为RESTful API配置CORS-实现跨域请求

最新推荐文章于 2024-04-22 21:15:15 发布
最新推荐文章于 2024-04-22 21:15:15 发布
阅读量2k 收藏
点赞数 1
分类专栏: Restful JSON/JSONP 文章标签: cors restful
利用 Ruby on Rails 可以很方便地实现  RESTful API,但如果我们需要通过 AJAX 跨域调用的话,怎么办?

说到 AJAX 跨域,很多人最先想到的是 JSONP。的确,JSONP 我们已经十分熟悉,也使用了多年,从本质上讲,JSONP 的原理是给页面注入一个 <script>,把远程  JavaScript 放在页面上执行。这种做法会带来一个显而易见的问题:如果调用的来源被攻击或篡改,那什么东西都可以注入到页面里,造成 XSS 漏洞。另外,JSONP 本质上已经不是 XMLHttpRequest,所以在错误处理上也没有什么选择。而且  JSONP 只支持 GET 请求,所以 RESTful API 就没办法了。

这也就是为什么我们需要 CORS。CORS 是 Cross Origin Resource Sharing 的缩写,定义了浏览器和服务器间共享内容的新方式,通过它浏览器和服务器可以安全地进行跨域访问,它是 JSONP 的现代继任者。服务器上的  CORS 配置可以精细地指定允许跨域访问的条件:来源域、HTTP 方法、请求头、内容类型……等等。并且,CORS 让 XMLHttpRequest 也可以跨域,我们可以像往常一样编写 AJAX 调用代码。

所有现代浏览器都支持 CORS,所以你应该可以放心地使用它,只有在需要兼容老旧浏览器的场合,才用 JSONP 做 fallback。

支持 CORS 的浏览器在尝试进行跨域 XMLHttpRequest 时,会先发出一个“事前检查”,就是一个 OPTIONS请求,其中会包括一些有用的请求头:

Access-Controll-Request-Headers: accept, content-type
Access-Controll-Request-Method: POST

接着服务器会做出响应:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept
Access-Control-Max-Age: 1728000

最后浏览器会根据服务器的响应头,判断请求是否在服务器规定的范围内。比如来源是否在 Access-Control-Allow-Origin 里,HTTP  方法是不是在 Access-Control-Allow-Methods 里面,有没有不在 Allow-Headers  里面的请求头。如果以上条件都符合,那么浏览器就会放行这次请求,并且在 Access-Control-Max-Age 指定的时间内(单位是秒,以上设置的是  20 天)不需要再进行这种“事前检查”。

在以上服务器响应头中,Access-Control-Allow-Headers 不可以使用通配符。所以如果你要允许所有请求头,不妨把浏览器发来的 Access-Control-Request-Headers 直接返回。

事实上,如果跨域请求是“简单请求”,也就是 HTTP 方法为 GETHEADPOST,请求体的  MIME Type 是以下其中一种:application/x-www-form-urlencodedmultipart/form-data 或者 text/plain,并且没有自定义的请求头。这时浏览器只根据请求头中的 Origin 和服务器返回的 Access-Control-Allow-Origin 就可以判断了。但我们是  RESTful API,请求体是 application/json,所以只能用上面那种“事前检查”的方式。

另外,利用 CORS 还可以在跨域请求中发送 Cookie,这个特性是很有用的。只需要为 XMLHttpRequest 对象设置 withCredentials 属性:

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

但这种情况下,就不能指定 Access-Control-Allow-Origin: *,而是必须指定一个来源,比如 http://mydomain.com

下面来说说在服务器端怎么配置,以 Rails 框架为例。注意:这只是一个很简单的例子,为了展示其原理,建议只在安全要求不高的项目上使用这种方法。Rails 有专门的 Rack CORS 中间件可以处理这个问题。

