在构建Public APIs的过程中,首先要解决的第一个问题就是跨域请求的问题。
网络应用安全模型中很重要的一个概念是“同源准则”(same-origin policy)。该准则要求一个网站(由协议+主机名+端口号三者确定)的脚本(Script)、XMLHttpRequest和Websocket无权去访问另一个网站的内容。在未正确设置的情况下,跨域访问会提示如下错误:No 'Access-Control-Allow-Origin' header is present on the requested resource. 这项限制对于跨域的Ajax请求带来了很多不便。
典型的对于跨域请求的解决方案如下:
- document.domain property
- Cross-Origin Resource Sharing (CORS)
- Cross-document messaging
- JSONP
本文重点讲述的则是其中Cross-Origin Resource Sharing (CORS)的原理和在rails下的配置方式
Cross-Origin Resource Sharing (CORS)
CORS的基本原理是通过设置HTTP请求和返回中header,告知浏览器该请求是合法的。这涉及到服务器端和浏览器端双方的设置:请求的发起(Http Request Header)和服务器对请求正确的响应(Http response header)。
发起CORS请求
CORS兼容以下浏览器:
- Internet Explorer 8+
- Firefox 3.5+
- Safari 4+
- Chrome
原生Javascript可以通过XMLHttpRequest Object或XDomainRequest发起请求,详细的方式可以参见这篇文章:http://www.html5rocks.com/en/tutorials/cors/
JQuery的$.ajax()可以用来发起XHR或者CORS请求。然而该方法不支持IE下的XDomainRequest,需要使用JQuery的插件来实现IE下的兼容性(http://bugs.jquery.com/ticket/8283)
$.ajax({
// The 'type' property sets the HTTP method.
// A value of 'PUT' or 'DELETE' will trigger a preflight request.
type: 'GET',
// The URL to make the request to. url: 'http://updates.html5rocks.com', // The 'contentType' property sets the 'Content-Type' header. // The JQuery default for this property is // 'application/x-www-form-urlencoded; charset=UTF-8', which does not trigger // a preflight. If you set this value to anything other than // application/x-www-form-urlencoded, multipart/form-data, or text/plain, // you will trigger a preflight request. contentType: 'text/plain', xhrFields: {