跨源資源共享 Cross Origin Resource Sharing CORS
網路科技 作者: Larry

網站的跨源資源共享 Cross-Origin Resource Sharing (CORS)

商業,創業,美食,葡萄酒,閱讀,網路科技。

這是我的 FB粉專 以及 IG,我比較常使用 Threads,歡迎大家追蹤互動~

原文及圖片來源
https://developer.mozilla.org/zh-TW/docs/HTTP/Access_control_CORS

上面是一篇很好關於跨源資源共享 Cross-Origin Resource Sharing (以下簡稱 CORS) 的文章,我喜歡它把 request/response http header 完整列出來的部分。

https://developer.mozilla.org/zh-TW/docs/Web/Security/Same-origin_policy
目前網路協定走的是 Same-origin policy,兩個網頁 scheme, hostname, port 都相同,就算 same-origin,彼此可以存取資源 (例如圖片、CSS、JS)。scheme, hostname, port 只要有一不同,sub-domain 不同,就算 cross-origin,如需存取資源,要特別處理。

這個連結有 App Engine 如何將 Access-Control-Allow-Origin 加入 config file:
https://cloud.google.com/appengine/docs/python/config/appconfig

Google Cloud Storage 的 CORS 文件:
https://cloud.google.com/storage/docs/cross-origin

“The client (e.g., browser) checks this response header to verify that the domain in the response matches the domain specified in original request, and if these match, the request proceeds.”

所以對照 Origin 的工作是在 browser 在接到 response header 後發生,而不是在 server 端判斷。跨源資源共享 (CORS) 時,可以在 server handler 裡用程式碼判斷,將允許的 Origin 加上 Access-Control-Allow-Origin,甚至每個 sub url 可以加上不同的 access control。以 webapp2 框架來說,語法為:

self.response.headers.add('Access-Control-Allow-Origin', your_url)

跨源存取資源分兩種,上方是 簡單請求 (simple requests)。

如果 HTTP method 不是 GET, POST, HEAD,或是非一般簡單 Content-Type。例如 HTTP method 是 PUT, DELETE,Content-Type 是 application/xml,則需要用 預檢請求 (preflighted requests)。

預檢請求會先以 HTTP OPTIONS method 詢問 server,哪些 method 允許,哪些標頭允許。收到允許後,再實際去存取資源,所以是兩段式的流程。

下面例子是一個自定義標頭 (X-PINGOTHER),和一個非簡單 Content-Type 的跨源請求,server 端的處理方式,以 webapp2 框架來說:

def options(self):
    self.response.headers.add('Access-Control-Allow-Origin', your_url)
    self.response.headers.add('Access-Control-Allow-Headers', 'X-PINGOTHER, Content-Type')

def post(self):
    self.response.headers.add('Access-Control-Allow-Origin', your_url)

也就是藉由 OPTIONS method 先確定哪個 Origin 可以存取主機資源,哪些自定義或非簡單標頭,主機可以接受。Preflight 通過了,才能執行主要 Get / Post request。

以上藉由 Google App Engine 走一遍 跨源資源共享 的觀念和實作。也許讀者的開發環境不是 App Engine 或是 Python,可以再看一下上面 MDN 的文件,是一篇很好關於 CORS 的文章。

延伸閱讀

same-origin cross-origin SameSite cookie如何判斷網站的 same-origin/cross-origin,same-site/cross-site,SameSite 與 cookie 的再探討 餐廳 外帶 外送 點餐系統 客製系統疫情三級警戒下餐廳的外帶外送,從系統廠商的角度來看,市面上點餐系統的流程設計 Interop 2022 Chrome Safari Edge Firefox 瀏覽器 相容性從 Compat 2021 到 Interop 2022,史上第一次所有的主流瀏覽器,合作解決相容性的問題 Nginx rewrite 轉址 return 301 redirect什麼是 Nginx rewrite?轉址的機制,與 return 301 或 redirect 的差別在哪?

商業,創業,美食,葡萄酒,閱讀,網路科技。

這是我的 FB粉專 以及 IG,我比較常使用 Threads,歡迎大家追蹤互動~

台北東區美食
信義區美食
中山區美食
捷運中山站美食
葡萄酒
牛排
火鍋麻辣鍋
日本料理
日式燒肉
法式料理
義式料理
甜點飲料
數位行銷系列
Google Analytics
Google Ads
SEO
網路科技
創業經營
職涯發展
讀書筆記
時事觀察
自媒體經營