CORS权限控制
CORS权限控制
CORS是一种新的数据交互标准。
依旧是XHR请求,但是克服了ajax的跨域问题。
请求类别
CORS主要分为两种请求方式:简单请求和非简单请求
只要满足两个条件就是简单请求:
-
请求的方法是HEAD或GET或POST
-
HTTP的头部信息不超出以下字段:Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type
其中Content-Type的值只可以是application/x-www-form-urlencoded、multipart/form-data、text/plain.
其余都是非简单请求
简单请求 simple request
浏览器发起一个简单请求,在头信息中多加了一个Origin字段。
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
服务器依据设置判断是否允许来自Origin的地址的访问,如果允许就返回请求的值。
Access-Control-Allow-Origin: http://api.bob.com
返回的值中会有Access-Control-Allow-Origin字段,代表允许的地址值。
Access-Control-Allow-Origin 可以设置为 * ,代表允许任何地址访问。
非简单请求
发起非简单请求时,浏览器会先发起依次预检请求,检查Origin、Access-Control-Request-Method和Access-Control-Request-Headers之后,做出回应。
xhr.setRequestHeader('X-Custom-Header', 'value'); //xhr请求中自定义的头部字段
OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header //包含的头部自定义字段
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
预检请求的回应
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com // 允许的地址
Access-Control-Allow-Methods: GET, POST, PUT // 允许的方法
Access-Control-Allow-Headers: X-Custom-Header // 允许的头部自定义字段
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100 // max代表此条预检请求有效期为100s,此期间内无需发起预检请求。
Connection: Keep-Alive
Content-Type: text/plain
