2. 程式人生 > >為 RESTful API 配置 CORS 實現跨域請求

為 RESTful API 配置 CORS 實現跨域請求

阿新 發佈:2019-01-29

利用 Ruby on Rails 可以很方便地實現 RESTful API,但如果我們需要通過 AJAX 跨域呼叫的話,怎麼辦?

說到 AJAX 跨域,很多人最先想到的是 JSONP。的確,JSONP 我們已經十分熟悉,也使用了多年,從本質上講,JSONP 的原理是給頁面注入一個 <script>,把遠端 JavaScript 放在頁面上執行。這種做法會帶來一個顯而易見的問題:如果呼叫的來源被攻擊或篡改,那什麼東西都可以注入到頁面裡,造成 XSS 漏洞。另外,JSONP 本質上已經不是 XMLHttpRequest,所以在錯誤處理上也沒有什麼選擇。而且 JSONP 只支援 GET 請求,所以 RESTful API 就沒辦法了。

這也就是為什麼我們需要 CORS。CORS 是 Cross Origin Resource Sharing 的縮寫,定義了瀏覽器和伺服器間共享內容的新方式,通過它瀏覽器和伺服器可以安全地進行跨域訪問,它是 JSONP 的現代繼任者。伺服器上的 CORS 配置可以精細地指定允許跨域訪問的條件:來源域、HTTP 方法、請求頭、內容型別……等等。並且,CORS 讓 XMLHttpRequest 也可以跨域,我們可以像往常一樣編寫 AJAX 呼叫程式碼。

所有現代瀏覽器都支援 CORS,所以你應該可以放心地使用它,只有在需要相容老舊瀏覽器的場合,才用 JSONP 做 fallback。

支援 CORS 的瀏覽器在嘗試進行跨域 XMLHttpRequest 時,會先發出一個“事前檢查”,就是一個 OPTIONS

請求,其中會包括一些有用的請求頭:

Access-Controll-Request-Headers: accept, content-type
Access-Controll-Request-Method: POST

接著伺服器會做出響應:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept
Access-Control-Max-Age: 1728000

最後瀏覽器會根據伺服器的響應頭,判斷請求是否在伺服器規定的範圍內。比如來源是否在 Access-Control-Allow-Origin 裡,HTTP 方法是不是在 Access-Control-Allow-Methods 裡面,有沒有不在 Allow-Headers 裡面的請求頭。如果以上條件都符合,那麼瀏覽器就會放行這次請求,並且在 Access-Control-Max-Age 指定的時間內(單位是秒,以上設定的是 20 天)不需要再進行這種“事前檢查”。

在以上伺服器響應頭中,Access-Control-Allow-Headers 不可以使用萬用字元。所以如果你要允許所有請求頭,不妨把瀏覽器發來的 Access-Control-Request-Headers 直接返回。

事實上,如果跨域請求是“簡單請求”,也就是 HTTP 方法為 GETHEADPOST,請求體的 MIME Type 是以下其中一種:application/x-www-form-urlencodedmultipart/form-data 或者 text/plain,並且沒有自定義的請求頭。這時瀏覽器只根據請求頭中的 Origin 和伺服器返回的 Access-Control-Allow-Origin 就可以判斷了。但我們是 RESTful API,請求體是 application/json,所以只能用上面那種“事前檢查”的方式。

另外,利用 CORS 還可以在跨域請求中傳送 Cookie,這個特性是很有用的。只需要為 XMLHttpRequest 物件設定 withCredentials 屬性:

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

但這種情況下,就不能指定 Access-Control-Allow-Origin: *,而是必須指定一個來源,比如 http://mydomain.com

下面來說說在伺服器端怎麼配置,以 Rails 框架為例。注意:這只是一個很簡單的例子,為了展示其原理,建議只在安全要求不高的專案上使用這種方法。Rails 有專門的 Rack CORS 中介軟體可以處理這個問題。

在一個 Controller(或者 application_controller.rb )中新增 before_filter 和 after_filter。前者用來回應瀏覽器的“事前檢查”,如果瀏覽器發來了 OPTIONS 請求,則返回一些響應頭,並結束處理;後者則用來給響應新增 CORS 的響應頭:

# some_controller.rb

before_filter :cors_preflight_check
after_filter :cors_set_headers

# ...

def cors_preflight_check
  if request.method == 'OPTIONS'
    headers['Access-Controll-Allow-Origin'] = '*'
    headers['Access-Controll-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Controll-Allow-Headers'] = 'X-Requested-With, Content-Type, Accept'
    headers['Access-Controll-Max-Age'] = '1728000'
    render :text => '', :content-type => 'text/plain'
  end
end

def cors_set_headers
  headers['Access-Controll-Allow-Origin'] = '*'
  headers['Access-Controll-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Controll-Max-Age'] = '1728000'
end

最後,別忘了在 routes.rb 中允許 OPTIONS 請求:

match 'controller', to: 'controller#action', via: [:options]  新增此行
resources :controller

相關推薦

RESTful API 配置 CORS 實現請求

利用 Ruby on Rails 可以很方便地實現 RESTful API,但如果我們需要通過 AJAX 跨域呼叫的話,怎麼辦? 說到 AJAX 跨域,很多人最先想到的是 JSONP。的確,JSONP 我們已經十分熟悉,也使用了多年,從本質上講,JSONP 的原理是給頁

nginx配置CORS實現

簡介 之前專案中遇到過幾次跨域訪問,通過百度或谷歌查詢在nginx配置相關header予以解決,若不管用就沒其他辦法了;從來沒有真正深入瞭解過,下面我們就來認識下CORS及在nginx中如何配置。 CORS CORS是一個W3C標準,全稱是跨域資源共享

