浏览器的跨域请求 与 CORS(跨域资源共享)

  今天在学习.netcore的时候,看到了.netcore规定的中间件的使用顺序,如下图:

 其中有一个点不是很明白。CORS 是什么呢? 翻了一些资料,记录一下学习历程。

CORS是什么?

CORS(Cross-origin resource sharing)是一个W3C标准,中文翻译为:跨域资源共享。

(在网上还看到了这样的一句话,觉得比较合理:为了解决跨域资源共享问题,浏览器厂商和标准组织在 HTTP 协议的基础上,提出了 CORS 标准协议。CORS 协议由一组 HTTP Header 构成,用于标识某个资源是否可以被跨域访问。)

根据定义可以知道,应该是用在跨域方面的一个协议。

那什么是跨域呢?简单来说,就是不是一个网站,这样说也是有问题的,比如一个用户看到的网站,可能加载不同的信息,用的是不同的站点的。所以,详细说应该是请求的信息中,协议,ip,端口号,只要有一个是不同的,就称之为跨域。

回到中心问题。那我们了解了什么是CORS,那在开发的过程中,应该怎样去使用呢?或者说哪里可以用到这个CORS呢?

 首先,我们在开发过程中可能会遇到以下问题:

No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

一般情况下,我们修改 Access-Control-Allow-Origin  Access-Control-Allow-Headers    Access-Control-Allow-Methods  等配置,就可以解决这个问题。

那为什么这样修改配置就可以处理这个问题呢? 其实这里利用的就是CORS标准。

在详细讲解之前,我们先了解一个知识点:浏览器一般将请求分为简单请求和非简单请求。

只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

浏览器对这两种请求的处理,是不一样的。

简单请求

如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。


Access-Control-Allow-Origin: http://****
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

上面的头信息之中,有三个与CORS请求相关的字段,都以Access-Control-开头。

(1)Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

(2)Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

(3)Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值。

 

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUTDELETE,或者Content-Type字段的类型是application/json

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

 非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。服务器收到"预检"请求以后,检查了OriginAccess-Control-Request-MethodAccess-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

 

通过以上的了解,我们基本也就了解了,如何使用CORS,以及出现跨域问题的时候,应该如何进行修改了。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

参考文档: http://www.ruanyifeng.com/blog/2016/04/cors.html

 

posted @ 2021-03-29 11:28  keke..lele  阅读(365)  评论(0编辑  收藏  举报