[HTTP趣谈]支持跨域及相关cookie设置
如今“前后端分离”的设计思想已经非常普及,所以一旦静态资源和后台应用部署在不同服务器上并采用不同域名,那么,必然会遇到“浏览器同源策略”的限制,也必然,需要前后台一起合作解决跨域问题。
1. 同源策略
什么样的URL是同源的?其必须满足下面三个条件:
- 协议号相同
- 域名相同
- 端口相同
比如,a.com网站,想要访问b.com网站api,比如api.b.com。那么,在“同源策略”限制下,a.com网站无法获取api.b.com下的cookie,也无法向api.b.com发送ajax请求。
2. 如何支持跨域
最简单的方式是后台服务器将允许跨域访问的URL添加到白名单中,这样,前台应用不需要做任何特殊处理。
另外,还有两种常用方法:
1) JSONP
基本思想为:网页通过添加一个<script>元素,向服务器请求JSON数据,服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。
用src属性请求资源的标签,比如<link>,<img>,<script>...都不受同源策略的限制。
<body>
<button onclick="loadData()">LoadData</button>
<script>
function foo(res){
console.log(res)
}
function loadData(){
var elem = document.createElement('script');
elem.src = 'http://a.com/jsonp?callback=foo';
document.head.appendChild(elem);
}
</script>
</body>用JSONP,浏览器会自动在request header里面带上a.com下的cookie信息。
其实,通过src调用api都是GET方式,类似请求资源文件,必须明确,从Web页面产生的文件请求都会带上cookie。
因此,JSONP的缺点很明显了:
- 只支持GET请求
- 只能带本域下的cookies
2) CORS(Cross-origin resource sharing)
CORS是一个W3C标准,全称是"跨域资源共享"。它运行浏览器向跨域服务器发送AJAX请求。
小贴士
IE10以上用XMLHttpRequest对象实现CORS;
IE8,IE9用XDomainRequest支持CORS。整个CORS跨域,是浏览器自动完成,不需要前端特殊处理。浏览器一旦发现是AJAX请求跨域,会添加origin头信息,后台应用需要根据request header中的origin/referer,来设置正确的response header,完成跨域请求。
cors.png
CORS具体的概念和讲解,网上很多资料,包括什么是简单请求和“Preflighted”,请参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS。
下面要重点提到的是,CORS下,前端如何携带cookies?
Requests with credentials
用JS/JQuery启动AJAX请求时,必须设置withCredentials头为true,写法如下:
JS:
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('POST', ‘a.com’, true);
xhr.send();
JQuery:
$.ajax({
url: a_cross_domain_url,
xhrFields: {
withCredentials: true
}
});这时,后台设置response header时,需要返回:
Access-Control-Allow-Credentials: true;
Access-Control-Allow-Origin: a.com; //必须为具体域名,不能是*重点需要注意的是cookies信息!!!这时,request请求中可以携带的cookies,不仅仅有本域下的cookies,还包括跨域服务器下设置的cookies(注意:跨域服务器下的cookies,是无法通过JS代码document.cookie访问,该cookies只能被远程服务器控制)。
可见,在安全性上,CORS比JSONP强悍很多!
CORS缺点是,低版本的IE浏览器支持不好。
3. 小结
针对iframe,还有些特殊的解决跨域方式,比如HTML5新特性:postMessage。
如果父子窗口是同一个主域,不同子域,也可以通过设置document.domain属性,规避同源策略。
- Nodejs学习笔记(十五)--- Node.js + Koa2 构建网站简单示例
- WCF后续之旅(15): 逻辑地址和物理地址
- 深入理解string和如何高效地使用string
- Nodejs学习笔记(四)——支持Mongodb
- 语音识别类产品的分类及应用场景
- 小程序新能力-个人开发者尝鲜微信小程序
- 径向基神经网络续1
- 打造你的专属AI游戏机器人:太空侵略者
- WCF后续之旅(16): 消息是如何分发到Endpoint的--消息筛选(Message Filter)
- 最高大上的展览!腾讯建了一个小“方盒子”,里面全是高科技
- Blend基础-布局控件
- Spring实战——缓存
- Nodejs学习笔记(十二)--- 定时任务(node-schedule)
- Spring实战——缓存
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 打卡群刷题总结0724——子集
- 打卡群刷题总结0726——删除排序数组中的重复项 II
- VBA调用外部对象02:FileSystemObject——OpenTextFile参数
- 使用HTTP 404-File Not Found的C2
- MySQL主从复制详解
- Excel VBA事件——ActiveX控件
- Excel VBA事件
- VBA调用外部对象02:FileSystemObject——其他函数
- 递归的理解
- Excel VBA事件——Worksheet
- 类模块——接口排序
- 窗体UserForm——命令按钮
- Excel VBA事件——Workbook
- 文件操作——写入
- 追赶 terraform,让基础设施代码化更加容易,pulumi 都做了些什么?