laravel如何开启跨域功能示例详解

前言

本文主要给大家介绍了关于laravel开启跨域功能的相关内容，分享出来供大家参考学习，下面话不多说了，来一起看看详细的介绍吧。

跨域的请求

出于安全性的原因，浏览器会限制 script 中的跨域请求。由于 xmlhttprequest 遵循同源策略，所有使用 xmlhttprequest 构造 http 请求的应用只能访问自己的域名，如果需要构造跨域的请求，那么开发者需要配合浏览器做出一些允许跨域的配置。

w3c 应用工作组推荐了一种跨资源共享的机制，这种机制让 web 应用服务器能支持跨站访问控制，从而使得安全的进行跨站数据传输成为可能，该机制通过几种方式来对原有模式进行了扩展：

• 响应的头部应该追加 access-control-allow-orign，用来表明哪些请求源被允许访问资源内容
• 浏览器会对请求源和响应中的值进行匹配验证
• 对于跨域的请求，浏览器会预发送一个非简单方式的请求，来判断给定资源是否准备接受跨域资源访问
• 服务端应用通过检查请求头部的 orign 来判定请求是否跨域。

跨源资源共享标准

跨源资源共享标准通过新增一系列 http 头，让服务器能声明哪些来源可以通过浏览器访问该服务器上的资源。另外，对哪些会对服务器数据造成破坏性响应的 http 请求方法（特别是 get 以外的 http 方法，或者搭配某些 mime 类型的 post 请求），标准强烈要求浏览器必须先以 options 请求方式发送一个预请求（preflight request），从而获取知服务器端对跨源请求所支持 http 方法。在确认服务器允许跨源请求的情况下，以实际的 http 请求方法发送那个真正的请求。服务器端也可以通知客户端，是不是需要随同请求一起发送信用信息（包括 cookies 和 http 认证相关数据）。

跨源共享标准需要浏览器和服务端共同配合才能完成，目前浏览器厂商已经可以将请求部分自动完成，所以跨源资源访问的重点还是在于服务器端。

下面列出一些标准中可用的响应头和请求头。

response header

• access-control-allow-origin : 指明哪些请求源被允许访问资源，值可以为 "*"，"null"，或者单个源地址。
• access-control-allow-credentials : 指明当请求中省略 creadentials 标识时响应是否暴露。对于预请求来说，它表明实际的请求中可以包含用户凭证。
• access-control-expose-headers : 指明哪些头信息可以安全的暴露给 cors api 规范的 api。
• access-control-max-age : 指明预请求可以在预请求缓存中存放多久。
• access-control-allow-methods : 对于预请求来说，哪些请求方式可以用于实际的请求。
• access-control-allow-headers : 对于预请求来说，指明了哪些头信息可以用于实际的请求中。
• origin : 指明预请求或者跨域请求的来源。
• access-control-request-method : 对于预请求来说，指明哪些预请求中的请求方式可以被用在实际的请求中。
• access-control-request-headers : 指明预请求中的哪些头信息可以用于实际的请求中。

request header

• origin : 表明发送请求或预请求的来源。
• access-control-request-method : 在发送预请求时带该请求头，表明实际的请求将使用的请求方式。
• access-control-request-headers : 在发送预请求时带有该请求头，表明实际的请求将携带的请求头。

中间件

在 laravel 中允许跨域请求，我们可以构建一个追加响应的中间件，用来添加专门处理跨域的请求的响应头:

<?php namespace app\http\middleware;

use closure;
use response;
class enablecrossrequestmiddleware {

 /**
 * handle an incoming request.
 *
 * @param \illuminate\http\request $request
 * @param \closure $next
 * @return mixed
 */
 public function handle($request, closure $next)
 {

 $response = $next($request);
  $response->header('access-control-allow-origin', config('app.allow'));
  $response->header('access-control-allow-headers', 'origin, content-type, cookie, accept');
  $response->header('access-control-allow-methods', 'get, post, patch, put, options');
  $response->header('access-control-allow-credentials', 'true');
  return $response;
 }

}

其中有以下需要注意的地方：

• 对于跨域访问并需要伴随认证信息的请求，需要在 xmlhttprequest 实例中指定 withcredentials 为 true。
• 这个中间件你可以根据自己的需求进行构建，如果需要在请求中伴随认证信息（包含 cookie，session）那么你就需要指定 access-control-allow-credentials 为 true, 因为对于预请求来说如果你未指定该响应头，那么浏览器会直接忽略该响应。
• 在响应中指定 access-control-allow-credentials 为 true 时，access-control-allow-origin 不能指定为 *
• 后置中间件只有在正常响应时才会被追加响应头，而如果出现异常，这时响应是不会经过中间件的。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持。