本文详细介绍了CORS(跨源资源共享)机制中涉及的关键HTTP头部,包括Access-Control-Allow-Origin等,并展示了如何在Laravel中实现跨域请求的支持。
Response Header
- Access-Control-Allow-Origin : 指明哪些请求源被允许访问资源,值可以为 "*","null",或者单个源地址。
- Access-Control-Allow-Credentials : 指明当请求中省略 creadentials 标识时响应是否暴露。对于预请求来说,它表明实际的请求中可以包含用户凭证。
- Access-Control-Expose-Headers : 指明哪些头信息可以安全的暴露给 CORS API 规范的 API。
- Access-Control-Max-Age : 指明预请求可以在预请求缓存中存放多久。
- Access-Control-Allow-Methods : 对于预请求来说,哪些请求方式可以用于实际的请求。
- Access-Control-Allow-Headers : 对于预请求来说,指明了哪些头信息可以用于实际的请求中。
- Origin : 指明预请求或者跨域请求的来源。
- Access-Control-Request-Method : 对于预请求来说,指明哪些预请求中的请求方式可以被用在实际的请求中。
- Access-Control-Request-Headers : 指明预请求中的哪些头信息可以用于实际的请求中。
Request Header
- Origin : 表明发送请求或预请求的来源。
- Access-Control-Request-Method : 在发送预请求时带该请求头,表明实际的请求将使用的请求方式。
- Access-Control-Request-Headers : 在发送预请求时带有该请求头,表明实际的请求将携带的请求头。
中间件
在 Laravel 中允许跨域请求,我们可以构建一个追加响应的中间件,用来添加专门处理跨域的请求的响应头
<?php namespace App\Http\Middleware;
use Closure;
use Response;
class EnableCrossRequestMiddleware {
public function handle($request, Closure $next)
{
$response = $next($request);
$response->header('Access-Control-Allow-Origin', '请求域名地址');
$response->header('Access-Control-Allow-Headers', 'Origin, Content-Type, Cookie, Accept');
$response->header('Access-Control-Allow-Methods', 'GET, POST, PATCH, PUT, DELETE, OPTIONS');
$response->header('Access-Control-Allow-Credentials', 'true');
return $response;
}
}
复制代码其中有以下需要注意的地方:
- 对于跨域访问并需要伴随认证信息的请求,需要在 XMLHttpRequest 实例中指定 withCredentials 为 true。
- 这个中间件你可以根据自己的需求进行构建,如果需要在请求中伴随认证信息(包含 cookie,session)那么你就需要指定 Access-Control-Allow-Credentials 为 true, 因为对于预请求来说如果你未指定该响应头,那么浏览器会直接忽略该响应。
- 在响应中指定 Access-Control-Allow-Credentials 为 true 时,Access-Control-Allow-Origin 不能指定为 *
- 后置中间件只有在正常响应时才会被追加响应头,而如果出现异常,这时响应是不会经过中间件的。
扫一扫
1054
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
