php跨域種cookies，跨域資源共享 CORS 詳解

需求背景：

aaa.com站點需向bbb.com站點種cookies

實作思路：

aaa.com站點用ajax調用bbb.com站點的php接口，bbb.com站點在接口裡實作種cookies，因為同源政策的限制，aaa.com站點是不能往bbb.com站點種cookies的，是以主要是解決同源政策的限制。

實作代碼：

aaa.com站點的js代碼

$.ajax({
          url: 'http://bbb.com/setcookies',
          type: 'POST',
          xhrFields:{
            withCredentials:true
          },
          crossDomain:true,
          data: data,
          dataType: 'json',
          success: function(res) {
            console.log('s');
            console.log(res);
          },
          error: function(res) {
             console.log('f');
              console.log(res);
          }
        });
           

其中一下是aaa.com站點js代碼的關鍵：

xhrFields:{
            withCredentials:true
          },
          crossDomain:true,
           

bbb.com站點的方法中加入一下代碼：

$origin = 'http://aaa.com';
        $domain_list = array('http://aaa.com')
        if(in_array($origin,$domain_list)){
			header("Access-Control-Allow-Origin:".$origin);
			header('Access-Control-Allow-Credentials: true');
            header('content-type:application:json;charset=utf8');
        }
           

後記：

思路來源于阮一峰的一篇部落格，原位址如下：http://www.ruanyifeng.com/blog/2016/04/cors.html

原文摘錄如下：

CORS是一個W3C标準，全稱是"跨域資源共享"（Cross-origin resource sharing）。它允許浏覽器向跨源伺服器，發出

XMLHttpRequest

請求，進而克服了AJAX隻能同源使用的限制。

本文詳細介紹CORS的内部機制。

一、簡介

CORS需要浏覽器和伺服器同時支援。目前，所有浏覽器都支援該功能，IE浏覽器不能低于IE10。

整個CORS通信過程，都是浏覽器自動完成，不需要使用者參與。對于開發者來說，CORS通信與同源的AJAX通信沒有差别，代碼完全一樣。浏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭資訊，有時還會多出一次附加的請求，但使用者不會有感覺。

是以，實作CORS通信的關鍵是伺服器。隻要伺服器實作了CORS接口，就可以跨源通信。

二、兩種請求

浏覽器将CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

隻要同時滿足以下兩大條件，就屬于簡單請求。

（1) 請求方法是以下三種方法之一：

• HEAD
• GET
• POST

（2）HTTP的頭資訊不超出以下幾種字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：隻限于三個值

  application/x-www-form-urlencoded

  、

  multipart/form-data

  、

  text/plain

這是為了相容表單（form），因為曆史上表單一直可以發出跨域請求。AJAX 的跨域設計就是，隻要表單可以發，AJAX 就可以直接發。

凡是不同時滿足上面兩個條件，就屬于非簡單請求。

浏覽器對這兩種請求的處理，是不一樣的。

三、簡單請求

3.1 基本流程

對于簡單請求，浏覽器直接發出CORS請求。具體來說，就是在頭資訊之中，增加一個

Origin

字段。

下面是一個例子，浏覽器發現這次跨源AJAX請求是簡單請求，就自動在頭資訊之中，添加一個

Origin

字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
           

上面的頭資訊中，

Origin

字段用來說明，本次請求來自哪個源（協定 + 域名 + 端口）。伺服器根據這個值，決定是否同意這次請求。

如果

Origin

指定的源，不在許可範圍内，伺服器會傳回一個正常的HTTP回應。浏覽器發現，這個回應的頭資訊沒有包含

Access-Control-Allow-Origin

字段（詳見下文），就知道出錯了，進而抛出一個錯誤，被

XMLHttpRequest

的

onerror

回調函數捕獲。注意，這種錯誤無法通過狀态碼識别，因為HTTP回應的狀态碼有可能是200。

如果

Origin

指定的域名在許可範圍内，伺服器傳回的響應，會多出幾個頭資訊字段。

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
           

上面的頭資訊之中，有三個與CORS請求相關的字段，都以

Access-Control-

開頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要麼是請求時

Origin

字段的值，要麼是一個

*

，表示接受任意域名的請求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個布爾值，表示是否允許發送Cookie。預設情況下，Cookie不包括在CORS請求之中。設為

true

，即表示伺服器明确許可，Cookie可以包含在請求中，一起發給伺服器。這個值也隻能設為

true

，如果伺服器不要浏覽器發送Cookie，删除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請求時，

XMLHttpRequest

對象的

getResponseHeader()

方法隻能拿到6個基本字段：

Cache-Control

、

Content-Language

、

Content-Type

、

Expires

、

Last-Modified

、

Pragma

。如果想拿到其他字段，就必須在

Access-Control-Expose-Headers

裡面指定。上面的例子指定，

getResponseHeader('FooBar')

