Yii支持多域名cors原理的实现-侯体宗的博客

Yii支持多域名cors原理的实现
Redis / 管理员发布于 5年前 203

平常我们遇到跨域问题时，常使用 cors（Cross-origin resource sharin）方式解决。不知你是否注意到，在设置响应头 Access-Control-Allow-Origin 域的值时，只允许设置一个域名，这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式却可以设置多个 cors 域名值，Why?

其实，Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。

说明：测试使用的接口域名api.d.fanhaobai.com，cros 多域名为www.d.yii.com和www.fq.yii.com。

Nginx设置多域名

尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现，如下：

add_header Access-Control-Allow-Origin http://www.fq.yii.com;add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口请求和响应头如下：

Response HeadersAccess-Control-Allow-Origin: http://www.fq.yii.comAccess-Control-Allow-Origin: http://www.d.yii.comConnection: keep-aliveContent-Type: application/json; ... ...Request HeadersAccept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Host: api.d.fanhaobai.comOrigin: http://www.fq.yii.comProxy-Connection: keep-alive... ...

当前域为www.fq.yii.com，需跨域请求http://api.d.fanhaobai.com/v1/config/list.json的资源。浏览器抛出如下跨域错误：

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明确说明，Access-Control-Allow-Origin 只能设置为一个值，即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。

Yii2设置多域名

Yii2 设置多域名 cors，只需在对应控制器（ConfigController）中设置 cors 行为，如下：

class BaseController extends Controller{  /**   * @inheritdoc   */  public function behaviors()  {    return [      'corsFilter' => [        'class' => \yii\filters\Cors::className(),        'cors' => [          //运行cors域名列表          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],          'Access-Control-Allow-Credentials' => true,        ]      ],    ];  }}

重新在www.fq.yii.com发送 cors 请求，发现此时已经不存在跨域问题。响应头如下：

Access-Control-Allow-Credentials: trueAccess-Control-Allow-Origin: http://www.fq.yii.comConnection: keep-aliveContent-Type: application/json; charset=UTF-8... ...

我们会发现，Access-Control-Allow-Origin 域的值为http://www.fq.yii.com，刚好为当前域名一致，且只有一个值，并未出现设置的http://www.d.yii.com值。

同时，在www.d.yii.com下发送 cors 请求，也不存在跨域问题。响应头中 Access-Control-Allow-Origin 值为http://www.d.yii.com。

由此可知，Yii2 在控制器行为中设置 Origin 项，只是一个域名白名单，而返回的 Access-Control-Allow-Origin 同请求的域名一致且在这个白名单中，这个 Access-Control-Allow-Origin 由 Yii2 根据当前请求所在域名进行了动态处理。

Yii2动态Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors类源码，如下：

class Cors extends ActionFilter{  /**   * @var array CORS所用的响应头   */  public $cors = [    'Origin' => ['*'],    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],    'Access-Control-Request-Headers' => ['*'],    'Access-Control-Allow-Credentials' => null,    'Access-Control-Max-Age' => 86400,    'Access-Control-Expose-Headers' => [],  ];    /**   * 执行action前要做的事   * @inheritdoc   */  public function beforeAction($action)  {    $this->request = $this->request ?: Yii::$app->getRequest();    $this->response = $this->response ?: Yii::$app->getResponse();    ... ...    $requestCorsHeaders = $this->extractHeaders();    //获取cors所用的响应头    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);    //设置cors所用的响应头    $this->addCorsHeaders($this->response, $responseCorsHeaders);    return true;  }    /**   * 处理cors所用的响应头，动态处理Access-Control-Allow-Origin域   * @param array $requestHeaders CORS headers we have detected   * @return array CORS headers ready to be sent   */  public function prepareHeaders($requestHeaders)  {    $responseHeaders = [];    //$requestHeaders['Origin']为源地址，请求所在域名    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {      //源地址在白名单中，则设置Access-Control-Allow-Origin为源地址      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];      }    }    ... ...   }}

主要思想就是，查看源地址是否在 cors 白名单中，在则设置 Access-Control-Allow-Origin 域的值为源地址。这样就能满足 Access-Control-Allow-Origin 为一个值的限制，同时也能允许指定的域名进行 cors。

注意：使用该方法请确保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

总结

通过 Nginx 设置 Access-Control-Allow-Origin 进行 cors，有且只能有一个特定域名，局限性较大。通过代码逻辑操作 Access-Control-Allow-Origin 来实现 cors，则比较灵活，能解决多个域名进行 cors 的需求，但是如果接口异常，跨域设置则会失效。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

您可能感兴趣的文章:

Yii2实现多域名跨域同步登录退出
Yii2下session跨域名共存的解决方案
Yii获取当前url和域名的方法
YII模块实现绑定二级域名的方法

上一条：
TP5(thinkPHP5)框架mongodb扩展安装及特殊操作示例
下一条：
使用swoole扩展php websocket示例

0条评论 (评论内容有缓存机制,请悉知!)

最新最热

相关文章
在Redis中能实现的功能、常见应用介绍(0个评论)
2024年Redis面试题之一(0个评论)
在redis缓存常见出错及解决方案(0个评论)
在redis中三种特殊数据类型：地理位置、基数（cardinality）估计、位图（Bitmap）使用场景介绍浅析(2个评论)
Redis 删除 key用 del 和 unlink 有啥区别？(1个评论)

近期文章
在go中实现一个常用的先进先出的缓存淘汰算法示例代码(0个评论)
在go+gin中使用"github.com/skip2/go-qrcode"实现url转二维码功能(0个评论)
在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(0个评论)
gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
欧盟关于强迫劳动的规定的官方举报渠道及官方举报网站(0个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf文件功能(0个评论)
Laravel从Accel获得5700万美元A轮融资(0个评论)
在go + gin中gorm实现指定搜索/区间搜索分页列表功能接口实例(0个评论)
在go语言中实现IP/CIDR的ip和netmask互转及IP段形式互转及ip是否存在IP/CIDR(0个评论)

近期评论
122 在
学历：一种延缓就业设计，生活需求下的权衡之选中评论工作几年后，报名考研了，到现在还没认真学习备考，迷茫中。作为一名北漂互联网打工人..
123 在
Clash for Windows作者删库跑路了，github已404中评论按理说只要你在国内，所有的流量进出都在监控范围内，不管你怎么隐藏也没用，想搞你分..
原梓番博客在
在Laravel框架中使用模型Model分表最简单的方法中评论好久好久都没看友情链接申请了，今天刚看，已经添加。..
博主在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了，可以看看近期评论的其他文章..
1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论网站不能打开，博主百忙中能否发个APP下载链接，佛跳墙或极光..

Top