[JavaScript] 前端跨網域存取問題 (xhr cross-domain request is not allowed)

-
XMLHttpRequest cannot load ... Origin ... is not allowed by Access-Control-Allow-Origin

這個問題常發生在前端程式嘗試以 AJAX (XMLHttpRequest) 方式存取跨網域資源時,因為 Security 的考量,造成 request 發送失敗的情況。


Same Origin Policy

Same Origin Policy 是現代瀏覽器在安全性上的一個重要設計,主要是確保 script 只能在與其載入來源相同的頁面執行,達到不同 origin 網站彼此無法互相干擾。(註: 這裡指的相同 origin 是指 domain name, protocol, port 皆相同)。

對於 XMLHttpRequest 也有類似規範,當 client 端的 JS 對遠端主機發送 XMLHttpRequest 時,因為會挾帶瀏覽器所 maintain 的 cookie 資訊,因此只能對相同 origin 的 resource 進行存取(也就是 AJAX 呼叫的 url 必須與目前所在頁面相同),此限制確保了其存取的安全性。

為什麼需要 Cross-domain 存取?

因為前端技術的快速發展成熟,使得前端與後端之間的分野愈來愈鮮明,前端負責頁面呈現與動態互動,後端負責演算與 API 服務介接,因此在開發這類型網站時,常會整合第三方的服務( e.g. flickr api 取得照片)或重覆利用自己先前開發的後端 API,但這就違反了 Browser 的 Same Origin Policy,因為不論是第三方或先前所開發的服務,通常都與網站位址不相同,所以處理跨網域資源存取的問題是必備的技能。

解決方案

1. AJAX Proxy

屬於 Server 端的解決方案,簡單來說就是將 web server 當成前端瀏覽器與其它第三方伺服器之間溝通的中介,browser 發送 AJAX request 給 server 端 proxy,proxy 再將 request 轉送給第三方服務並取得內容回傳給前端。通常有下列兩種實作策略:

(1) 前端完全不需知道使用什麼第三方服務,只需要存取後端 proxy 提供的方法,ajax proxy 會負責轉送 request 至第三方服務,取得結果並回傳給前端,讓前端有此服務就是後端 server 提供的感覺。

(2) 前端必須知道第三方服務的 url,並在發送 request 時以參數的方式傳遞到後端,後端僅提供一個介面將指定的 url 轉送並負責將結果回傳,這種方法讓開發者有瀏覽器沒有 policy 限制的感覺。

2. JSONP

JSONP = JSON with padding or prefix,第一次聽到 JSONP 時,可能會對它產生誤解,以為是另一種資料格式,但其實 JSONP 是一種避開 Same Origin Policy 發送 cross-domain request 的技巧。

其運作原理是利用 script tag 的 open policy,意思就是 browser 對於載入任何網域的 js native code 沒有限制,藉由這個特性將所需的 json data 以 function call 包起來,而這個 function 是被 execution context 所定義好的,當 js code 被以 script element 的方式 inject 到 html 時,就可以順利將後端資料帶入處理函式,達到跨網域請求資料的目的。

例如:

假如現在 mydomain 需要跟 api.mydomain 取得資料 (jsonp.php),那 jsonp 的實作方式如下

HTML
<script src="http://api.mydomain/jsonp.php?callback=jsonpCallback&id=xxx"></script>
view raw blog_example1.html hosted with ❤ by GitHub
JS
function jsonpCallback(data){
alert(data.msg);
}
view raw blog_josnp_example1.js hosted with ❤ by GitHub
PHP
<?php
header("Content-Type: applicaton/json");
//proccess data query
$data = array("msg"=>$_GET["id"]." is back");
echo $_GET["callback"]."(".json_encode($data).")"
?>
view raw blog_jsonp_example1.php hosted with ❤ by GitHub
透過上述例子可以很簡單的了解 jsonp 的原理,HTML 以 script injection 方式呼叫跨域 API 並帶入參數跟 callback 名稱,後端接到參數後,取出 json 格式的資料,並以 callback 包裝起來回傳給前端,前端因為在 script block 已經定義了該 callback 函式,所以當 native js code 被載入時,會很神奇的把資料塞給處理函式,完成了跨域呼叫。

幸虧了 jQuery ,使用 jsonp 將不再這麼麻煩,要發送跨域請求時只需要在 $.ajax() 代入參數 dataType="jsonp" ,並在 url 加入參數 callback=xxxx 即可,當然後端也必須作相對應的配合 (將資料以傳入的 callback 參數以 function call 型式包裝起來),回傳後 jQuery 會自動將 response data 傳給 success callback,省去自定義 callback 步驟,如下所示:

JS
$.ajax({
url: "http://api.mydomain/jsonp.php?callback=test",
dataType:"jsonp",
success: function(response){
console.log(response);
},
error: function(response){
console.log("error");
}
});
view raw blog_jsonp_jquery.js hosted with ❤ by GitHub

PHP
<?php
header("Content-Type: application/json");
echo $_GET["callback"]."(".json_encode(array("email"=>"nono@gmail.com","auth_token"=>"cdefgh")).")";
?>
view raw blog_jsonp_php.php hosted with ❤ by GitHub

3. CORS

CORS (Cross-Origin Resource Sharing) 是 W3C 針對不同源的 Browser 跟 Server 之間進行構通所制訂的 protocol,其實作原理就是透過兩個 Custom http header (Origin and Access-Control-Allow-Origin) 來確認雙方是否可以成功發送 Request 並回傳,client 端在發送 request 時 (僅限支援 CORS 的 Browser),如果發現請求目標非同一 domain,會自動加入 custom header: Origin 並傳入自己的 domain,而當 Server 接收請求並回傳時,必須加上 "Access-Control-Allow-Origin: http://domain/allowed" 這個 header,帶入的值就是允許跨域請求的白名單,如果是星號 (*) 代表允許全部,如果有安全性考量要避免使用。

