fā)者必須在AJAX請求中打開withCredentials屬性。
var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
否則揽碘,即使服務器同意發(fā)送Cookie次屠,瀏覽器也不會發(fā)送园匹。或者劫灶,服務器要求設置Cookie裸违,瀏覽器也不會處理。
但是本昏,如果省略withCredentials設置供汛,有的瀏覽器還是會一起發(fā)送Cookie。這時凛俱,可以顯式關閉withCredentials紊馏。
xhr.withCredentials = false;
需要注意的是,如果要發(fā)送Cookie蒲犬,Access-Control-Allow-Origin就不能設為星號朱监,必須指定明確的、與請求網(wǎng)頁一致的域名原叮。同時赫编,Cookie依然遵循同源政策,只有用服務器域名設置的Cookie才會上傳奋隶,其他域名的Cookie并不會上傳擂送,且(跨源)原網(wǎng)頁代碼中的document.cookie也無法讀取服務器域名下的Cookie。
四唯欣、非簡單請求
4.1 預檢請求
非簡單請求是那種對服務器有特殊要求的請求嘹吨,比如請求方法是PUT或DELETE,或者Content-Type字段的類型是application/json境氢。
非簡單請求的CORS請求蟀拷,會在正式通信之前,增加一次HTTP查詢請求萍聊,稱為"預檢"請求(preflight)问芬。
瀏覽器先詢問服務器,當前網(wǎng)頁所在的域名是否在服務器的許可名單之中寿桨,以及可以使用哪些HTTP動詞和頭信息字段此衅。只有得到肯定答復,瀏覽器才會發(fā)出正式的XMLHttpRequest請求亭螟,否則就報錯挡鞍。
下面是一段瀏覽器的JavaScript腳本。
var url = 'http://api.alice.com/cors'; var xhr = new XMLHttpRequest(); xhr.open('PUT', url, true); xhr.setRequestHeader('X-Custom-Header', 'value'); xhr.send();
上面代碼中预烙,HTTP請求的方法是PUT匕累,并且發(fā)送一個自定義頭信息X-Custom-Header。
瀏覽器發(fā)現(xiàn)默伍,這是一個非簡單請求欢嘿,就自動發(fā)出一個"預檢"請求衰琐,要求服務器確認可以這樣請求。下面是這個"預檢"請求的HTTP頭信息炼蹦。
OPTIONS /cors HTTP/1.1 Origin: http://api.bob.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
"預檢"請求用的請求方法是OPTIONS羡宙,表示這個請求是用來詢問的。頭信息里面掐隐,關鍵字段是Origin狗热,表示請求來自哪個源。
除了Origin字段虑省,"預檢"請求的頭信息包括兩個特殊字段匿刮。
(1)Access-Control-Request-Method
該字段是必須的,用來列出瀏覽器的CORS請求會用到哪些HTTP方法探颈,上例是PUT熟丸。
(2)Access-Control-Request-Headers
該字段是一個逗號分隔的字符串,指定瀏覽器CORS請求會額外發(fā)送的頭信息字段伪节,上例是X-Custom-Header光羞。
4.2 預檢請求的回應
服務器收到"預檢"請求以后,檢查了Origin怀大、Access-Control-Request-Method和Access-Control-Request-Headers字段以后纱兑,確認允許跨源請求,就可以做出回應化借。
HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain
上面的HTTP回應中潜慎,關鍵的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以請求數(shù)據(jù)蓖康。該字段也可以設為星號勘纯,表示同意任意跨源請求。
Access-Control-Allow-Origin: *
如果瀏覽器否定了"預檢"請求钓瞭,會返回一個正常的HTTP回應,但是沒有任何CORS相關的頭信息字段淫奔。這時山涡,瀏覽器就會認定,服務器不同意預檢請求唆迁,因此觸發(fā)一個錯誤鸭丛,被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲√圃穑控制臺會打印出如下的報錯信息鳞溉。
XMLHttpRequest cannot load http://api.alice.com. Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
服務器回應的其他CORS相關字段如下。
Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000
(1)Access-Control-Allow-Methods
該字段必需鼠哥,它的值是逗號分隔的一個字符串熟菲,表明服務器支持的所有跨域請求的方法看政。注意,返回的是所有支持的方法抄罕,而不單是瀏覽器請求的那個方法允蚣。這是為了避免多次"預檢"請求。
(2)Access-Control-Allow-Headers
如果瀏覽器請求包括Access-Control-Request-Headers字段呆贿,則Access-Control-Allow-Headers字段是必需的嚷兔。它也是一個逗號分隔的字符串,表明服務器支持的所有頭信息字段做入,不限于瀏覽器在"預檢"中請求的字段冒晰。
(3)Access-Control-Allow-Credentials
該字段與簡單請求時的含義相同。
(4)Access-Control-Max-Age
該字段可選竟块,用來指定本次預檢請求的有效期壶运,單位為秒。上面結果中彩郊,有效期是20天(1728000秒)前弯,即允許緩存該條回應1728000秒(即20天),在此期間秫逝,不用發(fā)出另一條預檢請求恕出。
4.3 瀏覽器的正常請求和回應
一旦服務器通過了"預檢"請求,以后每次瀏覽器正常的CORS請求违帆,就都跟簡單請求一樣浙巫,會有一個Origin頭信息字段。服務器的回應刷后,也都會有一個Access-Control-Allow-Origin頭信息字段的畴。
下面是"預檢"請求之后,瀏覽器的正常CORS請求尝胆。
PUT /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com X-Custom-Header: value Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
上面頭信息的Origin字段是瀏覽器自動添加的丧裁。
下面是服務器正常的回應。
Access-Control-Allow-Origin: http://api.bob.com Content-Type: text/html; charset=utf-8
上面頭信息中含衔,Access-Control-Allow-Origin字段是每次回應都必定包含的煎娇。
五、與JSONP的比較
CORS與JSONP的使用目的相同贪染,但是比JSONP更強大缓呛。
JSONP只支持GET請求,CORS支持所有類型的HTTP請求杭隙。JSONP的優(yōu)勢在于支持老式瀏覽器哟绊,以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)。
(完)
