HTTP跨域
1.跨域请求
浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域)
2.同源策略
同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同
3.跨域问题的产生
域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产生跨域问题。在某个网页下使用ajax访问非同源资源,就会产生跨域问题.
跨域问题只出现在浏览器访问的页面,因为这是浏览器为了保户用户安全而制造的策略。假如没有这层保护,网站就很容易受到跨站伪造请求(CSRF)的攻击。
例如: 浏览器在访问http://www.sun.com/index.html页面,访问以下网页:
-
http://www.sun.com/index.html:8081/login.html 违反浏览器同源策略,端口不一致,使用ajax访问该资源时产生跨域问题
-
http://www.testsun.com/index.html/test.html 违反浏览器同源策略,域名不一致,会产生跨域问题
-
http://www.sun.com/test.html 不违反同源策略,协议,域名,端口一致,不会产生跨域问题
CORS解决跨域请求
CORS
(跨资源共享- Cross-origin resource sharing)
CORS
是W3C推荐的一种官方方案,能使服务器支持XmlHttpRequest的跨域请求。CORS只需要添加一些HTTP头,让服务器声明允许的访问来源。
使用CORS时,异步请求会被分为简单请求和非简单请求。
CORS简单请求
请求方法是以下三种之一:
HEAD
GET
POST
HTTP 的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-type:只限于3个值application/x-www-from-urlencoded、multipart/from-data、text/plain
凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。
基本流程
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段。
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive