瀏覽器與伺服器通訊技術——跨域資源共享

snsart發表於2019-05-22

由於同源策略限制，預設情況下，使用XHR物件只能訪問與包含它的頁面位於同一個域(相同的協議、域名和埠)中的資源。要實現合理的跨域資源請求，有兩種策略：1.跨域資源共享，2.利用DOM中能夠執行跨域請求的功能。本文詳述了第一種策略的實現方法。

跨域資源共享（CORS）背後的基本思想，就是使用自定義的HTTP頭部讓瀏覽器與伺服器進行溝通，從而決定請求或相應是應該成功，還是應該失敗。這種方法需要修改伺服器程式碼。

一. 簡單請求的情況

如果只是簡單的使用GET或POST傳送請求，並且沒有自定義的頭部，且主體內容是text/plain。在傳送該請求時，需附加一個額外的origin頭部，其中包含請求頁面的源資訊(協議、域名和埠)，伺服器會根據這個頭部資訊來決定是否給與響應。頭部例項如下：

origin:http：//www.snsartme.com

大部分瀏覽器都通過XMLHttpRequest物件實現了CORS的原生支援。在訪問不同域的資源時，無需額外編寫程式碼就會自動傳送origin頭部。只需要在open()方法中傳入絕對URL即可，例如：

 1 var xhr=new XMLHttpRequest();
 2 xhr.onreadystatechange=function(){
 3     if(xhr.readyState==4){
 4         if((xhr.status>=200&&xhr.status<300)||xhr.status==304){
 5             alert("成功"+xhr.responseText);
 6         }else{
 7             alert("失敗"+xhr.responseText);
 8         }
 9     }    
10 };
11 
12 xhr.open("get","http://www.somewhere.com/test.php",true);
13 xhr.send(null);

如果伺服器認為這個請求可以接受，就會在Access-Control-Allow-origin頭部中回發相同的源資訊（如果是公共資源，可以回發 ‘ * ’），比如在伺服器的php程式碼中加入以下程式碼，來傳送Access-Control-Allow-origin頭部：

header('Access-Control-Allow-origin:http:/www.snsartme.com');

簡單請求有如下一些限制：

1. 不能使用setRequestHeader（）方法設定自定義頭部。

2. 不能傳送和接受cookie。

3. 呼叫getALLResponseHeaders（）方法總會返回空字串。

二、預檢請求

預檢請求(Preflighted Requests)必須首先使用OPTIONS方法發起一個預檢請求到伺服器，以獲知伺服器是否允許該實際請求。“預檢請求”的使用，可以避免跨域請求對伺服器的使用者資料產生無法預知的影響。OPTIONS方法發出的請求頭部如下：

Origin：與簡單的請求相同。

Access-Control-Request-Method：請求使用的方法

Access-Control-Request-Headers：自定義的頭部資訊，多個頭部以逗號分隔。

當使用setRequestHeader（）方法設定了自定義頭部，或者請求方法不是get或post時，就會自動傳送預檢請求：

1 var xhr=new XMLHttpRequest();
2 xhr.open("get","http://www.somewhere.com/test.php",true);
3 xhr.setRequestHeader("x-token", "I am x-token");
4 xhr.send(null);

伺服器通過在響應中傳送如下頭部資訊與瀏覽器溝通，php程式碼如下：

1 header('Access-Control-Allow-origin:http://www.snsartme.com');
2 header('Access-Control-Allow-Methods: GET,POST');//允許的方法 
3 header('Access-Control-Allow-Headers:x-token'); //允許的頭部
4 header('Access-Control-Max-Age:7800'); //應該將預檢請求快取多長時間

三、帶憑據的請求

預設情況下，跨域請求不提供憑據（cookie,HTTP認證及客戶端SSL證明等）。通過將xhr的withCredentials屬性設定為true，可以指定某個請求應該傳送憑據。如果伺服器接送帶憑據的請求，會用下面的HTTP頭部來響應。

header('Access-Control-Allow-Credentials: true');

下一篇會詳解利用DOM中能夠執行跨域請求的功能實現跨域資源訪問，主要是jsonp技術

瀏覽器與伺服器通訊技術——jsonp
2019-05-23
瀏覽器伺服器JSON
瀏覽器跨標籤通訊
2024-04-17
瀏覽器
跨瀏覽器外掛技術
2013-05-20
瀏覽器
跨域資源共享
2019-02-26
跨域
Laravel 瀏覽器跨域
2019-01-24
Laravel瀏覽器跨域
瀏覽器跨域安全
2010-12-30
瀏覽器跨域
跨源通訊、跨域訪問
2020-05-03
跨域
跨域資源共享（CORS）
2021-09-09
跨域CORS
跨域資源共享CORS
2019-01-10
跨域CORS
跨域資源共享——CORS
2018-11-25
跨域CORS
js跨域資源共享
2018-08-07
JS跨域
CORS 跨域資源共享
2018-02-12
CORS跨域
CORS跨域資源共享
2015-11-30
CORS跨域
Mac下chrome瀏覽器跨域
2018-10-02
MacChrome瀏覽器跨域
跨域資源共享配置錯誤
2022-11-04
跨域
CORS（跨域資源共享）筆記
2020-12-22
CORS跨域筆記
詳解 CORS 跨域資源共享
2017-09-23
CORS跨域
跨域資源共享CORS詳解
2017-05-04
跨域CORS
跨域資源共享 CORS 詳解
2016-04-12
跨域CORS
徹底理解瀏覽器的跨域
2019-04-10
瀏覽器跨域
關閉瀏覽器跨域行為
2017-03-30
瀏覽器跨域
深入跨域問題(1) - 初識 CORS 跨域資源共享
2018-05-16
跨域CORS
詳解XMLHttpRequest的跨域資源共享
2020-08-19
XMLHTTP跨域
跨域資源共享(CORS)是什麼？
2021-11-24
跨域CORS
通訊伺服器群集——跨伺服器通訊Demo（原始碼）
2013-10-15
伺服器原始碼
從瀏覽器到伺服器的4種跨域請求解決方案
2017-07-06
瀏覽器伺服器跨域
新版 google 谷歌瀏覽器跨域問題
2021-11-24
Go谷歌瀏覽器跨域
瀏覽器與go語言的websocket通訊
2018-12-12
瀏覽器GoWeb
不同頁面通訊與跨域
2018-05-26
跨域
FE.B-理解瀏覽器的同源策略與跨域方案
2019-02-16
瀏覽器跨域
【JavaScript】通過封裝自己的JSONP解決瀏覽器的跨域問題（Ajax跨域）
2018-09-14
JavaScript封裝JSON瀏覽器跨域
瀏覽器跨 Tab 視窗通訊原理及應用實踐
2023-11-28
瀏覽器
跨域請求cookie資源共享詳解
2019-03-07
跨域Cookie
安全系列之:跨域資源共享CORS
2021-09-13
跨域CORS
詳解瀏覽器跨域的幾種方法
2020-12-19
瀏覽器跨域
前端中的同源策略與三種跨域資源共享方法
2019-03-22
前端跨域
OSS跨域資源共享(CORS)錯誤及排除
2016-08-29
跨域CORS
一文解決瀏覽器跨域問題
2022-04-23
瀏覽器跨域

瀏覽器與伺服器通訊技術——跨域資源共享

一. 簡單請求的情況

二、 預檢請求

三、帶憑據的請求

相關文章

二、預檢請求