ajax 跨域请求以及跨域cookie提交
2016-05-09 20:20
309 查看
ajax在跨域时,会遇到2个问题,阻碍我们的一些需求。
1、在浏览器提交一个ajax请求时,如果是跨域的,那么不会携带 cookie ,那么导致的问题就是,一些放在cookie中的身份信息就没法提交,导致服务端认为你是没有登录的等等。
2、在浏览器收到跨域的ajax请求返回时,如果header中没有“Access-Control-Allow-Origin”,并且值为*或者浏览器当前访问网页的域名时,那么会直接进入ajax的error方法中,而不会将返回内容交给js引擎。
那么,如果在ajax跨域访问一个需要登陆的资源时,不解决上面2点问题,则无法获取到内容。
网上很多人说跨域ajax时,浏览器不会发起请求,这是不对的,其实请求会发出去,但是如果返回的header中没有上面描述的 “Access-Control-Allow-Origin”,那么浏览器直接将返回的内容丢弃罢了。
针对 第一点,需要在 ajax请求参数中带上 withCredentials ,值为true。如果是 jquery方式,则是这样设置:
针对这样一般的浏览器(IE11以下版本不支持,还有个别垃圾浏览器不支持,这点请注意)就会允许跨域资源共享。
同时服务器端还需要设置 Access-Control-Allow-Credentials 为true。
如下面是 java 的设置方式:
response().setHeader("Access-Control-Allow-Credentials", "true");
针对第二点,在服务端的代码中设置即可。如下面是java的设置方式:
response().setHeader("Access-Control-Allow-Origin", "fromeDomain.com");
注意,这里fromeDomain.com 不能设置为 * 来允许全部,如果在 Credentials 是true 的情况下。因为浏览器会报错如下:
A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'http://10.0.0.3:18080' is therefore not allowed access
所以只能乖乖的设置成客户端页面的 域名。
方法二:
解决跨域调用服务并设置headers 主要的解决方法需要通过服务器端设置响应头、正确响应options请求,正确设置 JavaScript端需要设置的headers信息 方能实现。
此处手札 供后人参考~
1.第一步 服务端设置响应头
header('Access-Control-Allow-Origin:*'); //支持全域名访问,不安全,部署后需要固定限制为客户端网址
header('Access-Control-Allow-Methods:POST,GET,OPTIONS,DELETE'); //支持的http 动作
header('Access-Control-Allow-Headers:x-requested-with,content-type'); //响应头 请按照自己需求添加。
2.第二部 了解IE chrome 等浏览器 对于 跨域请求并要求设置Headers自定义参数的时候的 "预请求" 就是如果遇到 跨域并设置headers的请求,所有请求需要两步完成!
A 第一步:发送预请求 OPTIONS 请求。此时 服务器端需要对于OPTIONS请求作出响应 一般使用202响应即可 不用返回任何内容信息。(能看到这份手稿的人,本人不相信你后台处理不了一个options请求)
B 第二步:服务器accepted 第一步请求后 浏览器自动执行第二步 发送真正的请求。此时 大多数人 会发现请求成功了,但是 有那么几个人会发现 请求成功了但是没有任何信息返回 why?因为你自定义的请求头在服务器响应中不存在!
查看console输出 会发现一个问题:
“Access-Control-Allow-Headers 列表中不存在请求标头 XXXXXX”【IE】,
request header field xxxxxx is not allowed by Access-Control-Allow-Header【chrome】
这是因为 你的XXXX请求头 没有在服务器端被允许哦~
遇到这个问题 只有通过修改服务器端来完成,举例:需要设置 requesttype这么一个自定义头,那么 你需要在 服务端里面 将header('Access-Control-Allow-Headers:x-requested-with,content-type,requesttype'); 同学们自行体会吧 这种语法就是根据“,”分割 自己需要设置什么头,必须要在 服务端请求的响应头里面设置好,不然客户端永远永远提交不上去!
至此 JavaScript/ajax 跨域+ 修改httpheader 任务完美实现。前端 后端完全分离 大道自成!前后期分离迎来旷古的潮流
次处作为见证 2016年1月25日20:21:28
"人们都一直在抱怨 JavaScript同源策略限制了web前端的发展!然而是服务端做的不够细致!"
