인스턴스 분석 laravel 크로스 도메인 기능 활성화 방법

보안상의 이유로 브라우저는 스크립트에서 도메인 간 요청을 제한합니다. XMLHttpRequest는 동일 출처 정책을 따르므로 XMLHttpRequest를 사용하여 HTTP 요청을 생성하는 모든 애플리케이션은 자체 도메인 이름에만 액세스할 수 있습니다. 교차 도메인 요청을 생성해야 하는 경우 개발자는 교차를 허용하는 일부 구성을 만들기 위해 브라우저와 협력해야 합니다. -도메인 요청.

이 글은 주로 Laravel에서 크로스 도메인 기능을 활성화하는 방법에 대해 소개합니다. 샘플 코드를 통해 매우 자세하게 소개되어 있어 모든 사람의 학습이나 업무에 도움이 되기를 바랍니다. 모든 사람.

W3C 애플리케이션 워킹 그룹은 웹 애플리케이션 서버가 사이트 간 액세스 제어를 지원하여 안전한 사이트 간 데이터 전송을 가능하게 하는 교차 리소스 공유 메커니즘을 권장했습니다. 이 메커니즘은 다음과 같은 여러 방법을 사용하여 확장되었습니다.

• 응답 헤더에 Access-Control-Allow-Orign을 추가하여 리소스 콘텐츠에 액세스할 수 있는 요청 소스를 나타내야 합니다.

• 브라우저는 요청 소스와 응답이 일치하는지 확인합니다. 및 확인됨

• 교차 도메인 요청의 경우 브라우저는 주어진 리소스가 교차 도메인 리소스 액세스를 허용할 준비가 되었는지 확인하기 위해 단순하지 않은 요청을 미리 보냅니다.

• 서버 애플리케이션은 요청 헤더 Orign을 확인합니다. 요청이 도메인 간인지 확인합니다.

교차 원본 리소스 공유 표준

교차 원본 리소스 공유 표준은 서버가 브라우저를 통해 서버의 리소스에 액세스할 수 있는 소스를 선언할 수 있도록 일련의 HTTP 헤더를 추가합니다. 또한 서버 데이터에 파괴적인 응답을 발생시키는 HTTP 요청 방법(특히 GET 이외의 HTTP 방법 또는 특정 MIME 유형의 POST 요청)의 경우 표준에서는 브라우저가 먼저 OPTIONS 요청 방법에 사전 설정된 요청을 보내야 한다고 강력히 요구합니다. . 교차 출처 요청에 대해 서버가 지원하는 HTTP 메소드를 얻기 위한 요청(실행 전 요청)입니다. 서버가 Cross-Origin 요청을 허용하는지 확인한 후 실제 HTTP 요청 방식으로 실제 요청을 보냅니다. 또한 서버는 요청과 함께 신용 정보(쿠키 및 HTTP 인증 관련 데이터 포함)를 전송해야 하는지 여부를 클라이언트에게 알릴 수 있습니다.

교차 원본 공유 표준을 완료하려면 브라우저와 서버의 협력이 필요합니다. 현재 브라우저 제조업체는 요청 부분을 자동으로 완료할 수 있으므로 교차 원본 리소스 액세스의 초점은 여전히 ​​서버 측에 있습니다.

아래 목록은 표준에서 사용할 수 있는 일부 응답 헤더와 요청 헤더입니다.

응답 헤더

• Access-Control-Allow-Origin: 리소스에 액세스할 수 있는 요청 소스를 나타냅니다. 값은 "*", "null" 또는 단일 소스 주소일 수 있습니다.

• Access-Control-Allow-Credentials : 요청에서 자격 증명 식별자가 생략된 경우 응답이 노출되는지 여부를 나타냅니다. 사전 요청의 경우 사용자 자격 증명이 실제 요청에 포함될 수 있음을 나타냅니다.

• Access-Control-Expose-Headers : CORS API 사양 API에 안전하게 노출될 수 있는 헤더 정보를 나타냅니다.

• Access-Control-Max-Age: 사전 요청을 사전 요청 캐시에 저장할 수 있는 기간을 지정합니다.

• Access-Control-Allow-Methods: 사전 요청의 경우 실제 요청에 사용할 수 있는 요청 방법입니다.

• Access-Control-Allow-Headers: 사전 요청의 경우 실제 요청에 사용할 수 있는 헤더 정보를 나타냅니다.

• Origin: 사전 요청 또는 교차 도메인 요청의 출처를 나타냅니다.

• Access-Control-Request-Method: 사전 요청의 경우 실제 요청에 사용할 수 있는 사전 요청의 요청 방법을 나타냅니다.

• Access-Control-Request-Headers: 사전 요청의 어떤 헤더 정보가 실제 요청에 사용될 수 있는지 나타냅니다.

요청 헤더

• Origin: 요청 또는 사전 요청을 보낸 소스를 나타냅니다.

• Access-Control-Request-Method: 실제 요청에 사용될 요청 방법을 나타내기 위해 사전 요청을 보낼 때 이 요청 헤더를 가져옵니다.

• Access-Control-Request-Headers: 이 요청 헤더는 사전 요청을 보낼 때 포함되어 실제 요청이 전달할 요청 헤더를 나타냅니다.

Middleware

Laravel에서 도메인 간 요청을 허용하려면 특별히 크로스 도메인 요청을 처리하는 응답 헤더를 추가하기 위해 응답을 추가하는 미들웨어를 구축할 수 있습니다.

<?php namespace App\Http\Middleware;

use Closure;
use Response;
class EnableCrossRequestMiddleware {

 /**
 * Handle an incoming request.
 *
 * @param \Illuminate\Http\Request $request
 * @param \Closure $next
 * @return mixed
 */
 public function handle($request, Closure $next)
 {

 $response = $next($request);
  $response->header('Access-Control-Allow-Origin', config('app.allow'));
  $response->header('Access-Control-Allow-Headers', 'Origin, Content-Type, Cookie, Accept');
  $response->header('Access-Control-Allow-Methods', 'GET, POST, PATCH, PUT, OPTIONS');
  $response->header('Access-Control-Allow-Credentials', 'true');
  return $response;
 }

}

그 중 다음은 다음과 같습니다. 주의 사항:

• 인증 정보가 필요한 교차 도메인 액세스 요청의 경우 XMLHttpRequest 인스턴스에서 withCredentials를 true로 지정해야 합니다.

• 요청에 인증 정보(쿠키, 세션 포함)를 포함해야 하는 경우 필요에 따라 이 미들웨어를 구축할 수 있습니다. 사전에 Access-Control-Allow-Credentials를 true로 지정해야 합니다. -requests 이 응답 헤더를 지정하지 않으면 브라우저가 응답을 무시한다는 의미입니다.

• 응답에서 Access-Control-Allow-Credentials가 true로 지정되면 Access-Control-Allow-Origin은 *

• Post-middleware에서는 정상적으로 응답할 때만 응답 헤더가 추가됩니다. 그리고 예외가 발생하면 응답이 미들웨어를 거치지 않습니다.

관련 추천:

JSONP를 사용하여 도메인 간 데이터를 얻는 세 가지 jQuery 방법

위 내용은 인스턴스 분석 laravel 크로스 도메인 기능 활성화 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!