编程 PHP

Yii支持多域名cors原理的实现

Posted in PHP onDecember 05, 2018

平常我们遇到跨域问题时，常使用 cors（Cross-origin resource sharin）方式解决。不知你是否注意到，在设置响应头 Access-Control-Allow-Origin 域的值时，只允许设置一个域名，这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式却可以设置多个 cors 域名值，Why?

Yii支持多域名cors原理的实现

其实，Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。

说明：测试使用的接口域名api.d.fanhaobai.com，cros 多域名为www.d.yii.com和www.fq.yii.com。

Nginx设置多域名

尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现，如下：

add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口请求和响应头如下：

Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...

当前域为www.fq.yii.com，需跨域请求http://api.d.fanhaobai.com/v1/config/list.json的资源。浏览器抛出如下跨域错误：

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明确说明，Access-Control-Allow-Origin 只能设置为一个值，即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。

Yii2设置多域名

Yii2 设置多域名 cors，只需在对应控制器（ConfigController）中设置 cors 行为，如下：

class BaseController extends Controller
{
  /**
   * @inheritdoc
   */
  public function behaviors()
  {
    return [
      'corsFilter' => [
        'class' => \yii\filters\Cors::className(),
        'cors' => [
          //运行cors域名列表
          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],
          'Access-Control-Allow-Credentials' => true,
        ]
      ],
    ];
  }
}

重新在www.fq.yii.com发送 cors 请求，发现此时已经不存在跨域问题。响应头如下：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

我们会发现，Access-Control-Allow-Origin 域的值为http://www.fq.yii.com，刚好为当前域名一致，且只有一个值，并未出现设置的http://www.d.yii.com值。

同时，在www.d.yii.com下发送 cors 请求，也不存在跨域问题。响应头中 Access-Control-Allow-Origin 值为http://www.d.yii.com。

由此可知，Yii2 在控制器行为中设置 Origin 项，只是一个域名白名单，而返回的 Access-Control-Allow-Origin 同请求的域名一致且在这个白名单中，这个 Access-Control-Allow-Origin 由 Yii2 根据当前请求所在域名进行了动态处理。

Yii2动态Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors类源码，如下：

class Cors extends ActionFilter
{
  /**
   * @var array CORS所用的响应头
   */
  public $cors = [
    'Origin' => ['*'],
    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
    'Access-Control-Request-Headers' => ['*'],
    'Access-Control-Allow-Credentials' => null,
    'Access-Control-Max-Age' => 86400,
    'Access-Control-Expose-Headers' => [],
  ];
  
  /**
   * 执行action前要做的事
   * @inheritdoc
   */
  public function beforeAction($action)
  {
    $this->request = $this->request ?: Yii::$app->getRequest();
    $this->response = $this->response ?: Yii::$app->getResponse();
    ... ...
    $requestCorsHeaders = $this->extractHeaders();
    //获取cors所用的响应头
    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
    //设置cors所用的响应头
    $this->addCorsHeaders($this->response, $responseCorsHeaders);
    return true;
  }
  
  /**
   * 处理cors所用的响应头，动态处理Access-Control-Allow-Origin域
   * @param array $requestHeaders CORS headers we have detected
   * @return array CORS headers ready to be sent
   */
  public function prepareHeaders($requestHeaders)
  {
    $responseHeaders = [];
    //$requestHeaders['Origin']为源地址，请求所在域名
    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
      //源地址在白名单中，则设置Access-Control-Allow-Origin为源地址
      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {
        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
      }
    }
    ... ...
   }
}

主要思想就是，查看源地址是否在 cors 白名单中，在则设置 Access-Control-Allow-Origin 域的值为源地址。这样就能满足 Access-Control-Allow-Origin 为一个值的限制，同时也能允许指定的域名进行 cors。

注意：使用该方法请确保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

总结

通过 Nginx 设置 Access-Control-Allow-Origin 进行 cors，有且只能有一个特定域名，局限性较大。通过代码逻辑操作 Access-Control-Allow-Origin 来实现 cors，则比较灵活，能解决多个域名进行 cors 的需求，但是如果接口异常，跨域设置则会失效。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

