- 一、什么是CORS
- 二、简述CORS过程
- 三、与CORS有关的必不可少的头字段
- 四、 简单请求(
simple request) - 五、 非简单请求(
not-so-simple request) - 六、总结
- 其他连接:
参考文献:
http://www.ruanyifeng.com/blog/2016/04/cors.html
一、什么是CORS
CORS,Cross-Origin Resource Sharing,跨域资源共享。它需要客户端和服务器共同支持,IE<10不支持。
- 整个
CORS通信过程,都是浏览器自动完成,不需要用户参与。- 实现
CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。CORS有两种请求:简单请求和非简单请求,下面会讲到。
二、简述CORS过程
- 以下是
CORS的原理图:
- 以下是文字描述:
www.jmazm.com与www.qq.com明显不同域,假设前者要往后者拿数据,由于不同域,因此需要跨域处理。
- 浏览器在向服务器发送请求的时候,请求头应该包含
Origin,并且其值为http://www.jmazm.com- 如果服务器认为可以授权给这个“域”的话,就可以响应数据,并在向浏览器返回响应的时候,响应头应该包含
Access-Control-Allow-Origin,并且其值为http://www.jmazm.com。- 由于浏览器有同源策略的限制,所以
Access-Control-Allow-Origin这个响应头就是用来告诉浏览器:“你有权使用我的数据了!”
- 由上述可知:其实
CORS的实现主要靠两个头字段:请求头的Origin以及响应头的Access-Control-Allow-Origin,两者必不可少。不过还有一些与CORS相关的知识,接下来一一分享。
三、与CORS有关的必不可少的头字段
Origin:本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
Access-Control-Allow-Origin:该字段是必须的。
- 它的值要么是请求时
Origin字段的值。- 要么是一个
*,表示接受任意域名的请求。
四、 简单请求(simple request)
4.1 什么才是简单请求
- 只要同时满足以下两大条件,就属于简单请求。
- 请求方法是以下三种方法之一:
HEADGETPOSTHTTP的头信息不超出以下几种字段:
AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
4.2 与简单请求有关头字段
Access-Control-Allow-Credentials:该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。
- 默认情况下,
Cookie不包括在CORS请求之中。- 设为
true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。- 这个值也只能设为
true,如果服务器不要浏览器发送Cookie,删除该字段即可。
Access-Control-Expose-Headers:该字段可选。
CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。- 如果想拿到其他字段,就必须在
Access-Control-Expose-Headers里面指定。
- 例:
getResponseHeader('FooBar')可以返回FooBar字段的值。
4.3 简单请求的过程简述
- 对于简单请求,浏览器直接发出
CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口),服务器根据这个值,决定是否同意这次请求
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
- 如果
Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP响应。
- 实际上就是服务器返回的响应头中没有包含
Access-Control-Allow-Origin字段。因此,就会抛出一个错误,这个错误会被XMLHttpRequest的onerror回调函数捕获。- 注意,这种错误无法通过状态码识别,因为
HTTP回应的状态码有可能是200。
- 如果
Origin指定的域名在许可范围内,服务器返回的响应,可能会多出几个头信息字段。
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
4.4 withCredentials 属性
CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器:
- 服务器同意,指定
Access-Control-Allow-Credentials字段。- 开发者必须在
AJAX请求中打开withCredentials属性。
// 服务器
Access-Control-Allow-Credentials: true
// Ajax
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
- 如果省略
withCredentials设置,有的浏览器还是会一起发送Cookie。这时,可以 显式关闭withCredentials
var xhr = new XMLHttpRequest();
xhr.withCredentials = false;
- 如果要发送
Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。- 同时,
Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
五、 非简单请求(not-so-simple request)
5.1 什么是非简单请求
- 非简单请求是那种对服务器有特殊要求的请求:
- 请求方法是
PUT或DELETEContent-Type字段的类型是application/json。
5.2 与非简单请求有关的头字段
预检头字段:
Access-Control-Request-Method
- 该字段是必须的,用来列出浏览器的
CORS请求会用到哪些HTTP方法。
Access-Control-Request-Headers
- 该字段是一个逗号分隔的字符串,指定浏览器
CORS请求会额外发送的头信息字段。
预检响应头字段:
Access-Control-Allow-Methods:必需字段。
- 它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。
- 注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求。
Access-Control-Allow-Headers
- 如果浏览器请求包括
Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。- 它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在”预检”中请求的字段。
Access-Control-Allow-Credentials
- 该字段与简单请求时的含义相同。
Access-Control-Max-Age:可选字段
- 用来指定本次预检请求的有效期,单位为秒。
5.3 预检请求
- “预检”请求(
preflight):非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求。
