跨域限制是浏览器端的限制,也是浏览器出于安全考虑,需要服务端共同参与,来保障网页信息的安全。
跨域限制的原因:AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,相当危险,我们发起的每一次HTTP请求都会带上请求地址对应的cookie,那么可以做如下攻击:用户登录了自己的银行页面 mybank.com,mybank.com向用户的cookie中添加用户标识。用户浏览了恶意页面 evil.com。执行了页面中的恶意AJAX请求代码。evil.com向mybank.com发起AJAX HTTP请求,请求会默认把mybank.com对应cookie也同时发送过去。银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。而且由于Ajax在后台执行,用户无法感知这一过程。
在页面A中,只要向domain B发送AJAX请求,那么就会携带B保存在浏览器的cookie信息,不管这个cookie是在访问哪个页面时候保存的。
浏览器能做的就是发现跨越请求后,在request header中增加一个标识,用来提醒服务端。浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字
段。下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段。
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。
如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
所以对于跨域请求的应对,也需要服务器端的配合。服务器端如果配合的在response中增加了Access-Control-Allow-Origin信息,就是告诉浏览器服务器允许跨域,浏览器才会显示这些数据。如果服务器端没有考虑跨域,没有加Access-Control-Allow-Origin,但是还是正常返回了数据,这种情况下浏览器还是会error,因为没有检测到允许跨域信息。浏览器的意思是,不管你服务器端是否关心,反正在浏览器的地盘,没有明确的得到你服务器的同意,我就不显示你的数据。
为了获取用户的银行数据,那直接用Postman调用银行的接口不就行了吗?但是这样的话,你没有cookie呀,银行不认。