AJAX 跨域解决方案 - CORS

什么是AJAX？

AJAX 是无需刷新页面就可以从服务器去的数据的一种方法，负责Ajax运做的核心对象是XMLHttpRequest(XHR)对象。

同源策略是对XHR的一个主要约束，它为通讯设置了“相同的域、相同的端口、相同的协议”这一限制。
试图访问上述限制以外的资源都会引起安全错误，除非采用被承认的跨域解决方案。

这个方案叫作CORS（Cross-Origin Resource Sharing）跨源资源共享。

哪些访问属于跨域？

• http://a.com 不容许访问 http://b.com(不一样域)

• http://a.com 不容许访问 https://a.com(同一域名，不一样协议)

• http://a.com 不容许访问 http://a.com:8080(同一域名，不一样端口)

• http://a.com 不容许访问 http://192.168.1.1(域名和域名对应的ip)

• http://a.a.com 不容许访问 http://b.a.com(主域相同，子域不一样)

三种解决方案：

• 方案一：

//弊端：存在浏览器兼容的问题

须要被请求方的服务端设置： Access-Control-Allow-Origin

切记：Access-Control-Allow-Origin 不可设置为 * ，设置为可访问的域名。

//设置可供访问的白名单
$white_list = ['http://cdn.abc.com','http://abc.com'];

$_SERVER['HTTP_ORIGIN'] //表示请求方的域名

$http_origin = '';
if (!empty($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'],$white_list)) {
    $http_origin = $_SERVER['HTTP_ORIGIN'];

    //设置 header 信息
    header("Access-Control-Allow-Origin: {$http_origin}");
    header("Access-Control-Allow-Methods", "POST,GET");
    header('Access-Control-Allow-Credentials:true');  //容许访问Cookie
    header('Access-Control-Allow-Headers : X-Requested-With'); //设置Headers
}
//执行代码逻辑...

另：若是请求的是html，在文件里加上meta标签。

<meta http-equiv="Access-Control-Allow-Origin" content="*">

• 方案二:

//弊端：不支持 POST 请求。

使用 JSONP 进行解决跨域问题，网上文章蛮多的。

• 方案三：

与方案一相似。

修改Nginx Apache 配置：

//Nginx

http {
  ......
  add_header Access-Control-Allow-Origin *;
  add_header Access-Control-Allow-Headers X-Requested-With;
  add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
  ......
}

Apache :

<Directory />
    ......
    Header set Access-Control-Allow-Origin *
</Directory>

你们能够根据本身的状况进行选择方案。

---

来源：http://mp.weixin.qq.com/s?__b...

Thanks ~

AD: