摘要:一概念跨源資源共享訪問控制�����,后面會(huì)看到以前綴的頭部字段��。機(jī)制讓服務(wù)端控制是否準(zhǔn)許跨域請(qǐng)求當(dāng)然了也要承擔(dān)確保安全的職責(zé)�。服務(wù)端怎么瀏覽器這樣吧,如果是跨域請(qǐng)求���,我先咨詢下你��,如果你覺得請(qǐng)求安全�,我再把真實(shí)請(qǐng)求發(fā)給你�����。
一�、概念:
跨源資源共享:(Cross-Origin Resource Sharing)
訪問控制:Access Control,后面會(huì)看到以Access-Control前綴的頭部字段。
二�、引入背景:
JS中的xhr請(qǐng)求(XMLHttpRequest)受同源策略限制。但是這也導(dǎo)致有些合理的請(qǐng)求也被限制了���。W3C提出了新的標(biāo)準(zhǔn)CORS來解決這個(gè)問題����。CORS機(jī)制讓服務(wù)端控制是否準(zhǔn)許跨域請(qǐng)求(當(dāng)然了也要承擔(dān)確保安全的職責(zé))�。教程參考MDN(即MDN的參考),下面做些總結(jié)性的筆記���。
三���、CORS原理
3.1 瀏覽器和服務(wù)端的談判
服務(wù)端:hi,我說你管的也太多了���!我認(rèn)為request A是安全的����,你怎么不發(fā)給我���?
瀏覽器:我怎么知道request A是安全����。為了安全起見,我不能發(fā)給你����。
服務(wù)端:瞎子都能看出來reques是安全的�。你個(gè)SB。
瀏覽器:你才SB
服務(wù)端:你SB
......
瀏覽器:咱天天這樣吵也不是事啊��。咱們各退一步���。
服務(wù)端:怎么��?
瀏覽器:這樣吧�����,如果是跨域請(qǐng)求���,我先咨詢下你,如果你覺得請(qǐng)求安全�,我再把真實(shí)請(qǐng)求發(fā)給你。(Origin, Access-Control-Allow-Origin)
服務(wù)器:恩��,好吧。不過你每次都先咨詢我����,對(duì)性能會(huì)造成影響啊,再說了有些請(qǐng)求不存在安全問題��。
瀏覽器:也是啊���。這樣吧���,對(duì)于那些安全的請(qǐng)求,我直接發(fā)給你����。簡(jiǎn)單請(qǐng)求的定義你看看
服務(wù)器:這個(gè)定義確實(shí)OK,但也太苛刻了���,實(shí)際應(yīng)用中很少遇到啊���,這樣對(duì)性能的提升沒有實(shí)際解決。
瀏覽器:但是確保安全是我底線�。這個(gè)沒得讓步。
服務(wù)器:要不這樣��,你把預(yù)檢的結(jié)果緩存一段時(shí)間,在緩存時(shí)間內(nèi)不用再發(fā)送預(yù)檢請(qǐng)求��。
瀏覽器:好想法�,就這樣干。不過你得告訴我緩存多久�。
服務(wù)器:可以啊。(Access-Control-Max-Age)
3.2 CORS流程圖
3.3CORS-服務(wù)端
要實(shí)現(xiàn)CORS機(jī)制離不開服務(wù)端的配合���。為了更好的實(shí)現(xiàn)支持CORS服務(wù)接口,需要注意幾點(diǎn)
request可能會(huì)請(qǐng)求服務(wù)兩次(預(yù)檢���,真實(shí)請(qǐng)求),在處理預(yù)檢過程中不要做真實(shí)請(qǐng)求的邏輯處理��。
參考:
MDN:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
W3C:
https://www.w3.org/TR/cors/
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/83733.html
