Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册
LX1 Laravel / PHP 扩展包视频教程
序言
Larabbs 中已安装的扩展包
PostMan 和 API
演示项目准备
001. Composer 加速—— hirak/prestissimo
002. 数据备份 ——spatie/laravel-backup
003. 七牛文件系统驱动 —— overtrue/laravel-filesystem-qiniu
004. 哈希数据 ID —— vinkla/hashids
005. 手机号验证——propaganistas/laravel-phone
006. 日志查看工具—— rap2hpoutre/laravel-log-viewer
007. Eloquent 条件查询——tucker-eric/eloquentfilter
008. 利用 Clockwork 在 Google Chrome 下调试你的 Laravel APP ——itsgoingd/clockwork
009. 逆向 Seed 生成器——orangehill/iseed
010. 数据查询缓存——watson/rememberable
011. 快速生成 PDF 以及图片——barryvdh/laravel-snappy
跨域资源共享 laravel-cors
014. Zip 打包工具——chumper/zipper
013. 嵌套集合模型(无限极分类)——kalnoy/nestedset(代替 baum/baum)
GeoIP - 通过 IP 获取城市位置信息
016. 二维码生成工具——simplesoftwareio/simple-qrcode
017. 条形码生成工具——milon/barcode
018. Excel 处理工具——maatwebsite/excel (2.1 版本)
019. Excel 处理工具——maatwebsite/excel (3.0 导出功能)
020. Sitemap 生成工具—— roumen/sitemap
页面访问统计工具 laravel-visits
022. 模型关系图生成器 ——beyondcode/laravel-er-diagram-generator
有了这个插件,轻松捕杀代码里的 N+1 问题
024. 级联处理软删除关系——askedio/laravel-soft-cascade
025. 应用自我诊断测试 —— beyondcode/laravel-self-diagnosis
026. 优化 Cli 错误提示——nunomaduro/collision
027. 缓存完整的响应加速应用——spatie/laravel-responsecache
028. 模型操作日志—— venturecraft/revisionable
029. Laravel User Agent 轻松识别客户端信息 —— jenssegers/agent
030. 快速接入 JWT 用户认证(多用户认证)—— tymon/jwt-auth
031. 逆向 Migration 生成器 ——xethron/migrations-generator
032. Dump 调试工具(5.7 新功能)——beyondcode/laravel-dump-server
033. 为 eloquent 模型增加排序功能 ——spatie/eloquent-sortable
034. 用户活动以及模型变动日志——spatie/laravel-activitylog
035. 压缩 HTML 加速网页响应—— renatomarinho/laravel-page-speed
036. 数据库的多语言翻译方案 ——spatie/laravel-translatable
037. 另一个数据库的多语言翻译方案 ——dimsav/laravel-translatable
038. 快速接入 Mongodb——jenssegers/mongodb (基础篇)
039. 角色权限控制组件——spatie/laravel-permission
040. 为你的项目增加漂亮的 Markdown 文档——binarytorch/larecipe
042. Excel 处理工具——maatwebsite/excel (3.1 导入功能)
041. 解析项目中的 Composer 依赖——lubusin/laravel-decomposer
043. 翻译辅助工具——barryvdh/laravel-translation-manager
044. Laravel 本地化功能增强,切换项目语言——mcamara/laravel-localization
045. JavaScript 读取路由信息 —— lord/laroute
046. 将 PHP 变量转换为 JavaScript 变量——laracasts/utilities
047. 优雅的应用调试工具——laravel/telescope (5.7 新扩展)
048. 为 Eloquent 模型增加打标签功能 —— spatie/laravel-tags
050. Api 开发工具包 —— dingo/api(基础安装)
049. 增加模型关系事件——chelout/laravel-relationship-events
051. Api 开发工具包 —— dingo/api(配合 jwt-auth 完成多用户认证)
052. API 数据转换层—— league/fractal(配合 dingo/api)
053. 优秀的开源社区——yike.io(一刻社区 )
054. 创建用户默认头像——laravolt/avatar
055. Laravel 命令行菜单——nunomaduro/laravel-console-menu (Laravel 5.7)
056. 图片处理——intervention/image
057. Laravel ImageUp 图片上传辅助工具——qcod/laravel-imageup
