快捷導(dǎo)航

Yii支持多域名cors原理的實(shí)現(xiàn)

更新時(shí)間：2018年12月05日 09:21:34 作者：樊浩柏

這篇文章主要介紹了Yii支持多域名cors原理的實(shí)現(xiàn)，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧

平常我們遇到跨域問題時(shí)，常使用 cors（Cross-origin resource sharin）方式解決。不知你是否注意到，在設(shè)置響應(yīng)頭 Access-Control-Allow-Origin 域的值時(shí)，只允許設(shè)置一個(gè)域名，這意味著不能同時(shí)設(shè)置多個(gè)域名來共享資源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式卻可以設(shè)置多個(gè) cors 域名值，Why?

其實(shí)，Yii2 中采用了動(dòng)態(tài)設(shè)置 Access-Control-Allow-Origin 域值的方法來解決這個(gè)問題。

說明：測(cè)試使用的接口域名api.d.fanhaobai.com，cros 多域名為www.d.yii.com和www.fq.yii.com。

Nginx設(shè)置多域名

嘗試直接通過 Nginx 的add_header模塊追加 Access-Control-Allow-Origin 值實(shí)現(xiàn)，如下：

add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口請(qǐng)求和響應(yīng)頭如下：

Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...

當(dāng)前域?yàn)?code>www.fq.yii.com，需跨域請(qǐng)求http://api.d.fanhaobai.com/v1/config/list.json的資源。瀏覽器拋出如下跨域錯(cuò)誤：

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明確說明，Access-Control-Allow-Origin 只能設(shè)置為一個(gè)值，即每次請(qǐng)求只能對(duì)應(yīng)一個(gè)域名值。故通過該方法不能設(shè)置多域名進(jìn)行 cors。

Yii2設(shè)置多域名

Yii2 設(shè)置多域名 cors，只需在對(duì)應(yīng)控制器（ConfigController）中設(shè)置 cors 行為，如下：

class BaseController extends Controller
{
  /**
   * @inheritdoc
   */
  public function behaviors()
  {
    return [
      'corsFilter' => [
        'class' => \yii\filters\Cors::className(),
        'cors' => [
          //運(yùn)行cors域名列表
          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],
          'Access-Control-Allow-Credentials' => true,
        ]
      ],
    ];
  }
}

重新在www.fq.yii.com發(fā)送 cors 請(qǐng)求，發(fā)現(xiàn)此時(shí)已經(jīng)不存在跨域問題。響應(yīng)頭如下：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

我們會(huì)發(fā)現(xiàn)，Access-Control-Allow-Origin 域的值為http://www.fq.yii.com，剛好為當(dāng)前域名一致，且只有一個(gè)值，并未出現(xiàn)設(shè)置的http://www.d.yii.com值。

同時(shí)，在www.d.yii.com下發(fā)送 cors 請(qǐng)求，也不存在跨域問題。響應(yīng)頭中 Access-Control-Allow-Origin 值為http://www.d.yii.com。

由此可知，Yii2 在控制器行為中設(shè)置 Origin 項(xiàng)，只是一個(gè)域名白名單，而返回的 Access-Control-Allow-Origin 同請(qǐng)求的域名一致且在這個(gè)白名單中，這個(gè) Access-Control-Allow-Origin 由 Yii2 根據(jù)當(dāng)前請(qǐng)求所在域名進(jìn)行了動(dòng)態(tài)處理。

Yii2動(dòng)態(tài)Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors類源碼，如下：

class Cors extends ActionFilter
{
  /**
   * @var array CORS所用的響應(yīng)頭
   */
  public $cors = [
    'Origin' => ['*'],
    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
    'Access-Control-Request-Headers' => ['*'],
    'Access-Control-Allow-Credentials' => null,
    'Access-Control-Max-Age' => 86400,
    'Access-Control-Expose-Headers' => [],
  ];
  
  /**
   * 執(zhí)行action前要做的事
   * @inheritdoc
   */
  public function beforeAction($action)
  {
    $this->request = $this->request ?: Yii::$app->getRequest();
    $this->response = $this->response ?: Yii::$app->getResponse();
    ... ...
    $requestCorsHeaders = $this->extractHeaders();
    //獲取cors所用的響應(yīng)頭
    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
    //設(shè)置cors所用的響應(yīng)頭
    $this->addCorsHeaders($this->response, $responseCorsHeaders);
    return true;
  }
  
  /**
   * 處理cors所用的響應(yīng)頭，動(dòng)態(tài)處理Access-Control-Allow-Origin域
   * @param array $requestHeaders CORS headers we have detected
   * @return array CORS headers ready to be sent
   */
  public function prepareHeaders($requestHeaders)
  {
    $responseHeaders = [];
    //$requestHeaders['Origin']為源地址，請(qǐng)求所在域名
    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
      //源地址在白名單中，則設(shè)置Access-Control-Allow-Origin為源地址
      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {
        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
      }
    }
    ... ...
   }
}

主要思想就是，查看源地址是否在 cors 白名單中，在則設(shè)置 Access-Control-Allow-Origin 域的值為源地址。這樣就能滿足 Access-Control-Allow-Origin 為一個(gè)值的限制，同時(shí)也能允許指定的域名進(jìn)行 cors。

注意：使用該方法請(qǐng)確保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

總結(jié)

通過 Nginx 設(shè)置 Access-Control-Allow-Origin 進(jìn)行 cors，有且只能有一個(gè)特定域名，局限性較大。通過代碼邏輯操作 Access-Control-Allow-Origin 來實(shí)現(xiàn) cors，則比較靈活，能解決多個(gè)域名進(jìn)行 cors 的需求，但是如果接口異常，跨域設(shè)置則會(huì)失效。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: