五月色丁香婷婷网蜜臀av,久久不射2020中文字幕,久久国产精品岛国搬运工

CORS 是一個(gè) W3C 標(biāo)準(zhǔn)，全稱是“跨源資源共享”（Cross-origin resource sharing），或者通俗地稱為“跨域資源共享”。它允許瀏覽器向跨源的服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而克服了 AJAX 只能同源使用的限制。

簡(jiǎn)介

CORS 需要瀏覽器和服務(wù)器同時(shí)支持。目前，所有瀏覽器都支持該功能。

整個(gè) CORS 通信過(guò)程，都是瀏覽器自動(dòng)完成，不需要用戶參與。對(duì)于開(kāi)發(fā)者來(lái)說(shuō)，CORS 通信與普通的 AJAX 通信沒(méi)有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn) AJAX 請(qǐng)求跨源，就會(huì)自動(dòng)添加一些附加的頭信息，有時(shí)還會(huì)多出一次附加的請(qǐng)求，但用戶不會(huì)有感知。因此，實(shí)現(xiàn) CORS 通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了 CORS 接口，就可以跨源通信。

兩種請(qǐng)求

CORS 請(qǐng)求分成兩類：簡(jiǎn)單請(qǐng)求（simple request）和非簡(jiǎn)單請(qǐng)求（not-so-simple request）。

只要同時(shí)滿足以下兩大條件，就屬于簡(jiǎn)單請(qǐng)求。

（1）請(qǐng)求方法是以下三種方法之一。

HEAD
GET
POST

（2）HTTP 的頭信息不超出以下幾種字段。

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時(shí)滿足上面兩個(gè)條件，就屬于非簡(jiǎn)單請(qǐng)求。一句話，簡(jiǎn)單請(qǐng)求就是簡(jiǎn)單的 HTTP 方法與簡(jiǎn)單的 HTTP 頭信息的結(jié)合。

這樣劃分的原因是，表單在歷史上一直可以跨源發(fā)出請(qǐng)求。簡(jiǎn)單請(qǐng)求就是表單請(qǐng)求，瀏覽器沿襲了傳統(tǒng)的處理方式，不把行為復(fù)雜化，否則開(kāi)發(fā)者可能轉(zhuǎn)而使用表單，規(guī)避 CORS 的限制。對(duì)于非簡(jiǎn)單請(qǐng)求，瀏覽器會(huì)采用新的處理方式。

簡(jiǎn)單請(qǐng)求

基本流程

對(duì)于簡(jiǎn)單請(qǐng)求，瀏覽器直接發(fā)出 CORS 請(qǐng)求。具體來(lái)說(shuō)，就是在頭信息之中，增加一個(gè)Origin字段。

下面是一個(gè)例子，瀏覽器發(fā)現(xiàn)這次跨源 AJAX 請(qǐng)求是簡(jiǎn)單請(qǐng)求，就自動(dòng)在頭信息之中，添加一個(gè)Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中，Origin字段用來(lái)說(shuō)明，本次請(qǐng)求來(lái)自哪個(gè)域（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個(gè)值，決定是否同意這次請(qǐng)求。

如果Origin指定的源，不在許可范圍內(nèi)，服務(wù)器會(huì)返回一個(gè)正常的 HTTP 回應(yīng)。瀏覽器發(fā)現(xiàn)，這個(gè)回應(yīng)的頭信息沒(méi)有包含Access-Control-Allow-Origin字段（詳見(jiàn)下文），就知道出錯(cuò)了，從而拋出一個(gè)錯(cuò)誤，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲。注意，這種錯(cuò)誤無(wú)法通過(guò)狀態(tài)碼識(shí)別，因?yàn)?HTTP 回應(yīng)的狀態(tài)碼有可能是200。

