第七章在 REST 服务中支持 CORS

手机游戏开发者 · 2024-9-3 15:43:12

第七章在 REST 服务中支持 CORS

概述

本节提供 CORS 的概述以及怎样在 IRIS REST 服务中启用 CORS 的概述。
CORS 简介

跨域资源共享 (CORS) 允许在另一个域中运行的脚本访问服务。
通常，当欣赏器从一个域运行脚本时，它允许对同一个域举行 XMLHttpRequest 调用，但在对另一个域举行调用时不允许它们。此欣赏器运动限定或人创建可滥用机密数据的恶意脚本。恶意脚本大概允许用户利用授予用户的权限访问另一个域中的信息，但随后在用户不知道的环境下，将机密信息用于其他用途。为了避免这种安全标题，欣赏器一样寻常不允许这种跨域调用。
在倒霉用跨域资源共享 (CORS) 的环境下，具有访问 REST 服务的脚本的网页通常必须与提供 REST 服务的服务器位于同一域中。在某些环境中，将带有脚本的网页与提供 REST 服务的服务器放在差异的域中是很有效的。 CORS 支持这种安排。
下面提供了欣赏器怎样利用 CORS 处理处罚 XMLHttpRequest 的简化形貌：

域 DomOne 中的网页中的脚本包罗对 DomTwo 域中的IRIS REST 服务的 XMLHttpRequest。 XMLHttpRequest 具有 CORS 的自界说标头。
用户查察此网页并运行脚本。用户的欣赏器检测到与包罗网页的域差异的域的 XMLHttpRequest。
用户的欣赏器向 IRIS REST 服务发送一个特别哀求，该哀求指示 XMLHttpRequest 的 HTTP 哀求方法和原始网页的域，在本示例中为 DomOne。
如果哀求被允许，则相应包罗哀求的信息。否则，相应仅包罗指示 CORS 不允许哀求的标头。

启用 REST 服务以支持 CORS 的概述

默认环境下，REST 服务不允许 CORS 标头。但是，可以启用 CORS 支持。在 REST 服务中启用对 CORS 的支持有两个部分：

启用 REST 服务以担当部分或全部 HTTP 哀求的 CORS 标头。。
编写代码，使 REST 服务查抄 CORS 哀求并决定是否继承。比方，可以提供一个允许列表，此中包罗仅包罗受信托脚本的域。 IRIS 为文档目的提供了一个简单的默认实现；此默认实现允许任何 CORS 哀求。

紧张提示：默认 CORS 标头处理处罚不实用于处理处罚机密数据的 REST 服务。
担当 CORS 标头

要指定 REST 服务担当 CORS 标头：

修改规范类以包罗 HandleCorsRequest 参数。

要为全部调用启用 CORS 标头处理处罚，请将 HandleCorsRequest 参数指定为 1：

第七章在 REST 服务中支持 CORS

所属分类: 问答交流

新帖推荐: 30日

推荐作品

第七章 在 REST 服务中支持 CORS

所属分类: 问答交流

新帖推荐: 30日

推荐作品

第七章在 REST 服务中支持 CORS