Yii支持多域名cors原理的实现
平常我们遇到跨域问题时,常使用 cors(Cross-origin resource sharin)方式解决。不知你是否注意到,在设置响应头 Access-Control-Allow-Origin 域的值时,只允许设置一个域名,这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' = ['http://www.site1.com', 'http://www.site2.com']
的形式却可以设置多个 cors 域名值,Why?
其实,Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。
说明:测试使用的接口域名
api.d.fanhaobai.com
,cros 多域名为www.d.yii.com
和www.fq.yii.com
。
Nginx设置多域名
尝试直接通过 Nginx 的add_header
模块追加 Access-Control-Allow-Origin 值实现,如下:
add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;
接口 请求 和 响应头 如下:
Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...
Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...
当前域为www.fq.yii.com
,需跨域请求http://api.d.fanhaobai.com/v1/config/list.json
的资源。浏览器抛出如下跨域错误:
XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The ‘Access-Control-Allow-Origin’ header contains multiple values ‘http://www.fq.yii.com, http://www.d.yii.com’, but only one is allowed. Origin ‘http://www.fq.yii.com’ is therefore not allowed access.
以上信息明确说明,Access-Control-Allow-Origin 只能设置为一个值,即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。
Yii2设置多域名
Yii2 设置多域名 cors,只需在对应控制器(ConfigController)中设置 cors 行为,如下:
class BaseController extends Controller
{
/**
* @inheritdoc
*/
public function behaviors()
{
return [
'corsFilter' = [
'class' = yiifiltersCors::className(),
'cors' = [
//运行cors域名列表
'Origin' = ['http://www.d.yii.com', 'http://www.fq.yii.com'],
'Access-Control-Allow-Credentials' = true,
]
],
];
}
}
重新在www.fq.yii.com
发送 cors 请求,发现此时已经不存在跨域问题。响应头 如下:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...
我们会发现,Access-Control-Allow-Origin 域的值为http://www.fq.yii.com
,刚好为当前域名一致,且只有一个值,并未出现设置的http://www.d.yii.com
值。
同时,在www.d.yii.com
下发送 cors 请求,也不存在跨域问题。响应头中 Access-Control-Allow-Origin 值为http://www.d.yii.com
。
由此可知,Yii2 在控制器行为中设置 Origin 项,只是一个域名白名单,而返回的 Access-Control-Allow-Origin 同请求的域名一致且在这个白名单中,这个 Access-Control-Allow-Origin 由 Yii2 根据当前请求所在域名进行了动态处理。
Yii2动态Access-Control-Allow-Origin
查看 Yii2 的yiifiltersCors
类源码,如下:
class Cors extends ActionFilter
{
/**
* @var array CORS所用的响应头
*/
public $cors = [
'Origin' = ['*'],
'Access-Control-Request-Method' = ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
'Access-Control-Request-Headers' = ['*'],
'Access-Control-Allow-Credentials' = null,
'Access-Control-Max-Age' = 86400,
'Access-Control-Expose-Headers' = [],
];
/**
* 执行action前要做的事
* @inheritdoc
*/
public function beforeAction($action)
{
$this- request = $this- request ?: Yii::$app- getRequest();
$this- response = $this- response ?: Yii::$app- getResponse();
... ...
$requestCorsHeaders = $this- extractHeaders();
//获取cors所用的响应头
$responseCorsHeaders = $this- prepareHeaders($requestCorsHeaders);
//设置cors所用的响应头
$this- addCorsHeaders($this- response, $responseCorsHeaders);
return true;
}
/**
* 处理cors所用的响应头,动态处理Access-Control-Allow-Origin域
* @param array $requestHeaders CORS headers we have detected
* @return array CORS headers ready to be sent
*/
public function prepareHeaders($requestHeaders)
{
$responseHeaders = [];
//$requestHeaders['Origin']为源地址,请求所在域名
if (isset($requestHeaders['Origin'], $this- cors['Origin'])) {
//源地址在白名单中,则设置Access-Control-Allow-Origin为源地址
if (in_array('*', $this- cors['Origin']) || in_array($requestHeaders['Origin'], $this- cors['Origin'])) {
$responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
}
}
... ...
}
}
主要思想就是,查看源地址是否在 cors 白名单中,在则设置 Access-Control-Allow-Origin 域的值为源地址。这样就能满足 Access-Control-Allow-Origin 为一个值的限制,同时也能允许指定的域名进行 cors。
注意:使用该方法请确保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。
总结
通过 Nginx 设置 Access-Control-Allow-Origin 进行 cors,有且只能有一个特定域名,局限性较大。通过代码逻辑操作 Access-Control-Allow-Origin 来实现 cors,则比较灵活,能解决多个域名进行 cors 的需求,但是如果接口异常,跨域设置则会失效。
以上就是本文的全部内容,希望对大家的学习有所帮助。
- 这么多前端优化点你都记得住吗?
- 愚蠢的”记住“密码方式终于还是出了问题
- C#获取本机可用端口
- 想知道你的对象用微信和谁聊得最多吗?一个代码告诉你
- objective-C中的接口与泛型
- 段永朝:天性,互联网的灵性回归
- objective-C中的Class(类类型),Selector(选择器SEL),函数指针(IMP)
- 数据中心进水了怎么办?数据中心如何防洪?
- 戴若犁:虚拟中的现实
- kvm虚拟化管理平台WebVirtMgr部署-完整记录(1)
- objective-C中如何判断一个类中有没有定义某个方法
- Steve Boswell:智能口罩让PM2.5滚蛋
- kvm虚拟化管理平台WebVirtMgr部署-完整记录(2)
- objective-C中的扩展方法与partial class
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Golang 标准库 限流器 time/rate 设计与实现
- Node搭建简易的UDP服务器
- cordova run android 下载gradle报timeout
- How we redesign the NSQ-NSQ重塑之客户端
- [PHP] 使用php生成下载csv文件
- 深入浅出MySQL crash safe
- Cordova+React+Ant.design项目搭建
- ubuntu配置ZeroTier
- 有赞零售小票打印图片二值化方案
- 虚拟机中CentOS获取ip
- CentOS7 安装JDK8,tomcat8
- Py2和Py3共存相关问题
- 解决node-sass无法安装导致依赖安装失败
- 0307前端笔试题
- 有赞微商城-Android 组件化方案