如果Origin指定的域名在許可范圍內(nèi)，服務(wù)器返回的響應(yīng)，會(huì)多出幾個(gè)頭信息字段。

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

上面的頭信息之中，有三個(gè)與 CORS 請(qǐng)求相關(guān)的字段，都以Access-Control-開(kāi)頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要么是請(qǐng)求時(shí)Origin字段的值，要么是一個(gè)*，表示接受任意域名的請(qǐng)求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送 Cookie。默認(rèn)情況下，Cookie 不包括在 CORS 請(qǐng)求之中。設(shè)為true，即表示服務(wù)器明確許可，瀏覽器可以把 Cookie 包含在請(qǐng)求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送 Cookie，不發(fā)送該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS 請(qǐng)求時(shí)，XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)服務(wù)器返回的基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值。

withCredentials 屬性

上面說(shuō)到，CORS 請(qǐng)求默認(rèn)不包含 Cookie 信息（以及 HTTP 認(rèn)證信息等），這是為了降低 CSRF 攻擊的風(fēng)險(xiǎn)。但是某些場(chǎng)合，服務(wù)器可能需要拿到 Cookie，這時(shí)需要服務(wù)器顯式指定Access-Control-Allow-Credentials字段，告訴瀏覽器可以發(fā)送 Cookie。

Access-Control-Allow-Credentials: true

同時(shí)，開(kāi)發(fā)者必須在 AJAX 請(qǐng)求中打開(kāi)withCredentials屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則，即使服務(wù)器要求發(fā)送 Cookie，瀏覽器也不會(huì)發(fā)送?；蛘?，服務(wù)器要求設(shè)置 Cookie，瀏覽器也不會(huì)處理。

但是，有的瀏覽器默認(rèn)將withCredentials屬性設(shè)為true。這導(dǎo)致如果省略withCredentials設(shè)置，這些瀏覽器可能還是會(huì)一起發(fā)送 Cookie。這時(shí)，可以顯式關(guān)閉withCredentials。

xhr.withCredentials = false;

需要注意的是，如果服務(wù)器要求瀏覽器發(fā)送 Cookie，Access-Control-Allow-Origin就不能設(shè)為星號(hào)，必須指定明確的、與請(qǐng)求網(wǎng)頁(yè)一致的域名。同時(shí)，Cookie 依然遵循同源政策，只有用服務(wù)器域名設(shè)置的 Cookie 才會(huì)上傳，其他域名的 Cookie 并不會(huì)上傳，且（跨源）原網(wǎng)頁(yè)代碼中的document.cookie也無(wú)法讀取服務(wù)器域名下的 Cookie。

非簡(jiǎn)單請(qǐng)求

預(yù)檢請(qǐng)求

非簡(jiǎn)單請(qǐng)求是那種對(duì)服務(wù)器提出特殊要求的請(qǐng)求，比如請(qǐng)求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡(jiǎn)單請(qǐng)求的 CORS 請(qǐng)求，會(huì)在正式通信之前，增加一次 HTTP 查詢請(qǐng)求，稱為“預(yù)檢”請(qǐng)求（preflight）。瀏覽器先詢問(wèn)服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些 HTTP 方法和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求，否則就報(bào)錯(cuò)。這是為了防止這些新增的請(qǐng)求，對(duì)傳統(tǒng)的沒(méi)有 CORS 支持的服務(wù)器形成壓力，給服務(wù)器一個(gè)提前拒絕的機(jī)會(huì)，這樣可以防止服務(wù)器收到大量DELETE和PUT請(qǐng)求，這些傳統(tǒng)的表單不可能跨源發(fā)出的請(qǐng)求。

下面是一段瀏覽器的 JavaScript 腳本。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代碼中，HTTP 請(qǐng)求的方法是PUT，并且發(fā)送一個(gè)自定義頭信息X-Custom-Header。

瀏覽器發(fā)現(xiàn)，這是一個(gè)非簡(jiǎn)單請(qǐng)求，就自動(dòng)發(fā)出一個(gè)“預(yù)檢”請(qǐng)求，要求服務(wù)器確認(rèn)可以這樣請(qǐng)求。下面是這個(gè)“預(yù)檢”請(qǐng)求的 HTTP 頭信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

