浏览器的跨域请求 与 CORS(跨域资源共享)
今天在学习.netcore的时候,看到了.netcore规定的中间件的使用顺序,如下图:
其中有一个点不是很明白。CORS 是什么呢? 翻了一些资料,记录一下学习历程。
CORS是什么?
CORS(Cross-origin resource sharing)是一个W3C标准,中文翻译为:跨域资源共享。
(在网上还看到了这样的一句话,觉得比较合理:为了解决跨域资源共享问题,浏览器厂商和标准组织在 HTTP 协议的基础上,提出了 CORS 标准协议。CORS 协议由一组 HTTP Header 构成,用于标识某个资源是否可以被跨域访问。)
根据定义可以知道,应该是用在跨域方面的一个协议。
那什么是跨域呢?简单来说,就是不是一个网站,这样说也是有问题的,比如一个用户看到的网站,可能加载不同的信息,用的是不同的站点的。所以,详细说应该是请求的信息中,协议,ip,端口号,只要有一个是不同的,就称之为跨域。
回到中心问题。那我们了解了什么是CORS,那在开发的过程中,应该怎样去使用呢?或者说哪里可以用到这个CORS呢?
首先,我们在开发过程中可能会遇到以下问题:
No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
一般情况下,我们修改 Access-Control-Allow-Origin Access-Control-Allow-Headers Access-Control-Allow-Methods 等配置,就可以解决这个问题。
那为什么这样修改配置就可以处理这个问题呢? 其实这里利用的就是CORS标准。
在详细讲解之前,我们先了解一个知识点:浏览器一般将请求分为简单请求和非简单请求。
只要同时满足以下两大条件,就属于简单请求。
(1) 请求方法是以下三种方法之一:
- HEAD
- GET
- POST
(2)HTTP的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值
application/x-www-form-urlencoded
、multipart/form-data
、text/plain
浏览器对这两种请求的处理,是不一样的。
简单请求
如果Origin
指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
Access-Control-Allow-Origin: http://**** Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8
上面的头信息之中,有三个与CORS请求相关的字段,都以Access-Control-
开头。
(1)Access-Control-Allow-Origin
该字段是必须的。它的值要么是请求时Origin
字段的值,要么是一个*
,表示接受任意域名的请求。
(2)Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true
,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true
,如果服务器不要浏览器发送Cookie,删除该字段即可。
(3)Access-Control-Expose-Headers
该字段可选。CORS请求时,XMLHttpRequest
对象的getResponseHeader()
方法只能拿到6个基本字段:Cache-Control
、Content-Language
、Content-Type
、Expires
、Last-Modified
、Pragma
。如果想拿到其他字段,就必须在Access-Control-Expose-Headers
里面指定。上面的例子指定,getResponseHeader('FooBar')
可以返回FooBar
字段的值。
非简单请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT
或DELETE
,或者Content-Type
字段的类型是application/json
。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest
请求,否则就报错。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。服务器收到"预检"请求以后,检查了Origin
、Access-Control-Request-Method
和Access-Control-Request-Headers
字段以后,确认允许跨源请求,就可以做出回应。
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin
头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin
头信息字段。
通过以上的了解,我们基本也就了解了,如何使用CORS,以及出现跨域问题的时候,应该如何进行修改了。
参考文档: http://www.ruanyifeng.com/blog/2016/04/cors.html