编程 PHP

Yii支持多域名cors原理的实现

Posted in PHP onDecember 05, 2018

平常我们遇到跨域问题时，常使用 cors（Cross-origin resource sharin）方式解决。不知你是否注意到，在设置响应头 Access-Control-Allow-Origin 域的值时，只允许设置一个域名，这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式却可以设置多个 cors 域名值，Why?

Yii支持多域名cors原理的实现

其实，Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。

说明：测试使用的接口域名api.d.fanhaobai.com，cros 多域名为www.d.yii.com和www.fq.yii.com。

Nginx设置多域名

尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现，如下：

add_header Access-Control-Allow-Origin http://www.fq.yii.com;
add_header Access-Control-Allow-Origin http://www.d.yii.com;

接口请求和响应头如下：

Response Headers
Access-Control-Allow-Origin: http://www.fq.yii.com
Access-Control-Allow-Origin: http://www.d.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

Request Headers
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Host: api.d.fanhaobai.com
Origin: http://www.fq.yii.com
Proxy-Connection: keep-alive
... ...

当前域为www.fq.yii.com，需跨域请求http://api.d.fanhaobai.com/v1/config/list.json的资源。浏览器抛出如下跨域错误：

XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.

以上信息明确说明，Access-Control-Allow-Origin 只能设置为一个值，即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。

Yii2设置多域名

Yii2 设置多域名 cors，只需在对应控制器（ConfigController）中设置 cors 行为，如下：

class BaseController extends Controller
{
  /**
   * @inheritdoc
   */
  public function behaviors()
  {
    return [
      'corsFilter' => [
        'class' => \yii\filters\Cors::className(),
        'cors' => [
          //运行cors域名列表
          'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'],
          'Access-Control-Allow-Credentials' => true,
        ]
      ],
    ];
  }
}

重新在www.fq.yii.com发送 cors 请求，发现此时已经不存在跨域问题。响应头如下：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://www.fq.yii.com
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
... ...

我们会发现，Access-Control-Allow-Origin 域的值为http://www.fq.yii.com，刚好为当前域名一致，且只有一个值，并未出现设置的http://www.d.yii.com值。

同时，在www.d.yii.com下发送 cors 请求，也不存在跨域问题。响应头中 Access-Control-Allow-Origin 值为http://www.d.yii.com。

由此可知，Yii2 在控制器行为中设置 Origin 项，只是一个域名白名单，而返回的 Access-Control-Allow-Origin 同请求的域名一致且在这个白名单中，这个 Access-Control-Allow-Origin 由 Yii2 根据当前请求所在域名进行了动态处理。

Yii2动态Access-Control-Allow-Origin

查看 Yii2 的\yii\filters\Cors类源码，如下：

class Cors extends ActionFilter
{
  /**
   * @var array CORS所用的响应头
   */
  public $cors = [
    'Origin' => ['*'],
    'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
    'Access-Control-Request-Headers' => ['*'],
    'Access-Control-Allow-Credentials' => null,
    'Access-Control-Max-Age' => 86400,
    'Access-Control-Expose-Headers' => [],
  ];
  
  /**
   * 执行action前要做的事
   * @inheritdoc
   */
  public function beforeAction($action)
  {
    $this->request = $this->request ?: Yii::$app->getRequest();
    $this->response = $this->response ?: Yii::$app->getResponse();
    ... ...
    $requestCorsHeaders = $this->extractHeaders();
    //获取cors所用的响应头
    $responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
    //设置cors所用的响应头
    $this->addCorsHeaders($this->response, $responseCorsHeaders);
    return true;
  }
  
  /**
   * 处理cors所用的响应头，动态处理Access-Control-Allow-Origin域
   * @param array $requestHeaders CORS headers we have detected
   * @return array CORS headers ready to be sent
   */
  public function prepareHeaders($requestHeaders)
  {
    $responseHeaders = [];
    //$requestHeaders['Origin']为源地址，请求所在域名
    if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
      //源地址在白名单中，则设置Access-Control-Allow-Origin为源地址
      if (in_array('*', $this->cors['Origin']) || in_array($requestHeaders['Origin'], $this->cors['Origin'])) {
        $responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
      }
    }
    ... ...
   }
}

主要思想就是，查看源地址是否在 cors 白名单中，在则设置 Access-Control-Allow-Origin 域的值为源地址。这样就能满足 Access-Control-Allow-Origin 为一个值的限制，同时也能允许指定的域名进行 cors。

注意：使用该方法请确保 Nginx 配置中未操作 Access-Control-Allow-Origin 域。

总结

通过 Nginx 设置 Access-Control-Allow-Origin 进行 cors，有且只能有一个特定域名，局限性较大。通过代码逻辑操作 Access-Control-Allow-Origin 来实现 cors，则比较灵活，能解决多个域名进行 cors 的需求，但是如果接口异常，跨域设置则会失效。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

