为什么有跨域的问题
之所以会有跨域问题,是因为AJAX只能使用同源资源限制导致的,所以浏览器在向不同的域名进行AJAX请求时,需要按照CORS标准来进行跨域,才能获取到不同源的资源。
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
进行CORS跨域需要浏览器和服务器同时配合来完成:对与目前的浏览器来说,都支持跨域请求,当浏览器发现需要进行跨域请求资源时候,会自动对HTTP请求做处理,来向异源服务器申请资源;所以只需要服务器添加CORS接口,即可支持跨域资源请求。
对于简单的HTTP请求和非简单的HTTP请求,跨域的过程是不一样的。
简单HTTP请求和非简单HTTP请求区分
只要同时满足下列两个条件,即可认为是简单请求:
- 请求方法是HEAD、GET、POST三种之一
- HTTP的header头信息最多只有下列几种:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:为application/x-www-form-urlencoded、multipart/form-data、text/plain三种之一
不能同时满足这两个条件的,也就是非简单HTTP请求。
简单HTTP请求跨域过程
浏览器在处理简单请求时,会在头信息中添加Origin字段,来标识跨域请求的来源(协议 + 域名 + 端口),然后直接发送CORS请求,服务器根据这个值,决定是否同意这次请求。
GET /cors HTTP/1.1
Origin: http://abc.com
Host: api.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
当Origin携带的源在服务器允许跨域的列表之中时,服务器需要显式的在返回的响应的头信息中添加Access-Control-Allow-Origin字段,来允许此来源的跨域请求,该字段的值可以是Origin携带的请求来源,也可以是一个*;除此之外,还可以添加其余的可选跨域头字段,Access-Control-开头的都是与CORS相关的字段。
Access-Control-Allow-Origin: http://abc.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
如果该来源不在跨域列表中时,服务器会正常返回一个HTTP响应,但是不携带跨域头信息,这个响应会被浏览器拦截并抛出错误。
非简单HTTP请求跨域过程
对于非简单请求,浏览器主要为了快速失败而做了一次预检请求。
非简单请求例如我们常用到的Content-Type: application/json; charset=utf-8的POST请求,浏览器在发送CORS请求之前,会发送一个预检请求,来询问服务器该来源是否包含在允许跨域列表中:
OPTIONS /cors HTTP/1.1
Origin: http://abc.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
该预检请求的请求方法为OPTIONS,同样携带请求头Origin来标识来源;
除了Origin字段,"预检"请求的头信息包括两个特殊字段。
- Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。
- Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。
服务器在收到上述预检请求之后,如果允许该跨域请求,则会发送一个成功响应,其中包含Access-Control-Allow-Origin头字段。此处的浏览器判断和简单请求一致。
除此之外,服务器还可能包括Access-Control-Max-Age头信息,该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。
一旦通过了预检,浏览器后续流程也跟简单请求一样,在发送CORS时候也会携带Origin字段。
JSOUP跨域
CORS协议的跨域与JSOUP相比,更为强大,提供更多的参数来控制跨域的流程,而且CORS支持所有类型的HTTP请求,但是JSOUP只支持PUT请求。
JSOUP的优势在于支持更老的浏览器和不支持CORS协议的服务器来做跨域资源请求。
网友评论