php跨域资源共享 CORS 跨域资源共享

CORS (Cross-Origin Resource Sharing) 跨域资源共享

为什么需要 CORS

首先，跨域指的是同一个域名下的资源，同时要注意域名与子域名，比如 developers. 和 developers. 不属于同一个域，同样属于跨域访问

由于 同源策略，浏览器会限制脚本中发起的跨域请求，比如通过 XMLHttpRequest 就不能发起的跨域请求

PS: 不是不能发跨域请求，而是跨域请求可以正常发起，只不过浏览器会拦截返回结果

虽然有一些 jsonp 这些请求方式，不过都只是利用了一些标签的可跨域性解决的，实质上已经不属于 XMLHttpRequest 的范围了

为了能开发出更强大、更丰富、更安全的 Web 应用程序，能够在不丢失安全的前提下，Web 应用技术能越来越强大、越来越丰富。比如，可以使用 XMLHttpRequest 发起跨域 HTTP 请求，于是就产生了一种新的机制，即 跨域资源共享(Cross-Origin Resource Sharing (CORS))

这种机制让 Web 应用服务器能支持跨域访问控制，从而使得安全地进行跨域数据传输成为可能

需要注意的是，浏览器必须能够支持这种新的访问机制，包括请求头和策略执行。同样，服务器端则需要解析这些新的请求头，并按照策略返回相应的响应头以及所请求的资源

在说 CORS 之前，我们先来弄清两个概念，请求与预请求

请求就不用多说，就是正常的 HTTP 请求

预请求

首先，发送的请求要满足以下条件

请求以 GET, HEAD 或者 POST 以外的方法发起请求

如果使用 POST 的话，请求的 Content-Type 必须是 application/x-www-form-urlencoded, multipart/form-data 或者 text/plain 以外的数据类型。比如，POST 发送的 Content-Type 为 application/xml 或者 text/xml

使用自定义请求头(比如: X-TEST)

当请求包含这几种特征时，该请求会先发出一个 预请求，以 OPTIONS 的方式对服务器先请求，当保证满足 CORS 约定的条件时，才会发出正式的请求

简单来说，预请求 就是为了保证服务器能够支持跨域访问，保证整个过程的访问安全

CORS 请求过程

ok，接下来我们来说如何通过 CORS 进行跨域访问，这里我们用 jquery 的 $.ajax() 的方法请求

首先，我们通过 预请求 的方式来确定服务器是否支持跨域

$.ajax({

url: 'http://developers.proxy./cors.php',

method: 'POST',

'Content-Type': 'application/json',

headers: {

'X-TEST': 'test',

},

success: function(data) {

console.log(data);

}

});

下面是 预请求 的请求头信息和响应头信息

// request headers

OPTIONS /cors.php HTTP/1.1

Host: developers.proxy.

Connection: keep-alive

Cache-Control: max-age=0

Access-Control-Request-Method: POST

Origin: http://localhost

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 > Safari/537.36

Access-Control-Request-Headers: accept, x-test

Accept: /

Referer: http://localhost/example/index.php

Accept-Encoding: gzip, deflate, sdch

Accept-Language: zh-CN,zh;q=0.8

// response headers

HTTP/1.1 200 OK

Date: Fri, 19 Aug 03:32:18 GMT

Server: Apache

Access-Control-Allow-Origin: http://localhost

Access-Control-Allow-Methods: POST, GET, OPTIONS

Access-Control-Allow-Headers: X-TEST

Access-Control-Max-Age: 86400

Cache-Control: max-age=0

Expires: Fri, 19 Aug 03:32:18 GMT

Vary: Accept-Encoding

Content-Encoding: gzip

Content-Length: 23

Connection: close

Content-Type: text/html

在这里我们可以看到，预请求 的请求头信息中有 Access-Control-Request-Headers: accept, x-test 和 Access-Control-Request-Method: POST 这两个头信息

Access-Control-Request-Headers：头信息会告诉服务器，正式请求将会携带 accept、x-test 两个请求头信息

Access-Control-Request-Method：头信息则告诉服务器，正式请求将会以 POST 的方式发起

然后服务器的响应头信息里面

Access-Control-Allow-Headers : 告诉我们接受 X-TEST 这个自定义的 header 头

Access-Control-Allow-Methods : 服务器接受的方法 POST, GET, OPTIONS

Access-Control-Allow-Origin : 允许跨域访问的域名列表，这里是 localhost

Access-Control-Max-Age : 本次 预请求 的响应结果有效时间是多久，这里 86400 秒表示一天内，浏览器在处理针对该服务器的跨站请求，都可以无需再发送预请求

请求头里面的信息会和响应头信息里面的内容进行核对，如果条件都满足的话，预请求完成

然后 预请求 结束，结果表明支持跨域访问，并且现在的域名也在跨域访问的列表内，确认信息后，接下来会进行正式的请求

下面是正式请求的请求头信息和响应头信息

// request headers

POST /cors.php HTTP/1.1

Host: developers.proxy.

Connection: keep-alive

Content-Length: 0

Cache-Control: max-age=0

Accept: /

X-TEST: test

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 > Safari/537.36

Origin: http://localhost

Referer: http://localhost/example/index.php

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

// response headers

HTTP/1.1 200 OK

Date: Fri, 19 Aug 03:32:18 GMT

Server: Apache

Access-Control-Allow-Origin: http://localhost

Access-Control-Allow-Methods: POST, GET, OPTIONS

Access-Control-Allow-Headers: X-TEST

Access-Control-Max-Age: 86400

Cache-Control: max-age=0

Expires: Fri, 19 Aug 03:32:18 GMT

Vary: Accept-Encoding

Content-Encoding: gzip

Content-Length: 23

Connection: close

Content-Type: text/html

这样就完成了一次 CORS 的跨域请求过程

注意：服务器端也要做响应的配置，如下示例：

// PHP 为例

header('Access-Control-Allow-Origin: http://localhost');

header('Access-Control-Allow-Methods: POST, GET, OPTIONS');

header('Access-Control-Allow-Headers: X-TEST');

header('Access-Control-Max-Age: 0');

携带 Cookies 的请求

需要再 xhr 里面设置 withCredentials: true

同时服务器上面要设置返回的响应头信息 Access-Control-Allow-Credentials: true，否则不会返回响应结果以保证信息的安全

$.ajax({

url: 'http://developers.proxy./cors.php',

method: 'POST',

'Content-Type': 'text/plain',

xhrFields: {

withCredentials: true,

},

headers: {

'X-TEST': 'test',

},

success: function(data) {

console.log(data);

}

});

对应的，服务器上要加上：

// PHP 为例

header('Access-Control-Allow-Credentials: true');

下面我们来列举整个过程涉及到的响应头信息和请求头信息

HTTP 响应头

Access-Control-Expose-Headers : 允许访问服务器的头信息的白名单

Access-Control-Allow-Origin : 允许跨域访问的域名白名单

Access-Control-Allow-Methods : 允许跨域访问的 Method

Access-Control-Allow-Headers : 跨域访问时可以使用的自定义的 HTTP 请求头

Access-Control-Max-Age : 本次预请求结果的有效期，在这个时间内不需要再次预请求

Access-Control-Allow-Credentials : 当为 true 时，表明本次请求是携带 Cookies 的请求

HTTP 请求头

Origin : 发送请求或是预请求的域名

Access-Control-Request-Method : 在正式请求中会使用的 Method

Access-Control-Request-Headers : 在正式请求中会携带的头信息