Yii支持多域名cors原理的实现

- Author -

樊浩柏

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

基于数据库的在线人数，日访问量等统计

Oct 09 PHP

PHP 5.3新特性命名空间规则解析及高级功能

Mar 11 PHP

phpadmin如何导入导出大数据文件及php.ini参数修改

Feb 18 PHP

如何设置mysql允许外网访问

Jun 04 PHP

深入apache配置文件httpd.conf的部分参数说明

Jun 28 PHP

在CentOS上搭建LAMP+vsftpd环境的简单指南

Aug 01 PHP

ThinkPHP框架搭建及常见问题（XAMPP安装失败、Apache/MySQL启动失败）

Apr 15 PHP

[原创]php实现子字符串位置相互对调互换的方法

Jun 02 PHP

PHP 进度条函数的简单实例

Sep 19 PHP

关于laravel后台模板laravel-admin select框的使用详解

Oct 03 PHP

phpinfo的知识点总结

Oct 10 PHP

PHP程序员简单的开展服务治理架构操作详解(一)

May 14 PHP

php判断电子邮件是否正确方法

Dec 04 #PHP

浅谈Laravel核心解读之Console内核

Dec 02 #PHP

Laravel使用scout集成elasticsearch做全文搜索的实现方法

Nov 30 #PHP

用Laravel Sms实现laravel短信验证码的发送的实现

Nov 29 #PHP

php实现每日签到功能

Nov 29 #PHP

PHP序列化的四种实现方法与横向对比

Nov 29 #PHP

PHP中如何使用Redis接管文件存储Session详解

Nov 28 #PHP

You might like

php xml-rpc远程调用

2008/12/19 PHP

PHP基于mcript扩展实现对称加密功能示例

2019/02/21 PHP

解析arp病毒背后利用的Javascript技术附解密方法

2007/08/06 Javascript

JS 跳转页面延迟2种方法

2013/03/29 Javascript

iframe的父子窗口之间的对象相互调用基本用法

2013/09/03 Javascript

一个简单的全屏图片上下打开显示网页效果示例

2014/07/08 Javascript

JS判断浏览器是否支持某一个CSS3属性的方法

2014/10/17 Javascript

js简单实现Select互换数据的方法

2015/08/17 Javascript

JavaScript中的闭包

2016/02/24 Javascript

搞定immutable.js详细说明

2016/05/02 Javascript

JavaScript 字符串常用操作小结(非常实用)

2016/11/30 Javascript

如何防止INPUT按回车自动提交表单FORM

2016/12/06 Javascript

react-router v4如何使用history控制路由跳转详解

2018/01/09 Javascript

JS实现集合的交集、补集、差集、去重运算示例【ES5与ES6写法】

2019/02/18 Javascript

node.js实现上传文件功能

2019/07/15 Javascript

layui.tree组件的使用以及搜索节点功能的实现

2019/09/26 Javascript

JS+HTML实现自定义上传图片按钮并显示图片功能的方法分析

2020/02/12 Javascript

解决antd datepicker 获取时间默认少8个小时的问题

2020/10/29 Javascript

[46:10]2014 DOTA2国际邀请赛中国区预选赛 CnB VS HGT

2014/05/21 DOTA

[11:42]2018DOTA2国际邀请赛寻真——OG卷土重来

2018/08/17 DOTA

使用python调用浏览器并打开一个网址的例子

2014/06/05 Python

Python的字典和列表的使用中一些需要注意的地方

2015/04/24 Python

Python爬虫 bilibili视频弹幕提取过程详解

2019/07/31 Python

python点击鼠标获取坐标（Graphics）

2019/08/10 Python

python实现提取COCO,VOC数据集中特定的类

2020/03/10 Python

Django中如何用xlwt生成表格的方法步骤

2021/01/31 Python

德国二手设计师时装和复古时装跳蚤市场：Mädchenflohmarkt

2020/11/09 全球购物

数据库方面面试题

2012/04/22 面试题

名词解释型面试题(主要是网络)

2013/12/27 面试题

swtich是否能作用在byte上，是否能作用在long上，是否能作用在String上？

2013/03/30 面试题

Python使用openpyxl复制整张sheet

2021/03/24 Python

《学会待客》教学反思

2014/02/22 职场文书

《月亮湾》教学反思

2014/04/14 职场文书

求职简历自我评价2015

2015/03/10 职场文书

文明和谐家庭事迹材料（2016精选版）

2016/02/29 职场文书

java协程框架quasar和kotlin中的协程对比分析

2022/02/24 Java/Android