“預(yù)檢”請(qǐng)求用的請(qǐng)求方法是OPTIONS，表示這個(gè)請(qǐng)求是用來(lái)詢問(wèn)的。頭信息里面，關(guān)鍵字段是Origin，表示請(qǐng)求來(lái)自哪個(gè)源。

除了Origin字段，“預(yù)檢”請(qǐng)求的頭信息包括兩個(gè)特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來(lái)列出瀏覽器的 CORS 請(qǐng)求會(huì)用到哪些 HTTP 方法，上例是PUT。

（2）Access-Control-Request-Headers

該字段是一個(gè)逗號(hào)分隔的字符串，指定瀏覽器 CORS 請(qǐng)求會(huì)額外發(fā)送的頭信息字段，上例是X-Custom-Header。

預(yù)檢請(qǐng)求的回應(yīng)

服務(wù)器收到“預(yù)檢”請(qǐng)求以后，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，確認(rèn)允許跨源請(qǐng)求，就可以做出回應(yīng)。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

上面的 HTTP 回應(yīng)中，關(guān)鍵的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以請(qǐng)求數(shù)據(jù)。該字段也可以設(shè)為星號(hào)，表示同意任意跨源請(qǐng)求。

Access-Control-Allow-Origin: *

如果服務(wù)器否定了“預(yù)檢”請(qǐng)求，會(huì)返回一個(gè)正常的 HTTP 回應(yīng)，但是沒(méi)有任何 CORS 相關(guān)的頭信息字段，或者明確表示請(qǐng)求不符合條件。

OPTIONS http://api.bob.com HTTP/1.1
Status: 200
Access-Control-Allow-Origin: https://notyourdomain.com
Access-Control-Allow-Method: POST

上面的服務(wù)器回應(yīng)，Access-Control-Allow-Origin字段明確不包括發(fā)出請(qǐng)求的http://api.bob.com。

這時(shí)，瀏覽器就會(huì)認(rèn)定，服務(wù)器不同意預(yù)檢請(qǐng)求，因此觸發(fā)一個(gè)錯(cuò)誤，被XMLHttpRequest對(duì)象的onerror回調(diào)函數(shù)捕獲?？刂婆_(tái)會(huì)打印出如下的報(bào)錯(cuò)信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務(wù)器回應(yīng)的其他 CORS 相關(guān)字段如下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗號(hào)分隔的一個(gè)字符串，表明服務(wù)器支持的所有跨源請(qǐng)求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次“預(yù)檢”請(qǐng)求。

（2）Access-Control-Allow-Headers

如果瀏覽器請(qǐng)求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在“預(yù)檢”中請(qǐng)求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡(jiǎn)單請(qǐng)求時(shí)的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

瀏覽器的正常請(qǐng)求和回應(yīng)

一旦服務(wù)器通過(guò)了“預(yù)檢”請(qǐng)求，以后每次瀏覽器正常的 CORS 請(qǐng)求，就都跟簡(jiǎn)單請(qǐng)求一樣，會(huì)有一個(gè)Origin頭信息字段。服務(wù)器的回應(yīng)，也都會(huì)有一個(gè)Access-Control-Allow-Origin頭信息字段。

下面是“預(yù)檢”請(qǐng)求之后，瀏覽器的正常 CORS 請(qǐng)求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動(dòng)添加的。

下面是服務(wù)器正常的回應(yīng)。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中，Access-Control-Allow-Origin字段是每次回應(yīng)都必定包含的。

與 JSONP 的比較

CORS 與 JSONP 的使用目的相同，但是比 JSONP 更強(qiáng)大。JSONP 只支持GET請(qǐng)求，CORS 支持所有類型的 HTTP 請(qǐng)求。JSONP 的優(yōu)勢(shì)在于支持老式瀏覽器，以及可以向不支持 CORS 的網(wǎng)站請(qǐng)求數(shù)據(jù)。

參考鏈接

Using CORS, Monsur Hossain
HTTP access control (CORS), MDN
CORS, Ryan Miller
Do You Really Know CORS?, Grzegorz Mirek

JavaScript CORS 通信