跨域之HTTP预检请求、嗅探请求、options请求
首先来看一个问题,跨域为什么会产生
为什么会遇到跨域请求?
首先要明确一点,跨域请求实际上是浏览器进行拦截的(浏览器的安全策略拦截),如果使用linux的curl命令去请求接口,是不会遇到跨域的。
所以跨域实际出现一般都是前后端分离场景。
什么是跨域请求?简言之,就是做饭时,你家的米不够了,到邻家去借用(请求其他域的资源),但是浏览器觉得你这样做不安全,在不做任何处理的情况下,这个跨域请求是无法被成功请求的,因为浏览器基于同源策略,会对跨域请求做一定的限制。
什么是同源策略?
首先大家要知道同源策略发生的场景:浏览器,如果不是浏览器发起请求,就不会受到同源策略的影响。这也是为什么上面说,linux的curl命令去请求不会产生跨域的原因。同源就是在js中请求是不带域名,直接使用相对地址,如/article/show/2021,这种情况浏览器默认使用当前域名,如果指明了详细的非当前域名的URL地址,就被判定为非同源,也就是跨域,具体分三种情况,如下。
跨域的3种情况:
1、协议不同,http 协议去请求 https 协议;
2、端口不同,80端口去请求8081端口;
3、域名(ip)不同,www.abc.com 和 www.def.com;
跨域如何解决?
一般常用有3种:前端nginx反向代理、后端设置cros允许跨域,以及大名鼎鼎的:jsonp;
NGINX反向代理
可以再NGINX中设置proxy-pass,反向代理到其他域,这里不做展开叙述;
后端设置cros允许跨域
什么是CROS?
CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个W3C标准,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS需要浏览器和服务器同时支持。目前的主流浏览器都支持该功能,整个通信过程,都是浏览器自动完成,不需要用户参与。
对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
两大类请求:简单请求和非简单请求
参考:http://www.ruanyifeng.com/blog/2016/04/cors.html;
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
只要同时满足以下两大条件,就属于简单请求:
- 请求方法是以下三种方法之一:
HEAD GET POST
2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
GET /cors HTTP/1.1
Origin: http://api.aaa.com
Host: api.ccc.com
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段:
Access-Control-Allow-Origin: http://api.aaa.com
Access-Control-Allow-Credentials: true
……
Content-Type: text/html; charset=utf-8
如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。但是,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。
CORS-非简单请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type的类型是application/json;
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为preflight,即"预检"请求(可算说到重点了)。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
预检请求的请求头:
OPTIONS /cors HTTP/1.1
Origin: http://api.aaa.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.ccc.com
Connection: keep-alive
User-Agent: Mozilla/5.0...
"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,"预检"请求的头信息包括两个特殊字段。
(1)Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。
服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应(响应体做了简化):
HTTP/1.1 200 OK
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.ccc.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/plain
……
如果服务器否定了"预检"请求,会返回一个正常的HTTP回应:
XMLHttpRequest cannot load http://api.aaa.com.
Origin http://api.ccc.com is not allowed by Access-Control-Allow-Origin.
与JSONP的比较
CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
不过,预检请求,可能会导致请求变慢,毕竟每次进行接口请求时候,浏览器都要先发出一个options请求,才能发起正式请求。
村长闲唠嗑
如果有细心的小伙伴肯定发现了,本文其实只介绍了预检请求,嗅探请求、options请求好像压根儿没提呀。
其实村长没有忽悠大家,因为已经全部讲完了,所谓,嗅探请求、options请求,不过是 预检请求 的别名而已;
小伙伴们记住了哈,免得被人给忽悠住。
就跟 B-树、B树 一样,这俩都是指B树,如果您读 B减树,就显得外行了。
