什么是AJAX?
AJAX 是无需刷新页面就能够从服务器去的数据的一种方法,负责Ajax运作的核心对象是XMLHttpRequest(XHR)对象。
同源策略是对XHR的一个主要约束,它为通信设置了“相同的域、相同的端口、相同的协议”这一限制。
试图访问上述限制之外的资源都会引发安全错误,除非采用被认可的跨域解决方案。
这个方案叫做CORS(Cross-Origin Resource Sharing)跨源资源共享。
哪些访问属于跨域?
http://a.com 不允许访问 http://b.com(不同域)
http://a.com 不允许访问 https://a.com(同一域名,不同协议)
http://a.com 不允许访问 http://a.com:8080(同一域名,不同端口)
http://a.com 不允许访问 http://192.168.1.1(域名和域名对应的ip)
http://a.a.com 不允许访问 http://b.a.com(主域相同,子域不同)
三种解决方案:
方案一:
//弊端:存在浏览器兼容的问题
需要被请求方的服务端设置: Access-Control-Allow-Origin
切记:Access-Control-Allow-Origin 不可设置为 * ,设置为可访问的域名。
//设置可供访问的白名单 $white_list = ['http://cdn.abc.com','http://abc.com']; $_SERVER['HTTP_ORIGIN'] //表示请求方的域名 $http_origin = ''; if (!empty($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'],$white_list)) { $http_origin = $_SERVER['HTTP_ORIGIN']; //设置 header 信息 header("Access-Control-Allow-Origin: {$http_origin}"); header("Access-Control-Allow-Methods","POST,GET"); header('Access-Control-Allow-Credentials:true'); //允许访问Cookie header('Access-Control-Allow-Headers : X-Requested-With'); //设置Headers } //执行代码逻辑...
<Meta http-equiv="Access-Control-Allow-Origin" content="*">
方案二:
//弊端:不支持 POST 请求。
方案三:
与方案一类似。
//Nginx http { ...... add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; ...... } Apache : <Directory /> ...... Header set Access-Control-Allow-Origin * </Directory>
大家可以根据自己的情况进行选择方案。
来源:http://mp.weixin.qq.com/s?__b...
Thanks ~
AD: