摘要:對于簡單請求�����,基本就是在請求中自動在頭信息中添加一個字段,例如這表示同意的請求�����。非簡單請求會在正式通信前增加一次查詢請求����,成為預檢。必要字段表示服務器支持的所有跨域請求方法�����,只要瀏覽器使用的請求方法包含在內(nèi)即可通過��。
關(guān)于http請求的一些理解:
CORS是一個w3c標準��,全稱為Cross-origin resoursce sharing(跨域資源共享)�,它允許瀏覽器向不用源的服務器發(fā)起XMLHttpRequest請求,從而可以略過ajax同源策略的限制���。
簡單請求:
只要滿足請求方法是HEAD�����、GET����、POST;HTTP頭信息不超出以下字段Accept Accept-Language Content-Language Last-Event-ID Content-Type: application/x-www-form-urlencode multipart-data text/plain 就屬于簡單請求����。
對于簡單請求,基本就是在請求中自動在頭信息中添加一個origin字段���,例如Origin: http://localhost:8000,這表示同意locahost:8000的請求�����。如果origin指定的源不在許可范圍內(nèi)�,服務器會返回一個正常的HTTP回應���,如果瀏覽器沒有發(fā)現(xiàn)Resonse Headers響應頭信息沒有包含Access-Control-Allow-Origin就會拋出錯誤,但這種錯誤無法通過status code來識別���,因為返回的狀態(tài)碼可能是200.
如果你使用的域名是origin允許的�,Response Headers里會多出幾個基本頭信息字段:
Access-Control-Allow-Credential: true,
Access-Control-Allow-Headers:origin, content-type, accept, x-request-with,
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS,
Access-Control-Allow-Origin: http:localhost:8000
Access-Control-Allow-Credential: 表示是否允許發(fā)送cookies�。默認情況下,Cookies不包括在CORS請求中�����;設(shè)為true表示cookies可以包含在請求中一起發(fā)給服務器,如果不需要發(fā)送cookies給服務器�,需刪除字段。需要注意的是:除了設(shè)置Access-Control-Allow-Credential:true外����,在ajax請求中也必須打開withCredentials,方法如下:
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
否則就算服務器同意發(fā)送或設(shè)置cookie,瀏覽器也不會發(fā)送或處理���。如果不想發(fā)送cookie�,最保險的方法就是:
xhr.withCredentials = false;
Access-Control-origin: 必填項����,要么是origin指定的被允許的值,要么是*�����,表示接受任意域名的請求�。
非簡單請求:
非簡單請求是那種對服務器有特殊要求的請求,比如PUT DELETE�����,或者Content-Type:application/json等。非簡單請求會在正式通信前增加一次HTTP查詢請求���,成為flight(預檢)����。瀏覽器先詢問服務器�����,當前請求域是否在服務器許可名單中���,以及可以使用哪些HTTP動詞頭信息字段��,如果返回true瀏覽器會發(fā)出XMLHTTPRequest請求否則會報錯��。下面是一個例子:
var url = "http://localhost:8000";
var xhr = new XMLHttpRequest();
xhr.open("DELETE", url, true);
xhr.setRequestHeader("x-request-with", "value");
xhr.send();
這里��,HTTP請求中,方法是DELETE���,并發(fā)送了一個頭信息為x-request-with����,瀏覽器發(fā)現(xiàn),這是一個非簡單請求�,就會自動預檢,要求服務器預檢這個HTTP頭信息����。
預檢請求用的方法是OPTIONS,表示這個請求是用來詢問的�。頭信息里面,關(guān)鍵字段是origin����,表示來源于哪個源。除了origin��,預檢還包括Method Headers��,分別為:
Access-control-request-origin: *,
Access-Control-Request-Method: DELETE,
Access-Control-request-Headers: x-request-with,
瀏覽器收到flight預檢以后檢查了origin Access-Control-Request-Method 和 Access-Control-Request-Headers字段后確認允許跨域請求�����,就可以作出回應���。如果flight預檢沒有通過���,也會返回一個正常的HTTP回應�����。但如果沒有任何CORS相關(guān)的Response Headers,flight預檢就不會通過��,控制臺會打印出關(guān)鍵信息:
...http://localhost:8000 is not allowed by Access-Allow-Origin
服務器回應的其他CORS相關(guān)字段如下���。
Access-Control-Allow-credentials: true
Access-Control-Allow-Methods:GET, POST, DELETE,OPTIONS
Access-Control-Allow-Headers:origin, content-type, accept, x-request-with, Authorization
Access-Control-Allow-Max-Age:1728000
Access-Control-Allow-Methods 必要字段 表示服務器支持的所有跨域請求方法,只要瀏覽器使用的請求方法包含在內(nèi)即可通過��。
Access-Control-Allow-Headers 必要字段 表明服務器支持的所有頭信息字段����,也是為了避免多次預檢請求。
Access-Control-Allow-Max-Age 可選字段 單位是s,用來指定本次預檢的有效期�����,即在給定時間內(nèi)允許該條緩存回應�,不會發(fā)出一條預檢請求。
如果服務器通過了預檢請求�����,以后瀏覽器正常的跨域請求就和簡單請求一樣��,會有一個origin有信息段�,副武器的回應也都會有一個Access-Control-Allow-Origin 的頭信息段,返回請求如下:
Access-Control-Allow-Origin:http:localhost:8000
Content-Type: text/html; charset=utf-8
其中origin信息是必然會出現(xiàn)的��。
Cors與JSONP的比較
CORS比JSONP更強大��,JSONP只支持GET請求�,CORS支持所有類型的HTTP請求,但JSONP對于老瀏覽器支持較好����。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/100526.html
