ajaxaxios请求之同源策略与CORS

Posted aaronthon

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ajaxaxios请求之同源策略与CORS相关的知识,希望对你有一定的参考价值。

什么是同源策略?

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持javascript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。

注意:跨域请求被拒绝,其实是浏览器已经拿到了不同源服务器响应的数据,浏览器对非同源请求返回的结果做了拦截,而不是服务器拒绝浏览器的请求。

ajax跨域

<script>
    $("button").click(function(){
        $.ajax({
            url:"http://127.0.0.1:7766/order/",  //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务
            type:"POST",
            success:function(data){
                alert(123);
                alert(data)
            }
        })
    })
</script>

上面这种请求方式设计跨域请求,会报如下错误:

已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:7766/order/ 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)。

解决办法下文会深入讨论。

什么是CORS?

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

CORS两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

浏览器对这两种请求的处理,是不一样的。

* 简单请求和非简单请求的区别?
   简单请求:一次请求
   非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检” - 请求方式:OPTIONS - “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息 - 如何“预检” => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过 Access-Control-Request-Method => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过 Access-Control-Request-Headers

支持跨域,简单请求

服务器设置响应头即可:Access-Control-Allow-Origin = ‘域名‘ 或 ‘*‘

支持跨域,复杂请求

由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。

  • “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
  • “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers

复杂请求下,django的响应头设置,如下:

在设置了rest_framework情况下,必须要有的是options请求的方法

from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json

class Order(APIView):
    def options(self, request, *args, **kwargs):
        response = HttpResponse("ok")
        response[Access-Control-Allow-Origin] = *  # 允许所有的域名地址
        response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT"  # 允许的请求方式
        response["Access-Control-Allow-Headers"] = "Content-Type"  # 允许的headers
        return response

因为复杂请求都会请求多次,第一次一定是OPTIONS请求,也就是预检。如果预检通过就会携带数据进行再次请求,这时需要根据请求方式增加对应的处理方法。

比如,预检通过之后进行GET请求:

from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json

class Order(APIView):
    def options(self, request, *args, **kwargs):
        response = HttpResponse("ok")
        response[Access-Control-Allow-Origin] = *  # 允许所有的域名地址
        response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT"  # 允许的请求方式
        response["Access-Control-Allow-Headers"] = "Content-Type"  # 允许的headers
        return response

    def get(self, request, *args, **kwargs):
        response = HttpResponse("ok")
        response[Access-Control-Allow-Origin] = *  # 允许所有的域名地址
        response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT"  # 允许的请求方式
        response["Access-Control-Allow-Headers"] = "Content-Type"  # 允许的headers
        return response

ajax自定义headers

<script>
    $("button").click(function(){
        $.ajax({
            url:"http://127.0.0.1:7766/order/",  //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务
            type:"POST",
headers: {k1: "v1"}, // 自定义headers,这里设置k1,服务端就要允许k1
contentType: "application/json" success:function(data){ alert(
123); alert(data) } }) }) </script>

服务端django设置headers

from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json

class Order(APIView):
    def options(self, request, *args, **kwargs):
        response = HttpResponse("ok")
        response[Access-Control-Allow-Origin] = *  # 允许所有的域名地址
        response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT"  # 允许的请求方式
        response["Access-Control-Allow-Headers"] = "Content-Type, k1"  # 允许的headers,添加k1
        return response

    def get(self, request, *args, **kwargs):
        response = HttpResponse("ok")
        response[Access-Control-Allow-Origin] = *  # 允许所有的域名地址
        response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT"  # 允许的请求方式
        response["Access-Control-Allow-Headers"] = "Content-Type, k1"  # 允许的headers,添加k1
        return response

axios跨域

import axios from axios
import { Message, MessageBox } from element-ui
import store from ../store
import { getToken } from @/utils/auth
axios.defaults.baseURL= /api

// 创建axios实例
const service = axios.create({
  baseURL: process.env.BASE_API, // api的base_url, base_url="http://127.0.0.1:80001"
  timeout: 15000 // 请求超时时间
})

// request拦截器
service.interceptors.request.use(config => {
  if (store.getters.token) {
    config.headers[Authorization] = getToken() // 让每个请求携带自定义token 请根据实际情况自行修改
  }
  return config
}, error => {
  // Do something with request error
  console.log(error) // for debug
  Promise.reject(error)
})

// respone拦截器
service.interceptors.response.use(
  response => {
  /**
  * code为非200是抛错 可结合自己业务进行修改
  */
    const res = response.data
    if (res.code !== 200) {
      Message({
        message: res.message,
        type: error,
        duration: 3 * 1000
      })

      // 401:未登录;
      if (res.code === 401) {
        MessageBox.confirm(你已被登出,可以取消继续留在该页面,或者重新登录, 确定登出, {
          confirmButtonText: 重新登录,
          cancelButtonText: 取消,
          type: warning
        }).then(() => {
          store.dispatch(FedLogOut).then(() => {
            location.reload()// 为了重新实例化vue-router对象 避免bug
          })
        })
      }
      return Promise.reject(error)
    } else {
      return response.data
    }
  },
  error => {
    console.log(err + error)// for debug
    Message({
      message: error.message,
      type: error,
      duration: 3 * 1000
    })
    return Promise.reject(error)
  }
)

export default service

axios在前端服务器如果没有设置特殊全局headers,对应的后端服务器设置headers同上文。

结束!

以上是关于ajaxaxios请求之同源策略与CORS的主要内容,如果未能解决你的问题,请参考以下文章

Django框架 之 跨域请求伪造

前端安全之同源策略CSRF 和 CORS

同源策略与CORS

跨域请求问题

跨域请求

跨域请求