可以傳回

FooBar

字段的值。

3.2 withCredentials 屬性

上面說到，CORS請求預設不發送Cookie和HTTP認證資訊。如果要把Cookie發到伺服器，一方面要伺服器同意，指定

Access-Control-Allow-Credentials

字段。

Access-Control-Allow-Credentials: true
           

另一方面，開發者必須在AJAX請求中打開

withCredentials

屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
           

否則，即使伺服器同意發送Cookie，浏覽器也不會發送。或者，伺服器要求設定Cookie，浏覽器也不會處理。

但是，如果省略

withCredentials

設定，有的浏覽器還是會一起發送Cookie。這時，可以顯式關閉

withCredentials

。

xhr.withCredentials = false;
           

需要注意的是，如果要發送Cookie，

Access-Control-Allow-Origin

就不能設為星号，必須指定明确的、與請求網頁一緻的域名。同時，Cookie依然遵循同源政策，隻有用伺服器域名設定的Cookie才會上傳，其他域名的Cookie并不會上傳，且（跨源）原網頁代碼中的

document.cookie

也無法讀取伺服器域名下的Cookie。

四、非簡單請求

4.1 預檢請求

非簡單請求是那種對伺服器有特殊要求的請求，比如請求方法是

PUT

或

DELETE

，或者

Content-Type

字段的類型是

application/json

。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。

浏覽器先詢問伺服器，目前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊字段。隻有得到肯定答複，浏覽器才會發出正式的

XMLHttpRequest

請求，否則就報錯。

下面是一段浏覽器的JavaScript腳本。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
           

上面代碼中，HTTP請求的方法是

PUT

，并且發送一個自定義頭資訊

X-Custom-Header

。

浏覽器發現，這是一個非簡單請求，就自動發出一個"預檢"請求，要求伺服器确認可以這樣請求。下面是這個"預檢"請求的HTTP頭資訊。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
           

"預檢"請求用的請求方法是

OPTIONS

，表示這個請求是用來詢問的。頭資訊裡面，關鍵字段是

Origin

，表示請求來自哪個源。

除了

Origin

字段，"預檢"請求的頭資訊包括兩個特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來列出浏覽器的CORS請求會用到哪些HTTP方法，上例是

PUT

。

（2）Access-Control-Request-Headers

該字段是一個逗号分隔的字元串，指定浏覽器CORS請求會額外發送的頭資訊字段，上例是

X-Custom-Header

。

4.2 預檢請求的回應

伺服器收到"預檢"請求以後，檢查了

Origin

、

Access-Control-Request-Method

和

Access-Control-Request-Headers

字段以後，确認允許跨源請求，就可以做出回應。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
           

上面的HTTP回應中，關鍵的是

Access-Control-Allow-Origin

字段，表示

http://api.bob.com

可以請求資料。該字段也可以設為星号，表示同意任意跨源請求。

Access-Control-Allow-Origin: *
           

如果伺服器否定了"預檢"請求，會傳回一個正常的HTTP回應，但是沒有任何CORS相關的頭資訊字段。這時，浏覽器就會認定，伺服器不同意預檢請求，是以觸發一個錯誤，被

XMLHttpRequest

對象的

onerror

回調函數捕獲。控制台會列印出如下的報錯資訊。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
           

伺服器回應的其他CORS相關字段如下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000
           

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗号分隔的一個字元串，表明伺服器支援的所有跨域請求的方法。注意，傳回的是所有支援的方法，而不單是浏覽器請求的那個方法。這是為了避免多次"預檢"請求。

（2）Access-Control-Allow-Headers

如果浏覽器請求包括

Access-Control-Request-Headers

字段，則

Access-Control-Allow-Headers

字段是必需的。它也是一個逗号分隔的字元串，表明伺服器支援的所有頭資訊字段，不限于浏覽器在"預檢"中請求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預檢請求的有效期，機關為秒。上面結果中，有效期是20天（1728000秒），即允許緩存該條回應1728000秒（即20天），在此期間，不用發出另一條預檢請求。

4.3 浏覽器的正常請求和回應

一旦伺服器通過了"預檢"請求，以後每次浏覽器正常的CORS請求，就都跟簡單請求一樣，會有一個

Origin

頭資訊字段。伺服器的回應，也都會有一個

Access-Control-Allow-Origin

頭資訊字段。

下面是"預檢"請求之後，浏覽器的正常CORS請求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
           

上面頭資訊的

Origin

字段是浏覽器自動添加的。

下面是伺服器正常的回應。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8
           

上面頭資訊中，

Access-Control-Allow-Origin

字段是每次回應都必定包含的。

五、與JSONP的比較

CORS與JSONP的使用目的相同，但是比JSONP更強大。

JSONP隻支援

GET

請求，CORS支援所有類型的HTTP請求。JSONP的優勢在于支援老式浏覽器，以及可以向不支援CORS的網站請求資料。