Rails Gem开发(四)——rack-cors解决Ajax跨域问题(CORS)

在项目开发过程中,遇到了Ajax跨域访问资源的问题,提示出现了类似于下面这样的错误:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://example.com:8080/script/jquery.js. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing).

经过了解和学习,我们决定使用rack-cors这个gem来解决这个问题。
github:https://github.com/cyu/rack-cors

开发前需明确的问题


  • 什么是跨域访问?
  • 什么是CORS?
  • rack-cors为我们提供了怎样的功能?

问题解决


什么是跨域?

理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。
那么什么是同源?我们知道,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。
我们用一个例子来说明:
URL: http://www.example.com:8080/script/jquery.js
在这个url中,各个字段分别代表的含义:

  • http://——协议
  • www——子域名
  • example.com——主域名
  • 8080——端口号
  • script/jquery.js——请求的地址
    协议子域名主域名端口号中任意一各不相同时,都算不同的“域”。不同的域之间相互请求资源,就叫跨域。
    这里要注意,如果只是通过AJAX向另一个服务器发送请求而不要求数据返回,是不受跨域限制的。浏览器只是限制不能访问另一个域的数据,即不能访问返回的数据,并不限制发送请求。

事实上,为了解决因同源策略而导致的跨域请求问题,解决方法有五种:

  • document.domain
  • Cross-Origin Resource Sharing(CORS)
  • Cross-document messaging
  • JSONP
  • WebSockets

什么是CORS(跨域资源共享,Cross-Origin Resource Sharing)?

我们先来看看wiki上的定义:

跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSONP 要来的好。另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。现代的浏览器都支持 CORS。

由此我们可以知道, CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。对于CORS来说,实现此功能非常简单,只需由服务器发送一个响应标头即可。服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。具体的关于CORS原理性的知识此处不再进行介绍,只在此对CORS和JSONP进行简单的比较。有关CORS的知识可以看一下这篇博客

  • CORS与JSONP比较
    CORS与JSONP相比,更为先进、方便和可靠。
    1.JSONP只能实现GET请求,而CORS支持所有类型的HTTP请求。
    2.使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理。
    3.JSONP主要被老的浏览器支持,它们往往不支持CORS,而绝大多数现代浏览器都已经支持了CORS。

rack-cors怎样解决跨域问题?

Rack Middleware for handling Cross-Origin Resource Sharing (CORS), which makes cross-origin AJAX possible.

也就是说,这个gem是基于CORS来实现Ajax的跨域请求功能的,我们可以添加这个gem来解决我们项目中遇到的问题。
我们看到gem中给出的配置接口:

Rack
In config.ru, configure Rack::Cors by passing a block to the use command:

use Rack::Cors do
  allow do
   origins  'localhost:3000', '127.0.0.1:3000',
             /\Ahttp:\/\/192\.168\.0\.\d{1,3}(:\d+)?\z/
             # regular expressions can be used here
   resource '/file/list_all/', :headers => 'x-domain-token'
   resource '/file/at/*',
       :methods => [:get, :post, :delete, :put, :patch, :options, :head],
       :headers => 'x-domain-token',
       :expose => ['Some-Custom-Response-Header'],
       :max_age => 600
       # headers to expose
  end
  allow do
    origins '*'
    resource '/public/*', :headers => :any, :methods => :get
  end
end

Rails
Put something like the code below in config/application.rb of your Rails application. For example, this will allow GET, POST or OPTIONS requests from any origin on any resource.

module YourApp
  class Application < Rails::Application
    # ...
    # Rails 3/4
    config.middleware.insert_before 0, "Rack::Cors" do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end
    # Rails 5
    config.middleware.insert_before 0, Rack::Cors do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end
  end
end

可以看出,rack-cors实际上直接给出了借口,我们在bundle这个gem后,直接在config/application.rb文件中添加配置信息即可,而无需自己在代码中添加有关跨域资源的策略信息。

实际应用


这个gem是用在被访问的资源服务器上的,用来定义哪些域可以访问资源以及可以访问自己的哪些资源等策略信息。这个gem可以很轻松很方便地解决ajax跨域问题。

  • 安装gem
gem 'rack-cors', :require => 'rack/cors'
  • 修改config/application.rb
    我们使用的是rails,因此只需要做以下修改即可:
config.middleware.insert_before 0, Rack::Cors do
    allow do
      origins '*'
      resource '*', :headers => :any, :methods => [:get, :post, :options]
    end
end

其中,origins用来配置可以请求自己资源的域,*表示任何域都可以请求;resource用来配置自己的哪些资源可以被请求,*代表所有资源都可以被请求,methods代表可以被请求的方法。

做完这两部,我们就可以实现跨域请求资源了。此时重启服务器,本地再次请求资源就会成功,同时我们可以看到自己的请求中多了类似下面的一些信息:

Access-Control-Allow-Origin: http://localhost:3000
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Max-Age: 1728000
Access-Control-Allow-Credentials: true

这样,我们便在rails中解决了Ajax的跨域请求资源的问题,项目也可以继续向前开发了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,362评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,330评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,247评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,560评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,580评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,569评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,929评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,587评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,840评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,596评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,678评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,366评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,945评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,929评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,165评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,271评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,403评论 2 342

推荐阅读更多精彩内容