- 过程:浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些
HTTP动词和头信息字段。 只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
- “预检”请求用的请求方法是
OPTIONS,表示这个请求是用来询问的。- 头信息里面,关键字段是
Origin,表示请求来自哪个源。- 包括两个特殊字段:
Access-Control-Request-Method和Access-Control-Request-Headers
- 例子:
// HTTP请求的方法是PUT,并且发送一个自定义头信息X-Custom-Header。
var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
- 浏览器发现,这是一个非简单请求,就自动发出一个”预检”请求,要求服务器确认可以这样请求。
- 接下来看这个例子:以下就是一个非简单请求,其会自动发出一个 “预检”请求
- demo
post请求原本是简单请求,但是在加了xhr.upload.onprogress事件后,这个请求就变成了非简单请求
const xhr = new XMLHttpRequest()
xhr.open('post', 'http://localhost:3000/upload', true)
xhr.upload.onprogress = function (e) {
console.log(e)
}
xhr.onreadystatechange = () => {
if (xhr.readyState === 4) {
if (xhr.status >= 200 && xhr.status < 300 || xhr.status === 304) {
console.log(xhr.responseText)
}
}
}
let formData = new FormData()
formData.append('name', 'jm')
formData.append('age', 20)
xhr.send(formData)
- 这是服务器的代码:
const http = require('http')
const server = http.createServer()
server.on('request', (req, res) => {
console.log(req.method)
if (req.url === '/upload') {
req.on('data', data => {
console.log(data.toString())
res.end(data.toString())
})
}
})
server.listen(3000)
- 你会发现,请求发送不成功,导致服务器端无法接收数据,结果如下图所示:
- 发送请求的
method是POST,我以为在服务器里监听到的req.method也是POST,其实不是的,其值为OPTIONS
- 接下来,让我们继续解决上面的
bug【demo】
const http = require('http')
const server = http.createServer()
server.on('request', (req, res) => {
// 检测到是非简单请求,就返回响应给客户端
if (req.method.toLowerCase() === 'options') {
res.writeHead(200, {
'Content-Type': 'application/json',
'Access-Control-Allow-Origin': '*' // 如果缺乏了这个字段,就无法接收客户端传来的数据
})
res.end(JSON.stringify({
method: req.method
}))
}
if (req.url === '/upload') {
console.log('upload')
req.on('data', data => {
console.log('data')
res.writeHead(200, {
'Content-Type': 'multipart/form-data',
'Access-Control-Allow-Origin': '*'
})
res.end(data)
})
}
res.on('end', () => console.log('数据接受完毕!'))
})
server.listen(3000)
- 结果:发送请求成功,也能返回对应的数据
- 不过你查看浏览器的
network,会发现发送一次数据,却会请求两遍,看下图
- 第一个请求:是预检请求
- 第二个请求:是真正向后端
post数据的请求
- 下图分别展示了两个请求的报文:
- 第一个请求:
- 请求头:
Access-Control-Request-Method:POST- 响应头:
Access-Control-Allow-Origin: *。
- 由于是
http://localhost:63324向http://localhost:3000发送请求,是存在跨域的,如果不存在Access-Control-Allow-Origin:*, 那么,只有预检请求成功,但是接下来的第二个请求是无法发送给服务器端的,同时会报错
- 第二个请求:也存在跨域的问题,也如上述所说的方法解决。
5.4 预检请求的响应
- 服务器收到”预检”请求以后,检查了
Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
- 回应重点是:
Access-Control-Allow-Origin- 服务器回应的其他
CORS相关字段:
Access-Control-Allow-MethodsAccess-Control-Allow-HeadersAccess-Control-Allow-CredentialsAccess-Control-Max-Age
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
5.5 预检被否定
- 如果浏览器否定了”预检”请求,会返回一个正常的
HTTP回应,但是没有任何CORS相关的头信息字段。- 这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被
XMLHttpRequest对象的onerror回调函数捕获。- 控制台会打印出如下的报错信息:
XMLHttpRequest cannot load http://api.alice.com.Origin http://api.bob.com
is not allowed by Access-Control-Allow-Origin.
5.6 浏览器的正常请求和回应
- 一旦服务器通过了”预检”请求,以后每次浏览器正常的
CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。- 服务器的回应,也都会有一个
Access-Control-Allow-Origin头信息字段。
六、总结
CORS主要是靠设置请求头字段以及响应头字段实现的,因此我们要清楚地知道相关的头字段有哪些,每个字段分别表示什么,有什么作用,什么时候该用哪个字段等等。- 别忘记,
CORS就是为了解决跨域就存在的,所以,Access-Control-Allow-Origin这一个响应头是必不可少的,当然Origin这一个请求头浏览器会自带,就不需要理会了。- 接着,要知道自己发送的请求的类型是什么,去做相应的处理,当然,这里为了避免多个预检,我们就需要设置
Access-Control-Allow-Methods这一个响应头