之前做了一个公司的内部管理系统,现在希望通过在钉钉上开发一个小应用查看相关数据,在此过程中涉及了HTTP的跨域请求的问题,在了解相关信息后,打算基于CORS实现。关于CORS(跨域资源共享),见这篇文章。
CORS中,对于简单请求,只需在服务器进行相关的字段验证后进行响应即可,主要是验证请求的来源及请求的方法等是否是服务器许可的。
而对于复杂请求,则浏览器会先发送一个options请求到服务器进行验证,验证通过后,再发送用户的请求。再options请求中,服务器会返回允许的请求源、请求方法及头部字段等。
对于CORS在Laravel中的实现需要在项目中加入一个中间件Cors,
<?php
namespace App\Http\Middleware;
use Closure;
class Cors
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, Closure $next)
{
header("Access-Control-Allow-Origin: *");
$headers = [
'Access-Control-Allow-Methods'=> 'POST, GET, OPTIONS, PUT, DELETE',
'Access-Control-Allow-Headers'=> 'Content-Type, X-Auth-Token, Origin'
];
$response = $next($request);
foreach($headers as $key => $value)
$response->header($key, $value);
return $response;
}
}对于简单请求,比如get请求,在路由中加入该中间件即可。
但对于复杂请求,则处理不了。(根据文档,POST请求满足某些条件是才是复杂请求,但不知道为何,我发出的POST请求都是复杂请求,即浏览器首先会触发一次options请求,再提交客户的实际请求)。
对于只是采取与简单请求相同的方法,则对于复杂请求无法正确响应。
以下是GET请求的请求-响应信息:
以下是POST请求的响应:
可见POST请求中,浏览器先进行了OPTIONS请求,但该请求的响应中,并没有GET响应中的
Access-Control-Allow-Headers:Content-Type, X-Auth-Token, Origin
Access-Control-Allow-Methods:POST, GET, OPTIONS, PUT, DELETE
Access-Control-Allow-Origin:*等跨域控制字段。
通过查询资料,Laravel对于OPTIONS请求会自动常规响应200。所以缺少必要的头部信息。
所以,我通过在路由中专门加入一个处理options的路由
Route::options('cors/test',function(){
return response('ok')
->header('Access-Control-Allow-Methods','POST, GET, OPTIONS, PUT, DELETE')
->header('Access-Control-Allow-Headers','Content-Type, X-Auth-Token, Origin');
})->middleware('cors');即保证了OPTIONS响应了必要的头部信息。
但该方法需要关闭Laravel中相应路由的CSRF功能,具体在AppHttpMiddlewareVerifyCsrfToken添加
protected $except = [
'cors/*'
];虽然解决了问题,但对于其中的很多细节还是不了解,需要进一步学习。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。