部分代码参考如下:代码只是提供了思想,具体步骤还要根据以上的文字 自行揣摩实现。以上内容看不懂 说明对于web一点也不了解,需要买本书看看喽~(本人个人经历成功实现。若有人遇到同样的问题可以 加群245961308)
客户端代码:
服务器端代码
ajax在跨域时,会遇到2个问题,阻碍我们的一些需求。
1、在浏览器提交一个ajax请求时,如果是跨域的,那么不会携带 cookie ,那么导致的问题就是,一些放在cookie中的身份信息就没法提交,导致服务端认为你是没有登录的等等。
2、在浏览器收到跨域的ajax请求返回时,如果header中没有“Access-Control-Allow-Origin”,并且值为*或者浏览器当前访问网页的域名时,那么会直接进入ajax的error方法中,而不会将返回内容交给js引擎。
那么,如果在ajax跨域访问一个需要登陆的资源时,不解决上面2点问题,则无法获取到内容。
网上很多人说跨域ajax时,浏览器不会发起请求,这是不对的,其实请求会发出去,但是如果返回的header中没有上面描述的 “Access-Control-Allow-Origin”,那么浏览器直接将返回的内容丢弃罢了。
针对 第一点,需要在 ajax请求参数中带上 withCredentials ,值为true。如果是 jquery方式,则是这样设置:
$.ajax({ url: a_cross_domain_url, // 将XHR对象的withCredentials设为true xhrFields:{ withCredentials:true }});
针对这样一般的浏览器(IE11以下版本不支持,还有个别垃圾浏览器不支持,这点请注意)就会允许跨域资源共享。
同时服务器端还需要设置 Access-Control-Allow-Credentials 为true。
如下面是 java 的设置方式:
response().setHeader("Access-Control-Allow-Credentials", "true");
针对第二点,在服务端的代码中设置即可。如下面是java的设置方式:
response().setHeader("Access-Control-Allow-Origin", "fromeDomain.com");
注意,这里fromeDomain.com 不能设置为 * 来允许全部,如果在 Credentials 是true 的情况下。因为浏览器会报错如下:
A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'http://10.0.0.3:18080' is therefore not allowed access
所以只能乖乖的设置成客户端页面的 域名。
方法二:
解决跨域调用服务并设置headers 主要的解决方法需要通过服务器端设置响应头、正确响应options请求,正确设置 JavaScript端需要设置的headers信息 方能实现。
此处手札 供后人参考~
1.第一步 服务端设置响应头
header('Access-Control-Allow-Origin:*'); //支持全域名访问,不安全,部署后需要固定限制为客户端网址
header('Access-Control-Allow-Methods:POST,GET,OPTIONS,DELETE'); //支持的http 动作
header('Access-Control-Allow-Headers:x-requested-with,content-type'); //响应头 请按照自己需求添加。
2.第二部 了解IE chrome 等浏览器 对于 跨域请求并要求设置Headers自定义参数的时候的 "预请求" 就是如果遇到 跨域并设置headers的请求,所有请求需要两步完成!
A 第一步:发送预请求 OPTIONS 请求。此时 服务器端需要对于OPTIONS请求作出响应 一般使用202响应即可 不用返回任何内容信息。(能看到这份手稿的人,本人不相信你后台处理不了一个options请求)
B 第二步:服务器accepted 第一步请求后 浏览器自动执行第二步 发送真正的请求。此时 大多数人 会发现请求成功了,但是 有那么几个人会发现 请求成功了但是没有任何信息返回 why?因为你自定义的请求头在服务器响应中不存在!
查看console输出 会发现一个问题:
“Access-Control-Allow-Headers 列表中不存在请求标头 XXXXXX”【IE】,
request header field xxxxxx is not allowed by Access-Control-Allow-Header【chrome】
这是因为 你的XXXX请求头 没有在服务器端被允许哦~
遇到这个问题 只有通过修改服务器端来完成,举例:需要设置 requesttype这么一个自定义头,那么 你需要在 服务端里面 将header('Access-Control-Allow-Headers:x-requested-with,content-type,requesttype'); 同学们自行体会吧 这种语法就是根据“,”分割 自己需要设置什么头,必须要在 服务端请求的响应头里面设置好,不然客户端永远永远提交不上去!
至此 JavaScript/ajax 跨域+ 修改httpheader 任务完美实现。前端 后端完全分离 大道自成!前后期分离迎来旷古的潮流
次处作为见证 2016年1月25日20:21:28
"人们都一直在抱怨 JavaScript同源策略限制了web前端的发展!然而是服务端做的不够细致!"
部分代码参考如下:代码只是提供了思想,具体步骤还要根据以上的文字 自行揣摩实现。以上内容看不懂 说明对于web一点也不了解,需要买本书看看喽~(本人个人经历成功实现。若有人遇到同样的问题可以 加群245961308)
客户端代码:
服务器端代码
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- linux 字符处理指令 awk
- 编程之美之找出故障机器
- Android使用multidex解决方法数越界问题65536
- cisco HSRP负载均衡
- window.location兼容性问题具体解决办法
- A*算法
- soj [Union Training I] N AC自动机 + dp
- 【HTML】3.Form表单
- Android基础 -- AsyncTask介绍和使用
- 第十周第十一周项目1阅读程序(8)
- 远端WEB服务器上存在/robots.txt文件
- 创建元件库
- 计算机视觉的一些测试数据集和源码站点
- GDOI2016赛后小结
- c数据类型
- Java中二进制和十进制之间的相互转化
- bzoj 1221(费用流)
- LeetCode OJ 230. Kth Smallest Element in a BST
- bestcoder 1001 大搬家(排列组合)
- 第十周第十一周项目1阅读程序(7)