php跨域问题解决判断
参考文章:
php跨域:https://blog.csdn.net/ouxiaoxian/article/details/89332027
预检请求是什么:https://www.jianshu.com/p/89a377c52b48
什么时候会发送options请求:https://juejin.im/post/5cb3eedcf265da038f7734c4
1.什么是跨域
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。
所谓同源是指,域名,协议,端口均相同,不明白没关系,举个例子:
http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域)
http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域)
http://abc.123.com/index.html 调用 http://def.123.com/server.php (子域名不同:abc/def,跨域)
http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php (端口不同:8080/8081,跨域)
http://www.123.com/index.html 调用 https://www.123.com/server.php (协议不同:http/https,跨域)
请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。
所以有了跨域问题,那怎么解决跨域问题呢?
- (1)代理
例如www.123.com/index.html 需要调用www.456.com/server.php,可以写一个接口www.123.com/server.php,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这就是一个代理的模式。相当于绕过了浏览器端,自然就不存在跨域问题。 - (2)php接口的脚本中加入
//在thinkphp中设置客跨域访问
if (config('app.environment') == 'local') { // 如果是本地环境就允许跨域访问
header('Access-Control-Allow-Origin: *');
//上面第一行说到的Access-Control-Allow-Origin有多种设置方法:
//(1)设置*是最简单粗暴的,但是服务器出于安全考虑,肯定不会这么干,而且,如果是*的话,游览器将不会发送cookies,即使你的XHR设置了withCredentials
//(2) 指定域,如上图中的http://172.20.0.206,一般的系统中间都有一个nginx,所以推荐这种,例如:'Access-Control-Allow-Origin:http://172.20.0.206'
//(3)动态设置为请求域,多人协作时,多个前端对接一个后台,这样很方便
//withCredentials:表示XHR是否接收cookies和发送cookies,也就是说如果该值是false,响应头的Set-Cookie,浏览器也不会理,并且即使有目标站点的cookies,浏览器也不会发送。
header('Access-Control-Allow-Credentials: true'); //是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
//预检请求(参考文章:http://www.php.cn/div-tutorial-378889.html) --- 一般不用设置
//与简单请求不同的是,option请求多了2个字段:
//Access-Control-Request-Method:该次请求的请求方式
//Access-Control-Request-Headers:该次请求的自定义请求头字段
//Access-Control-Max-Age 表明该响应的有效时间为 86400 秒,也就是 24 小时。在有效时间内,浏览器无须为同一请求再次发起预检请求。请注意,浏览器自身维护了一个最大有效时间,如果该首部字段的值超过了最大有效时间,将不会生效
//预检结果缓存时间,也就是上面说到的缓存啦
//'Access-Control-Max-Age: 86400'
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS'); //允许的请求类型
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept"); // 允许的请求头字段
}
if (Request::isOptions()) { // 判断是否为OPTIONS请求
exit; //因为预检请求第一次是发送OPTIONS请求返回了响应头的内容,但没有返回响应实体response body内容。这个我们不处理业务逻辑,第二次接收的get或post等才是实质的请求返回我们才处理
}
}