058. 把文件与模型关联起来——spatie/laravel-medialibrary
059. Laravel 静态代码分析工具——nunomaduro/larastan
060. 获取国家详细信息 —— rinvex/countries
061. Laravel 访客追踪——pragmarx/tracker
062. 快速切换登录用户 —— viacreative/sudo-su
063. 定时任务 Web 控制台 ——studio/laravel-totem
064. API 动态查询参数—— spatie/laravel-query-builder
065. 快速搭建管理后台(基础安装)——encore/laravel-admin
066. 快速搭建管理后台(权限管理)——encore/laravel-admin
067. 快速搭建管理后台(使用插件)—— encore/laravel-admin
068. Markdown 解析器——graham-campbell/markdown
069. 视图模型辅助类—— spatie/laravel-view-models
070. 自动面包屑导航 —— davejamesmiller/laravel-breadcrumbs
071. 项目代码统计——wnx/laravel-stats
072. 异常实时监控及报警——sentry/sentry-laravel(Laravel 5.7)
073. PHP Docker 环境搭建(基础环境)—— Laradock
074. PHP Docker 环境搭建(进阶) —— Laradock
075. Eloquent 模型多表模糊搜索——nicolaslopezj/searchable
076. Laravel Nova 搭建管理后台——基础使用(官方扩展包)
077. Laravel Nova 搭建管理后台——进阶(官方扩展包)
078. Laravel Nova 搭建管理后台 —— 权限 (官方扩展包)
079. 为你的 Laravel 模型加上类 NoSQL 属性 ——laravel-schemaless-attributes
080. Laravel Scout 结合 Elasticsearch 进行全文搜索—— babenkoivan/scout-elasticsearch-driver
081. 全局配置信息 —— spatie/valuestore
082. 全局配置信息(二)——appstract/laravel-options
083. 日期及时间处理——nesbot/carbon
084. 使用 Swoole 加速 Laravel (基础安装 - Homestead )—— hhxsv5/laravel-s
085. 使用 Swoole 加速 Laravel(基础安装-Laradock)—— hhxsv5/laravel-s
086. 轻量级的消息提示 —— spatie/Laravel-flash
087. Laravel Email 编辑器 —— qoraiche/laravel-mail-editor
088. PHP 7 stream-parser 支持多格式的文件流解析器——rodenastyle/stream-parser
089. 模型变动日志——owen-it/laravel-auditing
090. 简单的用户消息系统——cmgmyr/messenger
092. 多站点架构方案(一套代码部署多个站点)——hyn/multi-tenant
091. 让你的 CSRF Token 永不过期 ——genealabs/laravel-caffeine
093. Laravel 语言包 —— overtrue/laravel-lang (caouecs/laravel-lang)
094. 快速查看日志文件——spatie/laravel-tail
095. 快速制作一份 Laravel 模型的副本——Eloquent Cloner
096. 使用 Swoole 加速 Laravel 应用 —— swooletw/laravel-swoole (laradock 基础安装)
097. 将自然语句转换为数据库查询语句——lorisleiva/laravel-search-string
098. 模块化管理工具—— nwidart/Laravel-modules
099. 快速创建 enum 枚举类 —— bensampo/laravel-enum
100. 创建 GraphQL API (基础使用)—— nuwave/lighthouse
101. 在 Blade 模板中使用过滤器 Filters—— thepinecode/blade-filters
102. 快速重启 Tinker session —— ajthinking/tinx
103. 为站点的『维护模式』设置通行密码 —— larsjanssen6/underconstruction
104. 为模型增加凭证以及凭证兑换——beyondcode/laravel-vouchers
105. 利用隐藏输入框诱捕灌水机 ——spatie/laravel-honeypot
106. 使用 Omnipay 接入支付(支付宝) —— lokielse/omnipay-alipay
107. 接入微信和支付宝支付(支付宝)——yansongda/laravel-pay
108. 代码生成工具——codedungeon/laravel-craftsman
109. 让验证规则可以复用 —— illuminatech/validation-composite
110. 模型设置——glorand/laravel-model-settings
111. 数据库管理工具(代替 phpMyAdmin)——protoqol/prequel
112. 使用 Composer 管理 Git hooks——brainmaestro/composer-git-hooks
113. 管理营业时间——spatie/opening-hours
提交改进
登录后才能观看