在一个 Controller(或者 application_controller.rb )中添加 before_filter 和 after_filter。前者用来回应浏览器的“事前检查”,如果浏览器发来了 OPTIONS 请求,则返回一些响应头,并结束处理;后者则用来给响应添加  CORS 的响应头:

# some_controller.rb

before_filter :cors_preflight_check
after_filter :cors_set_headers

# ...

def cors_preflight_check
  if request.method == 'OPTIONS'
    headers['Access-Controll-Allow-Origin'] = '*'
    headers['Access-Controll-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Controll-Allow-Headers'] = 'X-Requested-With, Content-Type, Accept'
    headers['Access-Controll-Max-Age'] = '1728000'
    render :text => '', :content-type => 'text/plain'
  end
end

def cors_set_headers
  headers['Access-Controll-Allow-Origin'] = '*'
  headers['Access-Controll-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Controll-Max-Age'] = '1728000'
end

最后,别忘了在 routes.rb 中允许 OPTIONS 请求:

match 'controller', to: 'controller#action', via: [:options]  添加此行
resources :controller
零度anngle
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask实现跨域请求的处理方法
12-24
在Flask开发RESTful后端时,前端请求会遇到跨域的问题。下面是解决方法: 使用 flask-cors库可以很容易的解决 pip install flask-cors 两种方法,一个是全局/批量的,一个是单一独立的: 安全起见,一般来说使用...
跨域访问定义,以及python,flask-restful解决跨域访问的问题
qq_15821487的博客
10-12 608
跨域是指从一个域名的网页去请求另一个域名的资源。比如从http://www.baidu.com/ 页面去请求 http://www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域。 如何实现跨域取到数据,LS说的JSONP是最为常见,你可以参考这篇文章 跨域跨域访问 安装Flask-Cors pip install Flask-Cors 或https://pypi.python.org/pypi/… 下载tar 解压安装 在文件中加入: #c.
fetch 请求 express RESTful API 请求跨域
TigerZH
12-13 370
跨域 描述: 前端使用fetch请求,接口使用express开箱即用生成器构建当请求接口时报错 解决方案: 前端设置: //fetch设置 const respones = await fetch(LIST_URL, { mode: "cors", headers: { "Accept": "application/json", ...
postman跨域测试_安装使用Hoppscotch构建API请求访问与测试
weixin_39614109的博客
11-28 1729
什么是API请求构建工具在移动互联网时代,面向多端开发成为主流,需要向用户提供如:安卓App、苹果App、WAP、小程序、Web网页等等多种应用入口,这些入口称为前端。而为不同前端提供数据和业务信息的系统称为后端。前端与后端会约定数据通讯的方式,通常采用的是RESTful API的方式,也可以采用socket rpc的或者GraphQL的方式。由于前后端开发的模式越来越成熟,前后端开发的工作可以完...
SpringMVC实现RestfulAPI跨域调用
Carson073的博客
12-29 504
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。 概念理解可参考此文章:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 一、更改Nginx反向代理服务器 原理大致是:通过nginx配置一个代理服务器做跳板机...
C# 服务端篇之实现RestFul Service开发(简单实用)
a261505的博客
04-08 2032
一、RestFul简介   REST(Representational State Transfer 通常被翻译为“表述性状态传输”或者“表述性状态转移”)是RoyFielding提出的一个描述互联系统架构风格的名词。为什么称为REST?Web本质上由各种各样的资源组成,资源由URI 唯一标识。浏览器(或者任何其它类似于浏览器的应用程序)将展示出该资源的一种表现方式,或者一种表现状态。...
