摘要:服務(wù)器確認(rèn)允許之后���,才發(fā)起實(shí)際的請(qǐng)求����。在預(yù)檢請(qǐng)求的返回中,服務(wù)器端也可以通知客戶端�,是否需要攜帶身份憑證包括和認(rèn)證相關(guān)數(shù)據(jù)。提供了一個(gè)接口���,用于訪問和操縱管道的部分����,例如請(qǐng)求和響應(yīng)�。專業(yè)的說,完成了一次簡(jiǎn)單請(qǐng)求���。
概念
CORS, Cross-origin resource sharing
跨域資源共享標(biāo)準(zhǔn)新增了一組 HTTP 首部字段���,允許服務(wù)器聲明哪些源站有權(quán)限訪問哪些資源。另外���,規(guī)范要求���,對(duì)那些可能對(duì)服務(wù)器數(shù)據(jù)產(chǎn)生副作用的 HTTP 請(qǐng)求方法(特別是 GET 以外的 HTTP 請(qǐng)求,或者搭配某些 MIME 類型的 POST 請(qǐng)求)���,瀏覽器必須首先使用 OPTIONS 方法發(fā)起一個(gè)預(yù)檢請(qǐng)求(preflight request)��,從而獲知服務(wù)端是否允許該跨域請(qǐng)求���。服務(wù)器確認(rèn)允許之后�,才發(fā)起實(shí)際的 HTTP 請(qǐng)求����。在預(yù)檢請(qǐng)求的返回中����,服務(wù)器端也可以通知客戶端,是否需要攜帶身份憑證(包括 Cookies 和 HTTP 認(rèn)證相關(guān)數(shù)據(jù))��。
Fetch
Fetch API 提供了一個(gè) JavaScript 接口����,用于訪問和操縱 HTTP 管道的部分,例如請(qǐng)求和響應(yīng)����。它還提供了一個(gè)全局 fetch() 方法,該方法提供了一種簡(jiǎn)單���,合乎邏輯的方式來跨網(wǎng)絡(luò)異步獲取資源�。
均摘自中文MDN
實(shí)驗(yàn)
實(shí)驗(yàn)環(huán)境搭建
服務(wù)端
在本地搭建一個(gè)服務(wù),返回一個(gè) json �����,代碼如下
const http = require("http")
http.createServer((req, res) => {
res.writeHead(200, {
"Content-Type": "application/json"
})
res.end(JSON.stringify({
author: "nbb3210"
}))
}).listen(3210)
用瀏覽器打開http://localhost:3210�,觀察到返回值
然后再隨便找一個(gè)還是 http 的網(wǎng)站,例如華為
嗯����,意料之中的情形。
簡(jiǎn)單請(qǐng)求(Simple requests)
修改服務(wù)端代碼����,添加 Access-Control-Allow-Origin
res.writeHead(200, {
"Access-Control-Allow-Origin": "*",
"Content-Type": "application/json"
})
再此發(fā)送請(qǐng)求
嗯,意料之中的情形����。這便完成了一次跨域請(qǐng)求。專業(yè)的說��,完成了一次簡(jiǎn)單請(qǐng)求�。何為簡(jiǎn)單請(qǐng)求?
使用下列方法之一:
GET
HEAD
POST
不能設(shè)置除以下集合之外的首部字段:
Accept
Accept-Language
Content-Language
Content-Type (需要額外的限制)
Content-Type 的值近限與下列三者之一
text/plain
Multipart/form-data
Application/x-www-form-urlencoded
所以如果我使用了其他的方法或添加其他的首部字段又如何�����?
哈?還挺嚴(yán)格�����,再來看看Network
怎么無端出來個(gè) OPTIONS 請(qǐng)求��?
預(yù)檢請(qǐng)求(Preflighted requests)
非簡(jiǎn)單請(qǐng)求就是預(yù)檢請(qǐng)求了��,它會(huì)首先使用 OPTIONS 方法發(fā)起一個(gè)預(yù)檢請(qǐng)求到服務(wù)器�����,以獲取服務(wù)器是否允許該實(shí)際請(qǐng)求����。注意了��,瀏覽器自己根據(jù)請(qǐng)求是否為簡(jiǎn)單請(qǐng)求來發(fā)送預(yù)檢請(qǐng)求����,不是咱們一般碼農(nóng)自己寫的。
所以修改服務(wù)端代碼��,讓它允許自定義頭部 Access-Control-Allow-Headers, x-test
const http = require("http")
http.createServer((req, res) => {
if (res.method === "OPTIONS") {
res.writeHead(200, {
"Access-Control-Allow-Origin": "*",
"Access-Control-Allow-Headers": "x-test"
})
res.end()
} else {
res.writeHead(200, {
"Access-Control-Allow-Origin": "*",
"Content-Type": "application/json"
})
res.end(JSON.stringify({
author: "nbb3210"
}))
}
}).listen(3210)
重新發(fā)送一次請(qǐng)求
嗯���,沒毛病
如果是 DELETE 等其它方法����,就用 Access-Control-Allow-Methods
而 Access-Control-Max-Age 則指定了預(yù)檢請(qǐng)求的結(jié)果能夠被緩存多久
小結(jié)
Access-Control-Allow-Origin, Access-Control-Expose-Headers, Access-Control-Max-Age, Access-Control-Allow-Credentials, Access-Control-Allow-Methods, Access-Control-Allow-Headers 這一系列的相應(yīng)首部字段規(guī)定了哪些源站通過哪些方式有權(quán)限訪問哪些資源
Origin, Access-Control-Request-Method, Access-Control-Request-Headers 這一系列請(qǐng)求首部字段無須手動(dòng)設(shè)置,發(fā)送跨域請(qǐng)求時(shí)�,已被自動(dòng)設(shè)置好了
參考文檔
HTTP訪問控制(CORS)
使用 Fetch
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/92172.html