上述解法僅限 Simple Request,何謂 Simple request 在 W3C 官網有明確的規範,只要 Client 發送的請求符合下列條件都算是簡單的請求:


  • HTTP method:
    • Head
    • Get
    • Post
  • HTTP headers:
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type: application/x-www-form-urlencode
    • Content-Type: multipart/form-data
    • Content-Type: text/plain


如果請求的內容有超出上述範圍(例如: PUT method, Content-Type: application/json) 就必須用另外的處理方法,但礙於篇幅,有機會再獨立寫一篇文章介紹。最後再以一個簡單的例子示範 CORS 用法:

JS (只需要簡單發送一個跨域的 AJAX 請求)
//assume origin domain = http://www.mydomain
$.ajax({
url: "http://api.mydomain/api.php",
success: function(response){
console.log(response);
}
});
view raw blog_example_cors.js hosted with ❤ by GitHub
PHP (回傳允許跨域存取的HEADER)
<?php
header("Access-Control-Allow-Origin: http://www.mydomain");
header("Content-Type: application/json");
echo json_encode(array("msg"=>"CORS is awesome!"));
?>
view raw blog_example_cors.php hosted with ❤ by GitHub
總結

上述三種方法都可以用來解決 xhr cross domain access 的問題,但不同解法有不同限制,像是 jsonp 與 cors 需要 response 端的配合,如果是第三方服務且沒有支援這兩種方法的情況可能使用 proxy 才可能解決問題,或是考慮服務所支援的瀏覽器是否皆有實作 cors…等等,都是採用哪種方法所要考量的。

留言

張貼留言

這個網誌中的熱門文章

【海外婚紗】道具行李篇

-
圖片
出發前一直在煩惱到底行李要買多重, 上網找了老半天發現沒什麼人分享海外婚紗的行李重量跟攜帶情形, 所以分享完海外婚紗的攝影跟造型後,決定來分享一下這趟的道具跟行囊。 這次因為要在京都租和服,雖然和服店也有出租紙傘的服務,但聽說很貴, 我記得租一把要幾千日圓,而且如果下雨就不得租借, 所以索性上淘寶買,發現和服店的紙傘款式都跟淘寶一樣 XD 不過帶紙傘有個缺點,收到後我才知道傘柄居然這麼長😣 塞行李塞的有點困難,需要用 30 吋行李箱,然後呈現對角的方式斜擺才塞的下, 所以建議如果跟淘寶買可以請賣家把傘柄鋸短一點。 果然和服就是要配紙傘阿~超搭! 再來大推的是這款厚底鞋,本來很擔心淘寶的品質,怕第一天就穿壞, 所以還一次買兩雙都帶去,結果果然是我多慮,這超級好穿的!穿上立馬增高12cm 對於我們這種矮子新娘,裙底下一定要必備一雙! 兩天幾乎都穿著這個拍照跟走跳, 健步如飛到連造型師很疑惑的一直問說腳真的都不會痠嗎? 真的很厲害,很耐穿~根本買一雙就夠了,多買的那雙只好到批踢踢推文區去賣了 XD 蕾絲傘因為看到兩把都很美,就忍不住全敗然後還全帶去, 雖然拍照也只用到了一把QQ 不過質感真的很好,所以也很猶豫到底要不要轉賣掉,不過朋友都說我留著這個幹嘛? 當然是留念囉 🙉 這個淘寶的燈泡因為拍攝時間不夠,沒派上用場 QQ 不過下面這條紅布是我回嘉義的布店剪的,一條才 100多左右 , 主要是想要墊在和服下面,跪著拍照, 一開始大家都很傻眼我拿出這條紅布要跪在上面拍, 沒想到拍出來效果真的很好啊~好險我沒有因為丟臉而放棄 XD 這條黑頭紗是淘寶看到便宜就買的,想說可以搭配我那件黑紗, 結果攝影師說不用,只好再帶回來,給我家小公主戴過過乾癮了😭 因為之前去日本自由行都有製作旅遊書的習慣,所以這次就把這些書都帶來, 然後用繩子跟夾子,製作出拍立得照片的效果, 不過書實在太重,後面要黏滿膠帶才不會掉下來 我掏出這個說要拍攝時,攝影師好像也是傻眼了一下 XD 而且書一直快掉快掉的,其實拍的很緊張 淘寶的捧花居然也比想像中的有質感,陷入選擇障礙的我決定三束都帶去, 結果只用...
閱讀完整內容

[Android] 內部儲存體(Internal Storage)的檔案系統讀寫(File I/O)

-
在開發App過程中常常遇到需要保存Device端資訊的狀況,最常見的就是使用者設定或是遊戲的進度…等。Android SDK提供了很多方法來進行資料儲存,包含了:Shared Preferences、Internal Storage、External Storage、SQLite與Network。 Shared Preferences提供了Key-pair的儲存型式,可以寫入primitive type資料;Internal、External Storage則將資料寫入Device端的內(外)部儲存體;SQLite是以local端小型資料庫型式儲存資料,可以使用一般資料庫query的方式取得資料;最後是Network則是將資料儲存在遠端,需要時再以Network connection取得。本文將針對Internal Storage的檔案系統使用進行說明:
閱讀完整內容