当你使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
<!doctype html> <html> <head> <meta charset="utf-8"> <meta content="initial-scale=1, maximum-scale=1,user-scalable=no"> <title>jsonp_test</title> <script> /*var f = function(data){ alert(data.name); }*/ var xhr = new XMLHttpRequest(); xhr.onload = function(){ alert(xhr.responseText); }; xhr.open('POST', 'http://localhost:8888/cors', true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhr.send("f=json"); </script> <script> /* var _script = document.createElement('script'); _script.type = "text/javascript"; _script.src = "http://localhost:8888/jsonp?callback=f"; document.head.appendChild(_script);*/ </script> </head> <body> </body> </html>
前端cors
if (req.headers.origin) { res.writeHead(200, { "Content-Type": "text/html; charset=UTF-8", "Access-Control-Allow-Origin":'http://localhost'/*, 'Access-Control-Allow-Methods': 'GET, POST, OPTIONS', 'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'*/ }); res.write('cors'); res.end(); }
如果我们把Access-Control-Allow-Origin去掉,浏览器会驳回响应,我们也就拿不到数据。
需要注意的一点是Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主题内容。总结如如:
1、非GET 、POST请求
2、POST请求的content-type不是常规的三个:application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)、multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)、text/plain(纯文本)
3、POST请求的payload为text/html
4、设置自定义头部
OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers,发送这个请求后,服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。
Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers
var xhr = new XMLHttpRequest(); xhr.onload = function(){ alert(xhr.responseText); }; xhr.open('POST', 'http://localhost:8888/cors', true); xhr.setRequestHeader("Content-Type", "text/html"); xhr.send("f=json");
if (req.headers.origin) { res.writeHead(200, { "Content-Type": "text/html; charset=UTF-8", "Access-Control-Allow-Origin":'http://localhost', 'Access-Control-Allow-Methods': 'GET,POST,OPTIONS', 'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'/**/ }); res.write('cors'); res.end(); }
如果你在调试状态,你会发现后台代码执行了两遍,说明发送了两次请求。注意一下我们的onload代码只执行了一次,所以说OPTIONS请求对程序来说是透明的,他的请求结果会被缓存起来。
如果我们修改一下后台代码,把Content-Type去掉,你会发现OPTIONS请求失败。
通过setRequestHeader('X-Request-With', null)可以避免浏览器发送OPTIONS请求。
根据我的测试,当使用cors发送跨域请求时失败时,后台是接收到了这次请求,后台可能也执行了数据查询操作,只是响应头部不合符要求,浏览器阻断了这次请求。
XDR
这是IE8、IE9提供的一种跨域解决方案,功能较弱只支持get跟post请求,而且对于协议不同的跨域是无能为力的,比如在http协议下发送https请求。看一下微软自己的例子就行
<!DOCTYPE html> <html> <body> <h2>XDomainRequest</h2> <input type="text" value="http://www.contoso.com/xdr.txt"><br> <input type="text" value="10000"><br> <input type="button" value="Get"> <input type="button" value="Stop"> <input type="button" value="Read"> <br> <div></div> <script> var xdr; function readdata() { var dRes = document.getElementById('dResponse'); dRes.innerText = xdr.responseText; alert("Content-type: " + xdr.contentType); alert("Length: " + xdr.responseText.length); } function err() { alert("XDR onerror"); } function timeo() { alert("XDR ontimeout"); } function loadd() { alert("XDR onload"); alert("Got: " + xdr.responseText); } function progres() { alert("XDR onprogress"); alert("Got: " + xdr.responseText); } function stopdata() { xdr.abort(); } function mytest() { var url = document.getElementById('tbURL'); var timeout = document.getElementById('tbTO'); if (window.XDomainRequest) { xdr = new XDomainRequest(); if (xdr) { xdr.onerror = err; xdr.ontimeout = timeo; xdr.onprogress = progres; xdr.onload = loadd; xdr.timeout = tbTO.value; xdr.open("get", tbURL.value); xdr.send(); } else { alert("Failed to create"); } } else { alert("XDR doesn't exist"); } } </script> </body> </html>