前端CORS跨域原理
对于前端来说,解决跨域的方法有以下几种:
1.通过 jsonp 跨域;
2.document.domain + iframe 跨域;
3.location.hash + iframe;
4.window.name + iframe 跨域;
5.postMessage 跨域;
6.跨域资源共享(CORS);
7.nginx 代理跨域;
8.nodejs 中间件代理跨域;
9.WebSocket 协议跨域。
今天我们主要来分析一下CORS跨域原理
CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。
针对不同的请求,CORS规定了三种不同的交互模式,分别是:
简单请求
非简单请求
附带身份凭证的请求
下面分别说明三种请求模式的具体规范。
简单请求
当浏览器想要发起请求的时候,先判断它属于哪一种请求模式
简单请求的判定
当请求同时满足以下条件时,浏览器会认为它是一个简单请求:
1)请求方法属于下面的一种:
get
post
head
2)请求头仅包含安全的字段,常见的安全字段如下:
Accept
Accept-Language
Content-Language
Content-Type
DPR
Downlink
Save-Data
Viewport-Width
Width
3)请求头如果包含Content-Type,仅限下面的值之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
如果以上三个条件同时满足,浏览器判定为简单请求。
// 简单请求
fetch("http://crossdomain.com/api/news");
// 请求方法不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
method:"PUT"
})
// 加入了额外的请求头,不是简单请求
fetch("http://crossdomain.com/api/news", {
headers:{
a: 1
}
})
// 简单请求
fetch("http://crossdomain.com/api/news", {
method: "post"
})
// content-type不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
method: "post",
headers: {
"content-type": "application/json"
}
})
简单请求的交互
第一步:当浏览器判定某个跨域请求是简单请求时,会在请求头中会自动添加Origin字段;
比如,在页面 http://my.com/index.html中有以下代码造成了跨域
// 简单请求
fetch("http://crossdomain.com/api/news");
请求发出后,请求头会是下面的格式:
GET /api/news/ HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com //Origin字段会告诉服务器,是哪个源地址在跨域请求
第二步:服务器响应头中应包含Access-Control-Allow-Origin
当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段
服务器做出了以下的响应:
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...
消息体中的数据
当浏览器看到服务器允许自己访问后,于是,它就把响应顺利的交给js,以完成后续的操作;
用图表示整个交互过程
image.png
非简单请求
对于非简单请求,就会按照下面4个步骤进行:
浏览器发送预检请求,询问服务器是否允许
服务器响应是否允许
浏览器发送真实请求
服务器完成真实的响应
比如,在页面http://my.com/index.html中有以下代码造成了跨域
// 需要预检的请求
fetch("http://crossdomain.com/api/user", {
method:"POST", // post 请求
headers:{ // 设置请求头
a: 1,
b: 2,
"content-type": "application/json"
},
body: JSON.stringify({ name: "HBF", age: 18 }) // 设置请求体
});
浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互
第一步:浏览器发送预检请求
OPTIONS /api/user HTTP/1.1
Host: crossdomain.com
...
Origin: http://my.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: a, b, content-type
可以看出,这并非我们想要发出的真实请求,请求中不包含我们的响应头,也没有消息体。
这是一个预检请求,目的是询问服务器,是否允许后续的真实请求。
预检请求有以下特征:
请求方法为OPTIONS 没有请求体
请求头中包含 Origin:请求的源,和简单请求的含义一致
Access-Control-Request-Method:后续的真实请求将使用的请求方法
Access-Control-Request-Headers:后续的真实请求会改动的请求头
第二步:服务器允许
服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
Access-Control-Allow-Methods: POST
Access-Control-Allow-Headers: a, b, content-type
Access-Control-Max-Age: 86400
...
对于预检请求,不需要响应任何的消息体,只需要在响应头中添加:
Access-Control-Allow-Origin:和简单请求一样,表示允许的源
Access-Control-Allow-Methods:表示允许的后续真实的请求方法
Access-Control-Allow-Headers:表示允许改动的请求头
Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了
第三步:浏览器发送真实请求
预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据
POST /api/user HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com
{"name": "HBF", "age": 18 }
第四步:服务器响应真实请求
HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...
添加用户成功
可以看出,当完成预检之后,后续的处理与简单请求相同
用图表示整个交互过程
image.png
附带身份凭证的请求
默认情况下,ajax的跨域请求并不会附带cookie,这样一来,某些需要权限的操作就无法进行
不过可以通过简单的配置就可以实现附带cookie
// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
// fetch api
fetch(url, {
credentials: "include"
})
这样一来,该跨域的ajax请求就是一个附带身份凭证的请求
当一个请求需要附带cookie时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段
而服务器响应时,需要明确告知客户端:服务器允许这样的凭据,告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可
对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。
参考:前端CORS跨域原理
