2020再谈跨域
Posted 张京
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2020再谈跨域相关的知识,希望对你有一定的参考价值。
跨域这个话题已经谈了很多年了,怎么现在又要谈这个问题?本来是可以不必再提了的,但是由于Chrome 86
版本以后又增加了很多限制,导致我们不得不再次提起。
CORS
对于前端开发来说,跨域通常有两种方式,一种是在服务端修改nginx
配置,在response headers
里添加CORS
设置,另一种是在本地架设代理。我们先谈第一种。
原本在nginx
里添加CORS
已经是一种常规操作,简单到无以复加:
location /somewhere/ {
if ($request_method = OPTIONS) {
add_header Access-Control-Allow-Origin "$http_origin";
add_header Access-Control-Allow-Credentials "true";
add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
add_header Access-Control-Allow-Headers "sitessubid,Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken,Keep-Alive,X-Requested-With,If-Modified-Since";
add_header Content-Length 0;
add_header Content-Type text/plain;
return 200;
}
if ($request_method = POST) {
add_header Access-Control-Allow-Origin "$http_origin";
add_header Access-Control-Allow-Credentials "true";
}
}
然后我们只要在每个axios
或者fetch
请求里添加withCredentials
就能自动把对应该服务器的cookies
随请求一并发送了。
但问题在Chrome 86
版本以后,Chrome
强制给从服务端下发的每个cookie
都增加了一个缺省的SameSite
属性,并且强制把这个属性设置为Lax
,从而导致我们的withCredentials
不起作用,只要是跨域的情况,cookies
连取都取不到,更不要提发送了。在这里我不想再详述SameSite
的原理,感兴趣的可以去这里了解。
这就需要我们必须从服务端入手,修改nginx
下发cookies
时的SameSite
属性。
SameSite和secure
修改SameSite
又分为两种情况:如果你用的是低版本的nginx
,可能还不一定能完全解决问题,目前唯一能修改的变通之道是修改cookie
的path
,使它后面带上SameSite
属性,例如这样:
proxy_cookie_path ~(.*) "$1; SameSite=none";
这里实际修改的是cookie
里的path
值,但由于附加了;
,所以浏览器会认为自;
以后的是新属性,所以也会接受这个SameSite
设定。
但是仅此还不够,Chrome
又要求如果SameSite
值为none
的话,则还必须设置secure
属性,也就是要求所有下发cookie
的域名必须使用https
协议,所以最终修改的结果是:
proxy_cookie_path ~(.*) "$1; SameSite=none; secure";
但这种情况只能解决类似于cookie
是以path
结尾的情况,如果上游服务器下发cookie
时不止有path
,并且在path
结尾指定了其它的SameSite
,那就无能为力了,因为这么修改path
之后cookie
会变成:
path=/; SameSite=none; secure; SameSite=Lax
浏览器仍然以最后一个SameSite=Lax
为准。目前低版本nginx
对这个问题无解。
但如果你是nginx 1.19.3
及以上,新增了一个属性,可以更好地解决这个问题:
proxy_cookie_flags one samesite=none;
添加secure
标志的方法类似,参考官方文档,不赘述。
localhost的https
由上可知,我们可以通过修改nginx
的方法来改造跨域cookies
的发送。但这时如果你又不想跨域了,还想用本地代理的方式来解决,又会遇到一个问题:因为我们上面在下发cookies
的时候,缺省地给每个cookie
都带上了secure
属性,这就导致我们在使用本地代理的时候反而无法设置cookies
,因为我们本地的开发服务器往往使用的是类似于http://localhost:8080
这样的地址,它不是https
协议,所以无法设置secure
的cookies
,那么怎么办呢?
我们只能动手改造我们的本地服务器,使它也支持https
协议:
第一步,我们先生成根证书:
openssl genrsa -des3 -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
这时候我们会得到两个文件,一个是rootCA.key
,一个是rootCA.pem
。
我们把pem
文件导入系统的钥匙链,并给予它完全的信任,这样以后再由它签发的证书才能被系统认可,否则即使我们用它签发了证书,浏览器一样会拒绝。
第二步,生成localhost
证书:
我们先建立一个名为server.csr.cnf
的文件:
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[dn]
C=US
ST=RandomState
L=RandomCity
O=RandomOrganization
OU=RandomOrganizationUnit
emailAddress=hello@example.com
CN = localhost
然后执行以下命令生成server.key
文件
openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <( cat server.csr.cnf )
再创建一个v3.ext
文件:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
然后执行以下命令生成server.crt
文件:
openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext
好了,到此为止,这个server.key
和server.crt
文件就是我们真正需要的两个文件,我们把它们引入系统,不同的系统有不同的引入方法,以下例子是react
的方法,建立一个.env
文件:
SSL_CRT_FILE=server.crt
SSL_KEY_FILE=server.key
HTTPS=true
这时候再启动你的工程,localhost
就带有https
协议了。
跨域就是这么麻烦,但不论如何麻烦,我们不辞麻烦,也一定要解决它!
以上是关于2020再谈跨域的主要内容,如果未能解决你的问题,请参考以下文章