摘要:同源策略是對的一個主要約束,它為通信設置了相同的域相同的端口相同的協(xié)議這一限制�。試圖訪問上述限制之外的資源都會引發(fā)安全錯誤,除非采用被認可的跨域解決方案。這個方案叫做跨源資源共享���。方案二弊端不支持請求���。方案三與方案一類似����。
什么是AJAX?
AJAX 是無需刷新頁面就能夠從服務器去的數(shù)據(jù)的一種方法���,負責Ajax運作的核心對象是XMLHttpRequest(XHR)對象��。
同源策略是對XHR的一個主要約束�����,它為通信設置了“相同的域�����、相同的端口���、相同的協(xié)議”這一限制。
試圖訪問上述限制之外的資源都會引發(fā)安全錯誤,除非采用被認可的跨域解決方案���。
這個方案叫做CORS(Cross-Origin Resource Sharing)跨源資源共享�����。
哪些訪問屬于跨域�?
http://a.com 不允許訪問 http://b.com(不同域)
http://a.com 不允許訪問 https://a.com(同一域名���,不同協(xié)議)
http://a.com 不允許訪問 http://a.com:8080(同一域名��,不同端口)
http://a.com 不允許訪問 http://192.168.1.1(域名和域名對應的ip)
http://a.a.com 不允許訪問 http://b.a.com(主域相同��,子域不同)
三種解決方案:
方案一:
//弊端:存在瀏覽器兼容的問題
需要被請求方的服務端設置: Access-Control-Allow-Origin
切記:Access-Control-Allow-Origin 不可設置為 * ����,設置為可訪問的域名�����。
//設置可供訪問的白名單
$white_list = ["http://cdn.abc.com","http://abc.com"];
$_SERVER["HTTP_ORIGIN"] //表示請求方的域名
$http_origin = "";
if (!empty($_SERVER["HTTP_ORIGIN"]) && in_array($_SERVER["HTTP_ORIGIN"],$white_list)) {
$http_origin = $_SERVER["HTTP_ORIGIN"];
//設置 header 信息
header("Access-Control-Allow-Origin: {$http_origin}");
header("Access-Control-Allow-Methods", "POST,GET");
header("Access-Control-Allow-Credentials:true"); //允許訪問Cookie
header("Access-Control-Allow-Headers : X-Requested-With"); //設置Headers
}
//執(zhí)行代碼邏輯...
另:如果請求的是html��,在文件里加上meta標簽����。
方案二:
//弊端:不支持 POST 請求��。
使用 JSONP 進行解決跨域問題��,網(wǎng)上文章蠻多的�����。
方案三:
與方案一類似���。
修改Nginx Apache 配置:
//Nginx
http {
......
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Headers X-Requested-With;
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
......
}
Apache :
......
Header set Access-Control-Allow-Origin *
大家可以根據(jù)自己的情況進行選擇方案���。
來源:http://mp.weixin.qq.com/s?__b...
Thanks ~
AD:
文章版權歸作者所有���,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉載請注明本文地址:http://m.hztianpu.com/yun/30454.html
