首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

Yii支持多域名cors原理的实现

Posted in PHP onDecember 05, 2018

平常我们遇到跨域问题时,常使用 cors(Cross-origin resource sharin)方式解决。不知你是否注意到,在设置响应头 Access-Control-Allow-Origin 域的值时,只允许设置一个域名,这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式却可以设置多个 cors 域名值,Why?

Yii支持多域名cors原理的实现

其实,Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。

说明:测试使用的接口域名api.d.fanhaobai.com,cros 多域名为www.d.yii.comwww.fq.yii.com

Nginx设置多域名

尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现,如下:

add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口 请求 和 响应头 如下:

Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...

当前域为www.fq.yii.com,需跨域请求http://api.d.fanhaobai.com/v1/config/list.json的资源。浏览器抛出如下跨域错误:

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明确说明,Access-Control-Allow-Origin 只能设置为一个值,即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。

Yii2设置多域名

Yii2 设置多域名 cors,只需在对应控制器(ConfigController)中设置 cors 行为,如下:

class BaseController extends Controller
{
  /**
   * @inheritdoc
   */
  public function behaviors()
  {
    return [
      'corsFilter' => [
        'class' => \yii\filters\Cors::className(),
        'cors' => [
          //运行cors域名列表
          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],
          'Access-Control-Allow-Credentials' => true,
        ]
      ],
    ];
  }
}

重新在www.fq.yii.com发送 cors 请求,发现此时已经不存在跨域问题。响应头 如下:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

我们会发现,Access-Control-Allow-Origin 域的值为http://www.fq.yii.com,刚好为当前域名一致,且只有一个值,并未出现设置的http://www.d.yii.com值。

同时,在www.d.yii.com下发送 cors 请求,也不存在跨域问题。响应头中 Access-Control-Allow-Origin 值为http://www.d.yii.com

由此可知,Yii2 在控制器行为中设置 Origin 项,只是一个域名白名单,而返回的 Access-Control-Allow-Origin 同请求的域名一致且在这个白名单中,这个 Access-Control-Allow-Origin 由 Yii2 根据当前请求所在域名进行了动态处理。

Yii2动态Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors类源码,如下:

class Cors extends ActionFilter
{
  /**
   * @var array CORS所用的响应头
   */
  public $cors = [
    'Origin' => ['*'],
    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
    'Access-Control-Request-Headers' => ['*'],
    'Access-Control-Allow-Credentials' => null,
    'Access-Control-Max-Age' => 86400,
    'Access-Control-Expose-Headers' => [],
  ];
  
  /**
   * 执行action前要做的事
   * @inheritdoc
   */
  public function beforeAction($action)
  {
    $this->request = $this->request ?: Yii::$app->getRequest();
    $this->response = $this->response ?: Yii::$app->getResponse();
    ... ...
    $requestCorsHeaders = $this->extractHeaders();
    //获取cors所用的响应头
    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
    //设置cors所用的响应头
    $this->addCorsHeaders($this->response, $responseCorsHeaders);
    return true;
  }
  
  /**
   * 处理cors所用的响应头,动态处理Access-Control-Allow-Origin域
   * @param array $requestHeaders CORS headers we have detected
   * @return array CORS headers ready to be sent
   */
  public function prepareHeaders($requestHeaders)
  {
    $responseHeaders = [];
    //$requestHeaders['Origin']为源地址,请求所在域名
    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
      //源地址在白名单中,则设置Access-Control-Allow-Origin为源地址
      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {
        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
      }
    }
    ... ...
   }
}

主要思想就是,查看源地址是否在 cors 白名单中,在则设置 Access-Control-Allow-Origin 域的值为源地址。这样就能满足 Access-Control-Allow-Origin 为一个值的限制,同时也能允许指定的域名进行 cors。

注意:使用该方法请确保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

总结

通过 Nginx 设置 Access-Control-Allow-Origin 进行 cors,有且只能有一个特定域名,局限性较大。通过代码逻辑操作 Access-Control-Allow-Origin 来实现 cors,则比较灵活,能解决多个域名进行 cors 的需求,但是如果接口异常,跨域设置则会失效。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Yii支持多域名cors原理的实现

