[译] 理解 CORS
原文: https://medium.com/@baphemot/understanding-cors-18ad6b478e2b
"OK, but no"
只要用过 AJAX,你应该就很熟悉浏览器控制台中出现的如下报错:
当你看到这个信息,就意味着响应失败了;但你依然能在浏览器开发工具的网络 tab 里看到返回数据 -- 这是什么情况呢?
跨域资源共享(CORS: Cross-Origin Resource Sharing)
你所观察到的这种行为是浏览器 CORS 实现机制的效果。在 CORS 成为标准之前,由于安全原因,没有办法跨域调用 API。也就是(一定程度上依旧是)被所谓同源策略(Same-Origin Policy)限制住了。
CORS 机制是为了在认可用户发起的请求的同时,阻止那些恶意 JS;并在以下情况发起的 HTTP 请求时被触发:
- 一个不同的域(比如从 example.com 的站点调用 api.com)
- 一个不同的子域(比如从 example.com 的站点调用 api.example.com)
- 一个不同的端口(比如从 example.com 的站点调用 example.com:3001)
- 一个不同的协议(比如从 https://example.com 的站点调用 http://example.com)
这种机制阻止了当你已经登录 www.yourbank.com 的情况下,攻击者在各种网站上植入的脚本(比如通过 Google Ads 显示的广告)向 www.yourbank.com 发起的携带 你的身份凭证 的 AJAX 请求。
对于“简单的” GET 或 POST 请求,如果服务器没有对其作出携带特殊 HTTP 头部的响应 -- 请求依然被发送并且数据也照样被返回,但浏览器将不允许 Javascript 访问该响应。
如果浏览器尝试着去弄一个“没那么简单”的请求(比如一个包含了 cookie 的请求,或 Content-type 不是 application/x-www-form-urlencoded、multipart/form-data、text-plain三者之一的),则被称为预检(preflight)的机制将被用到,并且一个 OPTIONS 请求会被发往服务器。
关于“没那么简单”的请求,一个常见的例子是在请求中加入 cookie 或自定义头部 -- 如果浏览器发送了这样的请求且服务器没有正确响应的话,则只有预检调用会发送(不包含额外的头部),而浏览器本应使用的真实的 HTTP 请求就不会被发送了。
那些 Access-Control-Allow-什么什么的...
在 CORS 请求和响应中,都用到了一些 HTTP 头部,其中以下这几个是你必须理解的:
Origin
该头部是客户端发起的请求的一部分,包含了应用所在的域。由于安全原因,浏览器不会允许用户重写这个值。
Access-Control-Allow-Credentials
该头部只需要在服务器支持通过 cookie 认证的情况下出现在响应中。这种情况下,其唯一合法值就是 true。
Access-Control-Allow-Methods
一个逗号分隔的、表示服务器将会支持的 HTTP 请求动词(如 GET, POST)列表。
Access-Control-Allow-Headers
格式为一个逗号分隔的列表,表示服务器将会支持的请求头部值。如果使用了自定义头部(比如 x-authentication-token),则应该将其置于这个 ACA 头部(译注:即 Access-Control-Allow-Headers)响应中,并返回到 OPTIONS 调用中;除非该请求被阻塞了。
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plainAccess-Control-Expose-Headers
相似的是,该响应应包含一个头部列表,表示将在实际的响应中出现的值,并应在客户端中有效。所有其他头部则会被限制。
Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header如何搞定 CORS “错误” ?
首先要清楚的是,CORS 行为并非一种错误 -- 这种机制致力于保护你的用户、你本身,或你调用的站点。
有时,缺少合适的头部,会导致客户端的错误执行(如丢失了 API key 等认证信息)。
取决于你面临的场景,以下手段可以“搞定这种错误”:
A -- 我开发前端,也能控制后端,或者认识那个开发后端的哥们
这是最好的情况了 -- 你能根据调用,在服务器上实现合适的 CORS 响应。如果 API 用 node 的 express 实现,那么简单的使用 cors 包(译注:https://github.com/expressjs/cors)就可以了。如果要保证站点的适度安全,可以考虑为 Access-Control-Allow-Origin 设置一个白名单。
B -- 我开发前端,且暂时控制不了后端,我需要一个临时的办法
这是次优的情况,因为其实这就是手段 A,只是暂时性的受限。为了临时解决,可以让浏览器忽略 CORS 机制 -- 比如使用 ACAO Chrome 扩展(译注: 或指 Allow-Control-Allow-Origin: * 扩展) 或用如下参数在启动 Chrome 时完全禁止 CORS:
chrome --disable-web-security --user-data-dir切记,这将禁止浏览器会话期间 所有 网站的 CORS 机制;要小心慎用。
另外的替代方法是使用 devServer.proxy(假设你用到了 webpack 做开发);或使用一个 CORS-as-a-service 解决方案,比如 https://cors-anywhere.herokuapp.com/ 。
C -- 我开发前端,并总是控制不了后端的
Ok,现在事儿大了。首先要搞清为什么服务器没有发送适当的头部。
也许是不允许第三方应用访问其 API ?又或者其 API 只服务于服务器端而非浏览器?要么就是你需要在 URL 中发送认证令牌?
如果你依然认为可以通过浏览器访问数据,就得在浏览器应用和 API 之间编写自己的代理了,就类似于我们在手段 B 中做的那样。
在中间加一个代理
该代理不必和你的应用运行在同样的域下,只要当代理本身和客户端通讯时正确支持 CORS 就行。代理和 API 之间的通讯就完全不必支持 CORS 了。
你既可以编写自己的平台,也可以使用诸如 https://www.npmjs.com/package/cors-anywhere 的成熟方案。
要记住如果你需要支持身份凭证,这样的办法会引入一个安全风险。
关于 CORS 的更多
如果希望学习更多关于 CORS 的细节,推荐阅览这篇 MDN 文章(https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)。
(end)