Yii支持多域名cors原理的實現

原創 樊浩柏 2018-12-05 22:33

這篇文章主要介紹了Yii支持多域名cors原理的實現,小編覺得挺不錯的,現在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧

平常我們遇到跨域問題時,常使用 cors(Cross-origin resource sharin)方式解決。不知你是否注意到,在設置響應頭 Access-Control-Allow-Origin 域的值時,只允許設置一個域名,這意味着不能同時設置多個域名來共享資源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式卻可以設置多個 cors 域名值,Why?

其實,Yii2 中採用了動態設置 Access-Control-Allow-Origin 域值的方法來解決這個問題。

說明:測試使用的接口域名api.d.fanhaobai.com,cros 多域名爲www.d.yii.comwww.fq.yii.com

Nginx設置多域名

嘗試直接通過 Nginx 的add_header模塊追加 Access-Control-Allow-Origin 值實現,如下:

add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口 請求 和 響應頭 如下:

Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...

當前域爲www.fq.yii.com,需跨域請求http://api.d.fanhaobai.com/v1/config/list.json的資源。瀏覽器拋出如下跨域錯誤:

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明確說明,Access-Control-Allow-Origin 只能設置爲一個值,即每次請求只能對應一個域名值。故通過該方法不能設置多域名進行 cors。

Yii2設置多域名

Yii2 設置多域名 cors,只需在對應控制器(ConfigController)中設置 cors 行爲,如下:

class BaseController extends Controller
{
  /**
   * @inheritdoc
   */
  public function behaviors()
  {
    return [
      'corsFilter' => [
        'class' => \yii\filters\Cors::className(),
        'cors' => [
          //運行cors域名列表
          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],
          'Access-Control-Allow-Credentials' => true,
        ]
      ],
    ];
  }
}

重新在www.fq.yii.com發送 cors 請求,發現此時已經不存在跨域問題。響應頭 如下:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

我們會發現,Access-Control-Allow-Origin 域的值爲http://www.fq.yii.com,剛好爲當前域名一致,且只有一個值,並未出現設置的http://www.d.yii.com值。

同時,在www.d.yii.com下發送 cors 請求,也不存在跨域問題。響應頭中 Access-Control-Allow-Origin 值爲http://www.d.yii.com

由此可知,Yii2 在控制器行爲中設置 Origin 項,只是一個域名白名單,而返回的 Access-Control-Allow-Origin 同請求的域名一致且在這個白名單中,這個 Access-Control-Allow-Origin 由 Yii2 根據當前請求所在域名進行了動態處理。

Yii2動態Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors類源碼,如下:

class Cors extends ActionFilter
{
  /**
   * @var array CORS所用的響應頭
   */
  public $cors = [
    'Origin' => ['*'],
    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
    'Access-Control-Request-Headers' => ['*'],
    'Access-Control-Allow-Credentials' => null,
    'Access-Control-Max-Age' => 86400,
    'Access-Control-Expose-Headers' => [],
  ];
  
  /**
   * 執行action前要做的事
   * @inheritdoc
   */
  public function beforeAction($action)
  {
    $this->request = $this->request ?: Yii::$app->getRequest();
    $this->response = $this->response ?: Yii::$app->getResponse();
    ... ...
    $requestCorsHeaders = $this->extractHeaders();
    //獲取cors所用的響應頭
    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
    //設置cors所用的響應頭
    $this->addCorsHeaders($this->response, $responseCorsHeaders);
    return true;
  }
  
  /**
   * 處理cors所用的響應頭,動態處理Access-Control-Allow-Origin域
   * @param array $requestHeaders CORS headers we have detected
   * @return array CORS headers ready to be sent
   */
  public function prepareHeaders($requestHeaders)
  {
    $responseHeaders = [];
    //$requestHeaders['Origin']爲源地址,請求所在域名
    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
      //源地址在白名單中,則設置Access-Control-Allow-Origin爲源地址
      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {
        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
      }
    }
    ... ...
   }
}

主要思想就是,查看源地址是否在 cors 白名單中,在則設置 Access-Control-Allow-Origin 域的值爲源地址。這樣就能滿足 Access-Control-Allow-Origin 爲一個值的限制,同時也能允許指定的域名進行 cors。

注意:使用該方法請確保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

總結

通過 Nginx 設置 Access-Control-Allow-Origin 進行 cors,有且只能有一個特定域名,侷限性較大。通過代碼邏輯操作 Access-Control-Allow-Origin 來實現 cors,則比較靈活,能解決多個域名進行 cors 的需求,但是如果接口異常,跨域設置則會失效。

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持神馬文庫。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【預告】基於Yii Framework的BOSS系統

changtailiang 2019-02-22 23:51:50

Yii PHP 框架分析(二)

dasangshu 2019-02-22 21:42:35

thinkphp和Yii的架構流程圖

czj043 2019-02-22 20:53:48

Yii--Hello World!

高萬耀 2019-02-22 18:46:44

Tomcat6.0配置(虛擬目錄的設置+多域名綁定)

冰魚客 2019-02-23 00:43:08

Exchang 2010 SP2 多域名通訊錄策略(二)

kanghepeng 2019-02-23 00:18:22

apache服務器修改host在綁定多個域名

jacobcyl 2019-02-22 20:58:29

WAMP配置與單IP多域名功能設置

xsyk 2019-02-22 20:50:07

centos apache 多域名配置虛擬主機

雲網世紀 2019-02-22 20:13:23

爲Exchange server 2013 申請多域名證書

Mike_T 2019-02-22 14:28:40

虛擬主機-多域名多目錄使用方法

資料不空白 2019-02-22 13:09:00

一篇文章搞明白CORS跨域

麪包理想 2019-02-23 00:25:45

瀏覽器同源政策及其規避方法

linux_python 2019-02-22 21:05:14

跨域資源共享 CORS 詳解

linux_python 2019-02-22 21:05:14

九種跨域方式實現原理

凱迪Wen 2019-02-12 16:44:51