需求背景:
aaa.com站點需向bbb.com站點種cookies
實作思路:
aaa.com站點用ajax調用bbb.com站點的php接口,bbb.com站點在接口裡實作種cookies,因為同源政策的限制,aaa.com站點是不能往bbb.com站點種cookies的,是以主要是解決同源政策的限制。
實作代碼:
aaa.com站點的js代碼
$.ajax({
url: 'http://bbb.com/setcookies',
type: 'POST',
xhrFields:{
withCredentials:true
},
crossDomain:true,
data: data,
dataType: 'json',
success: function(res) {
console.log('s');
console.log(res);
},
error: function(res) {
console.log('f');
console.log(res);
}
});
其中一下是aaa.com站點js代碼的關鍵:
xhrFields:{
withCredentials:true
},
crossDomain:true,
bbb.com站點的方法中加入一下代碼:
$origin = 'http://aaa.com';
$domain_list = array('http://aaa.com')
if(in_array($origin,$domain_list)){
header("Access-Control-Allow-Origin:".$origin);
header('Access-Control-Allow-Credentials: true');
header('content-type:application:json;charset=utf8');
}
後記:
思路來源于阮一峰的一篇部落格,原位址如下:http://www.ruanyifeng.com/blog/2016/04/cors.html
原文摘錄如下:
CORS是一個W3C标準,全稱是"跨域資源共享"(Cross-origin resource sharing)。它允許浏覽器向跨源伺服器,發出
XMLHttpRequest
請求,進而克服了AJAX隻能同源使用的限制。
本文詳細介紹CORS的内部機制。
一、簡介
CORS需要浏覽器和伺服器同時支援。目前,所有浏覽器都支援該功能,IE浏覽器不能低于IE10。
整個CORS通信過程,都是浏覽器自動完成,不需要使用者參與。對于開發者來說,CORS通信與同源的AJAX通信沒有差别,代碼完全一樣。浏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。
是以,實作CORS通信的關鍵是伺服器。隻要伺服器實作了CORS接口,就可以跨源通信。
二、兩種請求
浏覽器将CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
隻要同時滿足以下兩大條件,就屬于簡單請求。
(1) 請求方法是以下三種方法之一:(2)HTTP的頭資訊不超出以下幾種字段:
- HEAD
- GET
- POST
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:隻限于三個值
、
application/x-www-form-urlencoded
、
multipart/form-data
text/plain
這是為了相容表單(form),因為曆史上表單一直可以發出跨域請求。AJAX 的跨域設計就是,隻要表單可以發,AJAX 就可以直接發。
凡是不同時滿足上面兩個條件,就屬于非簡單請求。
浏覽器對這兩種請求的處理,是不一樣的。
三、簡單請求
3.1 基本流程
對于簡單請求,浏覽器直接發出CORS請求。具體來說,就是在頭資訊之中,增加一個
Origin
字段。
下面是一個例子,浏覽器發現這次跨源AJAX請求是簡單請求,就自動在頭資訊之中,添加一個
Origin
字段。
GET /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
上面的頭資訊中,
Origin
字段用來說明,本次請求來自哪個源(協定 + 域名 + 端口)。伺服器根據這個值,決定是否同意這次請求。
如果
Origin
指定的源,不在許可範圍内,伺服器會傳回一個正常的HTTP回應。浏覽器發現,這個回應的頭資訊沒有包含
Access-Control-Allow-Origin
字段(詳見下文),就知道出錯了,進而抛出一個錯誤,被
XMLHttpRequest
的
onerror
回調函數捕獲。注意,這種錯誤無法通過狀态碼識别,因為HTTP回應的狀态碼有可能是200。
如果
Origin
指定的域名在許可範圍内,伺服器傳回的響應,會多出幾個頭資訊字段。
Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8
上面的頭資訊之中,有三個與CORS請求相關的字段,都以
Access-Control-
開頭。
(1)Access-Control-Allow-Origin
該字段是必須的。它的值要麼是請求時
Origin
字段的值,要麼是一個
*
,表示接受任意域名的請求。
(2)Access-Control-Allow-Credentials
該字段可選。它的值是一個布爾值,表示是否允許發送Cookie。預設情況下,Cookie不包括在CORS請求之中。設為
true
,即表示伺服器明确許可,Cookie可以包含在請求中,一起發給伺服器。這個值也隻能設為
true
,如果伺服器不要浏覽器發送Cookie,删除該字段即可。
(3)Access-Control-Expose-Headers
該字段可選。CORS請求時,
XMLHttpRequest
對象的
getResponseHeader()
方法隻能拿到6個基本字段:
Cache-Control
、
Content-Language
、
Content-Type
、
Expires
、
Last-Modified
、
Pragma
。如果想拿到其他字段,就必須在
Access-Control-Expose-Headers
裡面指定。上面的例子指定,
getResponseHeader('FooBar')
可以傳回
FooBar
字段的值。
3.2 withCredentials 屬性
上面說到,CORS請求預設不發送Cookie和HTTP認證資訊。如果要把Cookie發到伺服器,一方面要伺服器同意,指定
Access-Control-Allow-Credentials
字段。
Access-Control-Allow-Credentials: true
另一方面,開發者必須在AJAX請求中打開
withCredentials
屬性。
var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