RESTful API 配置 CORS 实现跨域请求
z69183787的专栏
11-09 8608
利用 Ruby on Rails 可以很方便地实现 RESTful API,但如果我们需要通过 AJAX 跨域调用的话,怎么办? 说到 AJAX 跨域,很多人最先想到的是 JSONP。的确,JSONP 我们已经十分熟悉,也使用了多年,从本质上讲,JSONP 的原理是给页面注入一个 ,把远程 JavaScript 放在页面上执行。这种做法会带来一个显而易见的问题:如果调用的来源被攻击或篡改
Jersey 实践:构建RESTful服务及解决跨域问题
qq_32608881的博客
08-05 824
最近在准备为我的小程序做个后台,刚好之前在网上了解了RESTful这种设计风格,觉得很简单轻量,便准备采用这种设计方式。有很多框架都能支持RESTful的设计,在一番权衡之后,决定选择jersey框架,因为我的小程序的并发量并不大,而且自己对于spring也还不太熟悉,而jersey框架写起来很简单,开发比较快。接下来便来讲解如何用jersey完整的构建RESTful服务。 开发所使用IDE:Eclipse 开发环境:Maven、Jersey 因为jersey是基于maven的,所以大家要先装好mav
RESTful开发风格8:跨域问题二:Spring MVC实现CORS跨域访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置
小枯林的博客
11-18 1152
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
关于RESTFul架构Api接口跨域问题
Xy.Zm的博客
05-23 1872
在注明允许跨域后,get、post请求方式均可使用,但是put、delete请求方式还是不能使用。// 跨域请求 header("Access-Control-Allow-Origin: *");所以采用了以下方法,在ajax中使用post方法伪装请求方式,通过data传值,传递_method变量,传递需要真正使用的请求方式。 var urlstr='http://172.16.0.188/new...
cpprestsdk应用实例
热门推荐
guotianqing的博客
10-08 1万+
RESTful REST全称是Representational State Transfer,通常译为表述性状态转移,是一种网络应用程序的设计风格和开发方式。 它首次出现在2000年Roy Fielding的博士论文中,Roy Fielding是HTTP规范的主要编写者之一。 他在论文中提到: 我这篇文章的写作目的,就是想在符合架构原理的前提下,理解和评估以网络为基础的应用软件的架构设计,得到...
gs-rest-service-cors:为RESTful Web服务启用跨源请求
05-13
目录本指南将引导您完成使用Spring创建“ Hello,World” RESTful Web服务的过程,该服务在响应中包括跨域资源共享(CORS)的标头。 您可以在此找到有关Spring CORS支持的更多信息。你会建立什么您将构建一个服务,...
mint-express:for使用Node,Express,MongoDB,Passport和Jest构建RESTful API的完整样板
05-08
使用cors启用跨域资源共享(CORS) Docker支持 使用dotenv和cross-env的环境变量 Express + MongoDB(猫鼬) 沙哑且不起毛的Git钩 Gzip压缩与压缩 使用eslint + Airbnb棉绒规则棉绒 使用Winston和Morgan进行日志...
rails_rest_vote:RESTful投票宝典,用于Rails应用
04-29
如果要构建公共API,则可能要启用跨域资源共享(CORS),以使跨域AJAX请求成为可能。 rack-cors宝石使这一过程变得非常简单。 只需将其粘贴在您的Gemfile中,如下所示: gem 'rack-cors' 然后在Rails应用程序的...
C#进阶系列--WebApi
08-23
五、第一个Restful风格的WebApi服务 ......................................................................................................................... 21 六、总结 ...................................
Day10-Java进阶-泛型&数据结构(树)&TreeSet 集合
weixin_68063226的博客
04-21 320
当每次添加节点的颜色是黑色当每次添加节点的颜色是红色/*TreeSet集合的特点体验 : 排序, 去重*/以下以返回值全为 -1 (倒序排序为例)
java-Arrays
weixin_74886498的博客
04-22 1046
Arrays是操作数组的工具类。
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
RESTful API实现桌面应用前后端分离
05-29
4. 可以在RESTful API中使用JWT等身份认证技术保证API的安全性,并使用CORS跨域技术解决跨域问题。 总之,通过使用RESTful API作为中间层,桌面应用可以实现前后端分离,提高系统的可维护性、可扩展性和可重用性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值