[轉] 利用CORS實現請求

src 流程圖 exp 否則 expose 前端 eof 目前 star [From] http://newhtml.net/using-cors/ 跨域請求一直是網頁編程中的一個難題,在過去,絕大多數人都傾向於使用JSONP來解決這一問題。不過現在,我們可以考慮一下

easy-springboot-web-cors | 配置cors解決請求問題

全域性配置 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public v

Vue前端配置代理實現請求

跨域的解決方法:         *設定讓伺服器允許跨域         *前端配置代理實現跨域請求 本文介紹前端配置代理實現跨域請求:  在專案config資料

java利用cors實現請求

什麼是跨域? 跨域,指的是瀏覽器不能執行其他網站的指令碼。它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript施加的安全限制。 ajax本身實際上是通過XMLHttpRequest物件來進行資料的互動,而瀏覽器出於安全考慮,不允許js程式碼進行跨域操作,所以會警告。

SpringBoot配置Cors解決請求問題

con w3c -h 兩個 cat set 通信 turn flat 一、同源策略簡介 同源策略[same origin policy]是瀏覽器的一個安全功能,不同源的客戶端腳本在沒有明確授權的情況下,不能讀寫對方資源。 同源策略是瀏覽器安全的基石。 什麽是源 源[o

SpringBoot裡的CORS 實現訪問

專案需求要前後端分離,用RESTful介面的形式呼叫服務,這個時候就出現了跨域訪問的問題, 想了兩種方案, 一種是ajax 的jsonp的形式來解決但是有侷限性,以下是網上找的比較形象的介紹: JSONP的基本原理即是:利用HTML的<script>標籤可獲取任何來源Ja

nginx通過CORS實現

https://www.cnblogs.com/sunmmi/articles/5956554.html 1.CORS是一個W3C標準,全稱是跨域資源共享(Cross-origin resource sharing)。它允許瀏覽器向跨源伺服器,發出XMLHttpRequest請求,從而克服了AJ

一個CORS實現的過濾器

package com.grain.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf

配置CORS解決呼叫—反思思考問題的方式

導讀:最近都在用一套完整的Java EE的體系做系統,之前都是用spring框架,現在弄這個Java EE,覺得新鮮又刺激。但,由於之前沒有過多的研究和使用,在應用的過程中,也出現了不少的問題。累積了

CORS和jsonp實現請求

    同源策略:所謂同源是指,域名,協議,埠相同,它是由Netscape提出的一個著名的安全策略,現在所有支援JavaScript 的瀏覽器都會使用這個策略。當瀏覽器同時開啟兩個tab頁面(兩個不同伺服器提供),tab1頁面傳送請求時,瀏覽器會檢測是否是向tab1的伺

使用CORS實現的方式

     跨域是我們日常專案中經常遇到的問題,之前所使用的跨域解決方案是使用jsonp,但是如果某天需求變了,某功能需要改成支援POST,因為傳輸的資料量比較大,GET形式搞不定,這時就需要CORS出

vuecli開發環境配置proxyTable實現

一直也看到過proxyTable可以配置跨域,但是專案上都是統一交給後臺處理的,本人也懶,就一直沒管,最近換了專案,自己搭建的一套vue專案,發現配置這個的時候還出問題了,僅記錄一下。 在除錯api的過程中,發現報錯了:Request header field Content-Type is n

解決方案一:使用CORS實現

跨站HTTP請求(Cross-site HTTP request)是指發起請求的資源所在域不同於請求指向的資源所在域的HTTP請求。 比如說,我在Web網站A(www.a.com)中通過<img>標籤引入了B站的資源(www.b.com/images/1.jpg),那麼A站會向B站發起一個跨站請

SpringBoot下如何配置實現請求

最近在做的專案中,我們採用前後端分離式開發。後臺RequestController介面寫好後,通過另一臺電腦的前端介面用ajax訪問我電腦上的後臺服務介面時,http請求會返回500的錯誤。經過查閱資料得知,這個問題是由“跨域請求”所引起的。那麼這個“跨域”到底

請求(使用jsonp實現請求)百度地圖api證逆地址解析獲取周邊資訊(pois)

新手程式設計師,新手部落格,如果那裡寫的不好,還請大神們補充,指錯 最近專案裡面需要做一個電子圍欄的功能,我這邊做的就是需要把商戶的地址的經緯度存進資料庫,本來這些從百度地圖API裡面有Demo可以看,但是我是訪問的百度地圖的可以獲取經緯度以及根據經緯度進行周邊檢索的地址

spring boot 中通過CORS實現

一、跨域問題出現的原因    出現跨域問題的原因是同源策略。   同源策略   主要是三同:同協議、同域名、同埠,   同源策略目的 保證使用者資訊保安,防止惡意網站竊取資料。同源策略是必須的,否則cookie可以共享。   同源策略的限制範圍 cookie、localstorage、indexdb

Spring Boot 通過CORS實現

### 同源策略 很多人對跨域有一種誤解,以為這是前端的事,和後端沒關係,其實不是這樣的,說到跨域,就不得不說說瀏覽器的同源策略。 同源策略是由 Netscape 提出的一個著名的安全策略,它是瀏覽器最核心也最基本的安全功能,現在所有支援 JavaScript 的瀏覽器都會使用這個策略。**所謂同源是指協

利用jsonp實現請求

get p地址 doc ajax請求 -s tar 原理 安全策略 都是   同源策略,它是由Netscape提出的一個著名的安全策略。現在所有支持JavaScript 的瀏覽器都會使用這個策略。所謂同源是指,域名,協議,端口相同。當一個瀏覽器的兩個tab頁中分別打開來 百