否則,即使伺服器同意發送Cookie,浏覽器也不會發送。或者,伺服器要求設定Cookie,浏覽器也不會處理。
但是,如果省略
withCredentials
設定,有的浏覽器還是會一起發送Cookie。這時,可以顯式關閉
withCredentials
。
xhr.withCredentials = false;
需要注意的是,如果要發送Cookie,
Access-Control-Allow-Origin
就不能設為星号,必須指定明确的、與請求網頁一緻的域名。同時,Cookie依然遵循同源政策,隻有用伺服器域名設定的Cookie才會上傳,其他域名的Cookie并不會上傳,且(跨源)原網頁代碼中的
document.cookie
也無法讀取伺服器域名下的Cookie。
四、非簡單請求
4.1 預檢請求
非簡單請求是那種對伺服器有特殊要求的請求,比如請求方法是
PUT
或
DELETE
,或者
Content-Type
字段的類型是
application/json
。
非簡單請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。
浏覽器先詢問伺服器,目前網頁所在的域名是否在伺服器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊字段。隻有得到肯定答複,浏覽器才會發出正式的
XMLHttpRequest
請求,否則就報錯。
下面是一段浏覽器的JavaScript腳本。
var url = 'http://api.alice.com/cors'; var xhr = new XMLHttpRequest(); xhr.open('PUT', url, true); xhr.setRequestHeader('X-Custom-Header', 'value'); xhr.send();
上面代碼中,HTTP請求的方法是
PUT
,并且發送一個自定義頭資訊
X-Custom-Header
。
浏覽器發現,這是一個非簡單請求,就自動發出一個"預檢"請求,要求伺服器确認可以這樣請求。下面是這個"預檢"請求的HTTP頭資訊。
OPTIONS /cors HTTP/1.1 Origin: http://api.bob.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
"預檢"請求用的請求方法是
OPTIONS
,表示這個請求是用來詢問的。頭資訊裡面,關鍵字段是
Origin
,表示請求來自哪個源。
除了
Origin
字段,"預檢"請求的頭資訊包括兩個特殊字段。
(1)Access-Control-Request-Method
該字段是必須的,用來列出浏覽器的CORS請求會用到哪些HTTP方法,上例是
PUT
。
(2)Access-Control-Request-Headers
該字段是一個逗号分隔的字元串,指定浏覽器CORS請求會額外發送的頭資訊字段,上例是
X-Custom-Header
。
4.2 預檢請求的回應
伺服器收到"預檢"請求以後,檢查了
Origin
、
Access-Control-Request-Method
和
Access-Control-Request-Headers
字段以後,确認允許跨源請求,就可以做出回應。
HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain
上面的HTTP回應中,關鍵的是
Access-Control-Allow-Origin
字段,表示
http://api.bob.com
可以請求資料。該字段也可以設為星号,表示同意任意跨源請求。
Access-Control-Allow-Origin: *
如果伺服器否定了"預檢"請求,會傳回一個正常的HTTP回應,但是沒有任何CORS相關的頭資訊字段。這時,浏覽器就會認定,伺服器不同意預檢請求,是以觸發一個錯誤,被
XMLHttpRequest
對象的
onerror
回調函數捕獲。控制台會列印出如下的報錯資訊。
XMLHttpRequest cannot load http://api.alice.com. Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
伺服器回應的其他CORS相關字段如下。
Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000
(1)Access-Control-Allow-Methods
該字段必需,它的值是逗号分隔的一個字元串,表明伺服器支援的所有跨域請求的方法。注意,傳回的是所有支援的方法,而不單是浏覽器請求的那個方法。這是為了避免多次"預檢"請求。
(2)Access-Control-Allow-Headers
如果浏覽器請求包括
Access-Control-Request-Headers
字段,則
Access-Control-Allow-Headers
字段是必需的。它也是一個逗号分隔的字元串,表明伺服器支援的所有頭資訊字段,不限于浏覽器在"預檢"中請求的字段。
(3)Access-Control-Allow-Credentials
該字段與簡單請求時的含義相同。
(4)Access-Control-Max-Age
該字段可選,用來指定本次預檢請求的有效期,機關為秒。上面結果中,有效期是20天(1728000秒),即允許緩存該條回應1728000秒(即20天),在此期間,不用發出另一條預檢請求。
4.3 浏覽器的正常請求和回應
一旦伺服器通過了"預檢"請求,以後每次浏覽器正常的CORS請求,就都跟簡單請求一樣,會有一個
Origin
頭資訊字段。伺服器的回應,也都會有一個
Access-Control-Allow-Origin
頭資訊字段。
下面是"預檢"請求之後,浏覽器的正常CORS請求。
PUT /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com X-Custom-Header: value Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
上面頭資訊的
Origin
字段是浏覽器自動添加的。
下面是伺服器正常的回應。
Access-Control-Allow-Origin: http://api.bob.com Content-Type: text/html; charset=utf-8
上面頭資訊中,
Access-Control-Allow-Origin
字段是每次回應都必定包含的。
五、與JSONP的比較
CORS與JSONP的使用目的相同,但是比JSONP更強大。
JSONP隻支援
GET
請求,CORS支援所有類型的HTTP請求。JSONP的優勢在于支援老式浏覽器,以及可以向不支援CORS的網站請求資料。