HTTP跨域请求后台处理

在开发web后台与前端联调的过程中,遇到了一个问题:

Access to XMLHttpRequest at 'xxx' from origin 'yyy' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the rquested resource.

字面意思就是从Y域中去Http请求X域的后台,但是请求反馈的资源的Http头中没有包含'Access-Control-Allow-Origin'内容,什么意思呢?

CORS的意思是跨域资源共享,当web从一个不属于本身所在的服务器的资源地址(域名、协议、端口)请求资源时,就会发起这样一个跨域HTTP请求,比如你的服务所在域名是‘www.aaa.com/yyy’,这时候你的前端想要从‘www.bbb.com/xxx’请求一个资源,就会触发跨域请求。处于安全原因,浏览器会限制这样的跨域请求,除非响应报文中包含了正确的CORS响应头

因此我就遇到了这样的浏览器报错,提示我返回的响应报文中没有包含需要的响应头,也就是'Access-Control-Allow-Origin'。

要解决这个问题也很简单,首先保证你的后台能够确实地接收到前端的请求(以防被网关等拦截,而非CORS问题,但如果报出了这样的错误,基本是因为响应头的问题),然后再返回的响应头中加上'Access-Control-Allow-Origin',那对应的值应该是什么呢?对应的值其实就是请求报文头中的‘Origin’字段的内容。所以,确定你要对接的前端的请求的Origin字段是什么,在响应头中添加进去即可,如下:

Request Headers:

Request URL: http://www.bbb.com/xxx
Request Method: POST
Remote Address: 127.0.0.1:12345
Referrer Policy: no-referrer-when-downgrade
Accept: application/json, text/plain, /
Authorization: Basic Y2xvdWRveG91Og==
Content-Type: application/json; charset=UTF-8
Origin: http://www.aaa.com
Referer: http://www.aaa.com/yyy
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36

Response Headers:

Access-Control-Allow-Origin: http://www.aaa.com
Connection: keep-alive
Content-Disposition: attachment;filename=abc.csv
Content-Length: 301
Content-Type: application/octet-stream
Date: Sun, 26 May 2019 08:31:33 GMT
X-Cache: MISS from SK-SQUIDWEB-72
X-Cache-Lookup: MISS from SK-SQUIDWEB-72:8080

从上面的例子可以看到,在请求头中有一个Origin字段,而在响应头中则加了一个对应的Access-Control-Allow-Origin字段,这样浏览器就不会拦截请求和返回了,从而能够顺利的访问。

本来正常了,但后来前端做了一点变化后,又出现了类似的问题,这次不是Access-Control-Allow-Origin的问题了,但也是类似的,其实跨域请求的控制不只是Origin的问题,还有两个字段也是与此相关的:

Access-Control-Allow-Methods 和 Access-Control-Allow-Headers。

前端的请求头中如果增加了 Access-Control-Request-Method 和 Access-Control-Request-Headers 字段,那么后台返回的响应头也必须包含上面两个字段,要注意method前端没有s,但后台有,为什么?前端一次请求必定只有一种方法,但后台需要允许多种方法,尤其是OPTIONS方法,面对POST之类的可能对服务器数据产生变化的请求,前端会默认先进行一次OPTIONS请求(预检请求),验证通过后才会正式发出GET或者POST请求,所以在后台处理时也需要判断当前的请求方法是什么,面对OPTIONS,就不要返回完整的数据了,只需要告知我接受你就行了。所以真实的协议应该类似:

预检请求:
Request Headers:

Request URL: http://www.bbb.com/xxx
Request Method: OPTIONS
Remote Address: 127.0.0.1:12345
Referrer Policy: no-referrer-when-downgrade
Accept: application/json, text/plain, /
Authorization: Basic Y2xvdWRveG91Og==
Content-Type: application/json; charset=UTF-8
Origin: http://www.aaa.com
Access-Control-Request-Headers: authorization,content-type
Access-Control-Request-Method: POST

Referer: http://www.aaa.com/yyy
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36

Response Headers:

Access-Control-Allow-Origin: http://www.aaa.com
Access-Control-Allow-Headers: authorization,content-type
Access-Control-Allow-Methods: POST, GET, OPTIONS

Connection: keep-alive
Content-Disposition: attachment;filename=abc.csv
Content-Length: 301
Content-Type: application/octet-stream
Date: Sun, 26 May 2019 08:31:33 GMT
X-Cache: MISS from SK-SQUIDWEB-72
X-Cache-Lookup: MISS from SK-SQUIDWEB-72:8080

实际请求
Request Headers:

Request URL: http://www.bbb.com/xxx
Request Method: POST
Remote Address: 127.0.0.1:12345
Referrer Policy: no-referrer-when-downgrade
Accept: application/json, text/plain, /
Authorization: Basic Y2xvdWRveG91Og==
Content-Type: application/json; charset=UTF-8
Origin: http://www.aaa.com
Referer: http://www.aaa.com/yyy
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36

Response Headers:

Access-Control-Allow-Origin: http://www.aaa.com
Connection: keep-alive
Content-Disposition: attachment;filename=abc.csv
Content-Length: 301
Content-Type: application/octet-stream
Date: Sun, 26 May 2019 08:31:33 GMT
X-Cache: MISS from SK-SQUIDWEB-72
X-Cache-Lookup: MISS from SK-SQUIDWEB-72:8080

从上面可以看出来,会经历两次请求,第一次OPTIONS方法的预检请求,咨询是否支持POST方法,第二次才是真实请求,在第一次请求中,包含 Origin、Access-Control-Allow-Headers、Access-Control-Allow-Method 三种跨域请求头,在第二次真实请求中,就只有Origin字段了。所以作为后台,需要进行相应的返回:

  • 对于Origin:出于安全考虑,后台最好维护一份白名单,只有白名单中的域名Origin,才出现在Access-Control-Allow-Origin中返回,这样可以有效避免其他恶意网站获取或者修改数据。
  • 对于Access-Control-Allow-Headers:由于不确定前端会携带何种内容,可以直接获取前端的相应字段内容,复制到返回的响应头的Access-Control-Allow-Headers字段内容中即可。
  • 对于Access-Control-Allow-Method:根据业务场景,后台支持何种方法,就放进去即可,逗号隔开多种方法。

至此,跨域请求就完全配置OK,可以正常访问啦。


查看作者首页

参考资料:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,937评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,503评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,712评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,668评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,677评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,601评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,975评论 3 396
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,637评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,881评论 1 298
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,621评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,710评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,387评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,971评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,947评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,189评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,805评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,449评论 2 342

推荐阅读更多精彩内容

  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    Yaoxue9阅读 1,286评论 0 6
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    他方l阅读 1,057评论 0 2
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    HeroXin阅读 826评论 0 4
  • 1.浏览器的同源安全策略 浏览器只允许请求当前域的资源,而对其他域的资源表示不信任。 那怎么才算跨域呢? 请求协议...
    赵客缦胡缨v吴钩霜雪明阅读 2,020评论 1 10
  • 前沿: 最近总听到同事聊跨域得问题,于是自己抽空仔细的查阅了一下关于跨域的知识。说到跨域,就得提到同源,跨域是指一...
    戈弋图阅读 1,798评论 0 4