Yii支持多域名cors原理的实现

- Author -

樊浩柏

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

很好用的PHP数据库类

May 27 PHP

MySQL连接数超过限制的解决方法

Jul 17 PHP

解析thinkphp中的M()与D()方法的区别

Jun 22 PHP

php通过字符串调用函数示例

Mar 02 PHP

PHP的Socket通信之UDP通信实例

Jul 02 PHP

项目中应用Redis+Php的场景

May 22 PHP

PHP实现支付宝即时到账功能

Dec 21 PHP

PHP操作MySQL中BLOB字段的方法示例【存储文本与图片】

Sep 15 PHP

PHP操作MongoDB实现增删改查功能【附php7操作MongoDB方法】

Apr 24 PHP

Laravel框架模板继承操作示例

Jun 11 PHP

Yii框架ACF(accessController)简单权限控制操作示例

Apr 26 PHP

PHP 多进程与信号中断实现多任务常驻内存管理实例方法

Oct 04 PHP

php判断电子邮件是否正确方法

Dec 04 #PHP

浅谈Laravel核心解读之Console内核

Dec 02 #PHP

Laravel使用scout集成elasticsearch做全文搜索的实现方法

Nov 30 #PHP

用Laravel Sms实现laravel短信验证码的发送的实现

Nov 29 #PHP

php实现每日签到功能

Nov 29 #PHP

PHP序列化的四种实现方法与横向对比

Nov 29 #PHP

PHP中如何使用Redis接管文件存储Session详解

Nov 28 #PHP

You might like

php的日期处理函数及uchome的function_coomon中日期处理函数的研究

2011/01/12 PHP

Laravel 5框架学习之子视图和表单复用

2015/04/09 PHP

php上传图片获取路径及给表单字段赋值的方法

2016/01/23 PHP

自动最大化窗口的Javascript代码

2013/05/22 Javascript

子窗体与父窗体传值示例js代码

2013/08/01 Javascript

js获得页面的高度和宽度的方法

2014/02/23 Javascript

jquery实现鼠标悬浮停止轮播特效

2020/08/20 Javascript

JavaScript中的操作符类型转换示例总结

2016/05/30 Javascript

canvas知识总结

2017/01/25 Javascript

js实现移动端编辑添加地址【模仿京东】

2017/04/28 Javascript

layui文件上传实现代码

2017/05/20 Javascript

详解前后端分离之VueJS前端

2017/05/24 Javascript

TypeScript类型声明书写详解

2019/08/28 Javascript

Node.js+Vue脚手架环境搭建的方法步骤

2020/03/08 Javascript

带你使用webpack快速构建web项目的方法

2020/11/12 Javascript

Python内置函数Type()函数一个有趣的用法

2015/02/18 Python

Python脚本实现代码行数统计代码分享

2015/03/10 Python

tensorflow 中对数组元素的操作方法

2018/07/27 Python

python 使用plt画图,去除图片四周的白边方法

2019/07/09 Python

Python空间数据处理之GDAL读写遥感图像

2019/08/01 Python

Python FTP文件定时自动下载实现过程解析

2019/11/12 Python

pycharm双击无响应(打不开问题解决办法)

2020/01/10 Python

对tensorflow中cifar-10文档的Read操作详解

2020/02/10 Python

使用TensorFlow直接获取处理MNIST数据方式

2020/02/10 Python

tensorflow安装成功import tensorflow 出现问题

2020/04/16 Python

使用PyWeChatSpy自动回复微信拍一拍功能的实现代码

2020/07/02 Python

阿玛尼化妆品美国官网：Giorgio Armani Beauty

2017/02/02 全球购物

美国在线印刷公司：PsPrint

2017/10/12 全球购物

大学生自我鉴定范文

2013/12/28 职场文书

渔夫的故事教学反思

2014/02/14 职场文书

写给老婆的检讨书

2014/02/21 职场文书

户外活动策划方案

2014/03/12 职场文书

绿化工程实施方案

2014/03/17 职场文书

MySQL 如何分析查询性能

2021/05/12 MySQL

手把手教你实现PyTorch的MNIST数据集

2021/06/28 Python

攻略丨滑雪究竟该选哪款对讲机？

2022/02/18 无线电