摘要:介紹關(guān)于跨域問(wèn)題有很多的解決方案�,這里我們總結(jié)一下目前最通用最強(qiáng)大的解決方案。的工作組推薦了一種新的機(jī)制�,即跨域資源共享,簡(jiǎn)稱�。預(yù)檢請(qǐng)求用的請(qǐng)求方法是,表示這個(gè)請(qǐng)求是用來(lái)詢問(wèn)的�。頭信息里面,關(guān)鍵字段是�����,表示請(qǐng)求來(lái)自哪個(gè)源����。
介紹
關(guān)于跨域問(wèn)題有很多的解決方案,這里我們總結(jié)一下目前最通用最強(qiáng)大的解決方案:CORS�。
W3C 的 Web 工作組推薦了一種新的機(jī)制,即跨域資源共享(Cross-origin Resource Sharing)�,簡(jiǎn)稱CORS�。其實(shí)這個(gè)機(jī)制就是實(shí)現(xiàn)了跨站訪問(wèn)控制�,使得安全地進(jìn)行跨站數(shù)據(jù)傳輸成為可能。
跨源資源共享標(biāo)準(zhǔn)( cross-origin sharing standard) 使得以下場(chǎng)景可以使用跨站 HTTP 請(qǐng)求:
使用 XMLHttpRequest 或 Fetch發(fā)起跨站 HTTP 請(qǐng)求�����。
Web 字體 (CSS 中通過(guò) @font-face 使用跨站字體資源)����,因此,網(wǎng)站就可以發(fā)布 TrueType 字體資源��,并只允許已授權(quán)網(wǎng)站進(jìn)行跨站調(diào)用�����。
WebGL 貼圖
使用drawImage繪制
Images/video 畫(huà)面到canvas.
樣式表(使用 CSSOM)
Scripts (for unmuted exceptions)
CORS分為簡(jiǎn)單請(qǐng)求和復(fù)雜請(qǐng)求�,處理方法也是有不同的,所以我們分別總結(jié)�����。
簡(jiǎn)單請(qǐng)求
什么是簡(jiǎn)單請(qǐng)求呢��?同時(shí)滿足以下兩個(gè)條件�,就是簡(jiǎn)單請(qǐng)求:
請(qǐng)求是下列之一:
HEAD
GET
POST
HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data����、text/plain
實(shí)現(xiàn)方法非常簡(jiǎn)單,只需要把服務(wù)器的響應(yīng)報(bào)文里的Access-Control-Allow-Origin設(shè)置為*或者包含由 Origin指明的站點(diǎn)���。
Access-Control-Allow-Origin是HTTP響應(yīng)報(bào)文中的一個(gè)字段,Origin是HTTP請(qǐng)求報(bào)文中的以一個(gè)字段,如果不清楚這兩個(gè)字段的話�����,可以自行查閱關(guān)于HTTP報(bào)文的知識(shí)�,比如HTTP | MDN。
復(fù)雜請(qǐng)求
如果不是簡(jiǎn)單請(qǐng)求�,那就是復(fù)雜請(qǐng)求,比如請(qǐng)求的方法是PUT或者DELETE��,比如Content-Type字段的類型是application/json�����,比如設(shè)置了自定義頭信息�。
復(fù)雜請(qǐng)求就是比簡(jiǎn)單請(qǐng)求多了個(gè)預(yù)檢請(qǐng)求(preflight)而已。
預(yù)檢請(qǐng)求就是瀏覽器先詢問(wèn)服務(wù)器�,當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中����,以及可以使用哪些HTTP動(dòng)詞和頭信息字段�����。只有得到肯定答復(fù)����,瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求,否則就報(bào)錯(cuò)���。
預(yù)檢請(qǐng)求用的請(qǐng)求方法是OPTIONS����,表示這個(gè)請(qǐng)求是用來(lái)詢問(wèn)的��。頭信息里面���,關(guān)鍵字段是Origin�����,表示請(qǐng)求來(lái)自哪個(gè)源���。除了Origin字段�����,還有兩個(gè)字段非常重要:Access-Control-Request-Method和Access-Control-Request-Headers,分別表示允許的請(qǐng)求方法和請(qǐng)求頭��。
舉一個(gè)具體的例子:
現(xiàn)在�,我們有一個(gè)頁(yè)面向服務(wù)器發(fā)送了一個(gè)POST請(qǐng)求,并且我們自己定義了一個(gè)請(qǐng)求頭字段My-HEADER�,這時(shí)候?yàn)g覽器就會(huì)首先發(fā)送一個(gè)OPTION請(qǐng)求來(lái)做預(yù)檢請(qǐng)求,請(qǐng)求頭里有以下字段:
Access-Control-Request-Method: POST
Access-Control-Request-Headers: My-HEADER
如果預(yù)檢請(qǐng)求成功的話�����,響應(yīng)頭里的內(nèi)容如下:
Access-Control-Allow-Origin: http://example.com //表明服務(wù)器允許http://example.com的請(qǐng)求
Access-Control-Allow-Methods: POST, GET, OPTIONS //表明服務(wù)器可以接受POST, GET和 OPTIONS的請(qǐng)求方法
Access-Control-Allow-Headers: My-HEADER //傳遞一個(gè)可接受的自定義請(qǐng)求頭列表
Access-Control-Max-Age: 3000000 //告訴瀏覽器�,本次預(yù)檢請(qǐng)求的響應(yīng)結(jié)果有效時(shí)間是多久
總結(jié)
以上就是CORS方法解決跨域問(wèn)題的流程,CORS支持所有類型的HTTP請(qǐng)求�����,是目前跨域問(wèn)題的根本解決方案�。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/107485.html