跨域资源共享 laravel-cors:012. 解决跨域问题( CORS )——barryvdh/laravel-cors
2019
2019

LX1 Laravel / PHP 扩展包视频教程 /

解决跨域问题( CORS )——barryvdh/laravel-cors

barryvdh/laravel-cors 是一个帮助我们解决浏览器跨域问题的扩展包,那么什么是跨域问题,什么时候需要使用这个扩展包呢?

同源策略

首先需要了解一下浏览器 同源策略,它是浏览器最核心也最基本的安全功能,同源的意思是,域名,协议,端口都相同。如果两个地址不同源,那么:

  1. Cookie、LocalStorage 和 IndexDB 无法相互读取;
  2. DOM 无法相互获得;
  3. AJAX 请求不能相互发送。

举个例子,larabbs.testlaravel-china.org 是无法读取对方的 Cookie 等数据,无法获取对方的 DOM,无法相互发送 AJAX 请求的。

这是出于安全的考虑,但是有的时候我们又确实需要跨域,比如要实现前后端分离,前端的域名是 www.larabbs.test 服务器接口的域名是 api.larabbs.test ,因为子域不同,依然会被同源策略限制,所以前端的 JS 就无法请求到后端接口的数据,我们需要解决这样的跨域问题。

CORS

CORS 是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing),就是其中一种用来解决浏览器跨域的问题方法。这种方法的关键是在于服务器,只要服务器端返回了合适的头信息(Header),前端 JS 发送 AJAX 的时候就能访问跨域的资源你,代码和同源时一致,无需做任何修改,用户也不会有感知。

对于 CORS 请求时,又会分为两种,简单请求和非简单请求。

只要同时满足以下两大条件,就属于 简单请求

  1. 请求方法是以下三种方法之一:
    • HEAD
    • GET
    • POST
  2. HTTP的头信息不超出以下几种字段:
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type:只限于三个值 application/x-www-form-urlencodedmultipart/form-datatext/plain

那么这两种请求有什么区别呢?我们在浏览器中测试一下加深了解。

测试简单请求

LaraBBS 中已经有了一些接口,比如 话题列表接口 http://larabbs.test/api/topics,我们可以测试访问一些接口,理解 CORS 请求。打开 api.jquery.com/ ,注意我们使用的协议是 HTTP 而不是 HTTPS,因为我们要调试的是本地的 larabbs.test ,使用 HTTPS 的网站请求 HTTP 会被浏览器拒绝。

打开 Chrome 开发者工具,选择 Console,输入如下内容,点击回车:

$.ajax({
  url: 'http://larabbs.test/api/topics'
}).done(function(data) {
  console.log(data);
});

file

发送成功后,会看到浏览器报错了,打开 Network,可以看到一次网络请求,浏览器发现这次跨源 AJAX 请求,而且是简单请求,所以自动在头信息之中,添加一个Origin字段 Origin: http://api.jquery.com 也就是当前请求的网页地址。

file

针对简单请求的 CORS,服务器需要返回的字段有:

  • Access-Control-Allow-Origin —— 允许的域名,这个字段是必须的,* 代表允许所有域名;
  • Access-Control-Allow-Credentials——CORS 请求是否发送 Cookie;
  • Access-Control-Expose-Headers ——除了 6 个基本的头字段 Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragmaXMLHttpRequest 对象的 getResponseHeader() 可以获取的额外的头。