- Author -

樊浩柏

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
第八节 访问方式 [8]
Oct 09 PHP
不错的一篇面向对象的PHP开发模式(简写版)
Mar 15 PHP
PHP与MySQL开发中页面乱码的产生与解决
Mar 27 PHP
PHP MVC模式在网站架构中的实现分析
Mar 04 PHP
PHP中基本符号及使用方法
Mar 23 PHP
php重定向的三种方法分享
Feb 22 PHP
phpphp图片采集后按原路径保存图片示例
Feb 18 PHP
php无限极分类递归排序实现方法
Nov 11 PHP
php实现文本数据导入SQL SERVER
May 17 PHP
PHP会话操作之cookie用法分析
Sep 28 PHP
CI框架表单验证实例详解
Nov 21 PHP
php中final关键字用法分析
Dec 07 PHP
php判断电子邮件是否正确方法
Dec 04 #PHP
浅谈Laravel核心解读之Console内核
Dec 02 #PHP
Laravel使用scout集成elasticsearch做全文搜索的实现方法
Nov 30 #PHP
用Laravel Sms实现laravel短信验证码的发送的实现
Nov 29 #PHP
php实现每日签到功能
Nov 29 #PHP
PHP序列化的四种实现方法与横向对比
Nov 29 #PHP
PHP中如何使用Redis接管文件存储Session详解
Nov 28 #PHP
黑屏(2) mysqldump(1) Outlook(1) ACID(1) sentinel(1) Mysql8(2) appdata(1) Windows server 2003(1) minio(1) celery(1)
You might like
PHP中数组定义的几种方法
2013/09/01 PHP
PHP将字符串首字母大小写转换的实例
2017/01/21 PHP
xtree.js 代码
2007/03/13 Javascript
javascript 页面只自动刷新一次
2009/07/10 Javascript
传智播客学习之JavaScript基础篇
2009/11/13 Javascript
基于jQuery的简单的列表导航菜单
2011/03/02 Javascript
js将long日期格式转换为标准日期格式实现思路
2013/04/07 Javascript
jQuery实现菜单式图片滑动切换
2015/03/14 Javascript
JavaScript DOM进阶方法
2015/04/13 Javascript
怎么引入(调用)一个JS文件
2016/05/26 Javascript
Bootstrap基本布局实现方法详解
2016/11/25 Javascript
Bootstrap基本插件学习笔记之标签切换(17)
2016/12/08 Javascript
如何提高javascript加载速度
2016/12/26 Javascript
浅谈jQuery框架Ajax常用选项
2017/07/08 jQuery
angular2路由切换改变页面title的示例代码
2017/08/23 Javascript
微信小程序实现锚点功能
2019/11/20 Javascript
vue开发chrome插件,实现获取界面数据和保存到数据库功能
2020/12/01 Vue.js
python使用opencv进行人脸识别
2017/04/07 Python
Python列表删除的三种方法代码分享
2017/10/31 Python
Python3多线程爬虫实例讲解代码
2018/01/05 Python
Python FTP两个文件夹间的同步实例代码
2018/05/25 Python
python 单线程和异步协程工作方式解析
2019/09/28 Python
Python如何输出百分比
2020/07/31 Python
关于h5中的fetch方法解读(小结)
2017/11/15 HTML / CSS
Gina Bacconi官网:吉娜贝康尼连衣裙和礼服
2018/04/24 全球购物
马来西亚在线购物市场:PGMall.my
2019/10/13 全球购物
矫正人员思想汇报
2014/01/08 职场文书
十佳班主任事迹材料
2014/01/18 职场文书
公司大门门卫岗位职责
2014/06/11 职场文书
微笑服务标语
2014/06/24 职场文书
机关干部四风问题自我剖析及整改措施
2014/10/26 职场文书
幼儿园法制宣传日活动总结
2014/11/01 职场文书
群众路线教育实践活动学习笔记内容
2014/11/06 职场文书
2015年党务工作者个人工作总结
2015/10/22 职场文书
go语言中GOPATH GOROOT的作用和设置方式
2021/05/05 Golang
Python机器学习之决策树和随机森林
2021/07/15 Javascript