平常我们遇到跨域问题时,常使用 cors(Cross-origin resource sharin)方式解决。不知你是否注意到,在设置响应头 Access-Control-Allow-Origin 域的值时,只允许设置一个域名,这意味着不能同时设置多个域名来共享资源。而在 Yii2 中直接使用'Origin' => ['http://www.site1.com', 'http://www.site2.com']的形式却可以设置多个 cors 域名值,Why?
其实,Yii2 中采用了动态设置 Access-Control-Allow-Origin 域值的方法来解决这个问题。
说明:测试使用的接口域名api.d.fanhaobai.com,cros 多域名为www.d.yii.com和www.fq.yii.com。
Nginx设置多域名
尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现,如下:
add_header Access-Control-Allow-Origin http://www.fq.yii.com;add_header Access-Control-Allow-Origin http://www.d.yii.com;
接口 请求 和 响应头 如下:
Response HeadersAccess-Control-Allow-Origin: http://www.fq.yii.comAccess-Control-Allow-Origin: http://www.d.yii.comConnection: keep-aliveContent-Type: application/json; charset=UTF-8... ...Request HeadersAccept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Host: api.d.fanhaobai.comOrigin: http://www.fq.yii.comProxy-Connection: keep-alive... ...
当前域为www.fq.yii.com,需跨域请求http://api.d.fanhaobai.com/v1/config/list.json的资源。浏览器抛出如下跨域错误:
XMLHttpRequest cannot load http://api.d.fanhaobai.com/v1/config/list.json. The 'Access-Control-Allow-Origin' header contains multiple values 'http://www.fq.yii.com, http://www.d.yii.com', but only one is allowed. Origin 'http://www.fq.yii.com' is therefore not allowed access.
以上信息明确说明,Access-Control-Allow-Origin 只能设置为一个值,即每次请求只能对应一个域名值。故通过该方法不能设置多域名进行 cors。
Yii2设置多域名
Yii2 设置多域名 cors,只需在对应控制器(ConfigController)中设置 cors 行为,如下:
class BaseController extends Controller{ /** * @inheritdoc */ public function behaviors() { return [ 'corsFilter' => [ 'class' => /yii/filters/Cors::className(), 'cors' => [ //运行cors域名列表 'Origin' => ['http://www.d.yii.com', 'http://www.fq.yii.com'], 'Access-Control-Allow-Credentials' => true, ] ], ]; }}重新在www.fq.yii.com发送 cors 请求,发现此时已经不存在跨域问题。响应头 如下:
新闻热点
疑难解答