测试非简单请求

不符合上述两个条件的都是非简单请求,例如 PUT,DELETE,或者请求头中有额外的 Header,我们还是用话题列表接口,这次增加一个头信息。

$.ajax({
  url: 'http://larabbs.test/api/topics',
  headers: {
    'foo':'bar',
  }
}).done(function(data) {
  console.log(data);
});

file

请求结果依然是报错,这次打开 Network 查看网络请求,点击网络请求,这次请求的方法是 OPTIONS,是 HTTP 的查询请求,称为『预检』请求,对于非简单请求,只有通过了『预检』请求,才会真正的执行请求。

file

针对非简单请求的 CORS,服务器需要返回的字段有:

  • Access-Control-Allow-Origin —— 允许的域名,这个字段是必须的,* 代表允许所有域名;
  • Access-Control-Allow-Methods——该字段必需,表示支持的所有 HTTP 请求方法,如 GET, POST, PUT
  • Access-Control-Allow-Headers——支持的所有头信息字段;
  • Access-Control-Allow-Credentials——CORS 请求是否发送 Cookie;
  • Access-Control-Max-Age——本次预检请求的有效期。

好了,上面提到了很多概念,看着可能会有点懵,总之我们需要知道的就是,由于同源策略的限制,浏览器请求是会做一些检测,当服务器没有响应的 CORS 头信息的时候,浏览器就会报错了,我们就请求不到接口数据。要解决这个问题,就需要在响应中添加 CORS 头信息,barryvdh/laravel-cors 就是方便我们添加这些头信息的扩展包,下面我们看看添加了扩展包是否能解决问题。

安装

$ composer require barryvdh/laravel-cors

file

将配置文件发布出来:

$ php artisan vendor:publish --provider="Barryvdh\Cors\ServiceProvider"

file

使用

扩展包的使用是非常简单的,在需要的地方增加中间件即可。

如果需要全局使用,可以在 app/Http/Kernel.php$middleware 中增加 \Barryvdh\Cors\HandleCors::class,但是 LaraBBS 中只有接口部分设计到 CORS 问题,我们只添加到 API 相关的路由中。

由于 LaraBBS 中使用了 DingoApi,路由部分被接管了,所以需要去 routes/api.php 中单独设置中间件。

首先需要设置一下该中间件的别名,方便使用:

app/Http/Kernel.php

    protected $routeMiddleware = [
    .
    .
    .
        // CORS
        'cors' => \Barryvdh\Cors\HandleCors::class,
    ];

在接口中增加 cors 中间件:
routes/api.php

$api->version('v1', [
    'namespace' => 'App\Http\Controllers\Api',
    'middleware' => ['serializer:array', 'bindings', 'change-locale', 'cors']
], function ($api) {

再次发送简单请求进行测试:

file

file

可以正确的获取到数据了,查看网络请求会发现,响应头中多了一条关键信息 Access-Control-Allow-Origin: http://api.jquery.com,只有有了这个头字段,并且域名是当前域名,才能请求成功。

再次发送非简单请求测试:

file

预检请求中,多出了 CORS 相关的字段,请求成功。

file

配置

可以看到只要使用了中间件,所有的请求都是可以通过的,也就是说,barryvdh/laravel-cors 的默认配置都是允许所有请求,当然我们可以修改这些配置:

config/cors.php

    'supportsCredentials' => false,
    'allowedOrigins' => ['*'],
    'allowedOriginsPatterns' => [],
    'allowedHeaders' => ['*'],
    'allowedMethods' => ['*'],
    'exposedHeaders' => [],
    'maxAge' => 0,

分别对应如下配置:

配置 对应的 Header 说明
supportsCredentials Access-Control-Allow-Credentials 是否携带 Cookie
allowedOrigins Access-Control-Allow-Origin 允许的域名
allowedOriginsPatterns Access-Control-Allow-Origin 通过正则匹配允许的域名
allowedHeaders Access-Control-Allow-Headers 允许的 Header
allowedMethods Access-Control-Allow-Methods 允许的 HTTP 方法
exposedHeaders Access-Control-Expose-Headers 除了 6 个基本的头字段,额外允许的字段
maxAge Access-Control-Max-Age 预检请求的有效期

根据实际需要修改配置即可。

代码版本控制

$ git add -A
$ git commit -m 'add barryvdh/laravel-cors'

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 0
发起讨论 查看所有版本


暂无话题~

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消