跨域CORS 带Cookie传递,在nodejs + express中的具体实现

分类：服务器| 发布：佚名| 查看：1728 | 发表时间：2015/5/5

CORS(跨来源资源共享协议)，高级浏览器(Chrome,firefox, opera, safir, ie10)在 XMLHttpRequest(AJAX) 中已经支持了这个协议。可以实现ajax跨域访问。（其实IE8也实现了，只不过是另外一个对象）

由于是跨来源的的访问，标识HTTP状态的Cookie的使用有一些特别处理。

Server Nodejs 代码

1res.setHeader('Access-Control-Allow-Origin', req.headers.origin);//注意这里不能使用 * 
2res.setHeader('Access-Control-Allow-Credentials', true);//告诉客户端可以在HTTP请求中带上Cookie
3res.setHeader('Access-Control-Allow-Methods', 'POST, GET, PUT, DELETE, OPTIONS');

浏览器中 JS 代码

1var xhr = new XMLHttpRequest();
2xhr.open("post", "xxx/xxx", true);
3xhr.withCredentials = true;//放在 open 方法后面比较靠谱
4xhr.onload = function(){}
5xhr.send("a=1&b=2");　　

CORS + Cookie 在nodejs + express 中的实现。

做一个/getInfo 的ajax接口。

浏览器会先发送一个 options请求验证权限，最后再完成真的业务请求。

01//首先做一个 options 的请求返回CORS的头信息。
02app.options('/getInfo', function(req, res){
03   res.setHeader('Access-Control-Allow-Origin', req.headers.origin);
04   res.setHeader('Access-Control-Allow-Credentials', true);
05    res.setHeader('Access-Control-Allow-Methods', 'POST, GET, PUT, DELETE, OPTIONS');
06});
07 
08//请求的业务逻辑
09app.get('/getInfo', function(req, res){
10    res.setHeader('Access-Control-Allow-Origin', req.headers.origin);
11   res.setHeader('Access-Control-Allow-Credentials', true);
12    res.end("I'm Camnpr");
13});