Rails 跨域异步请求

我们知道因为浏览器的『同源策略』策略,不同域名下的资源是不能共享的,尤其是我们在web开发中最常用的ajax请求,XMlHttpRequest 是不支持请求不同域名的资源的,所以本文我们就来讲一下,在使用Rails作为后端服务的时候,如何解决资源共享问题。

JSONP

JSONP(json with padding) 是目前使用最为广泛的解决方案,它是利用了HTML中script标签不受限于 『同源策略』的特点,将要请求的URL,填写在script标签的src属性上,然后等待服务端返回一段javascript代码,并且执行特定名称的回调函数,这就可以模拟ajax请求了。但是JSONP也有它的缺点,就是只可以使用GET 请求,无法对资源进行有副作用的操作。

下面这段代码就是客户端,通过JSONP去请求服务器端资源的例子,可以看到要使用jsonp的话,需要在URL的最后加上callback参数,让服务器知道返回的js代码中应该调用哪一个回调函数。

<!-- http://server1.com -->
<script type="text/javascript">
  // 这里handleResponse函数作为 处理请求响应的回调函数。
  function handleResponse (json) {
    //do something.
  }
</script>

<script type="text/javascript"
        src="http://server2.com/posts/1.js?callback=handleResponse">
</script>

同样的我们需要在服务器端做一些相应的处理,Rails已经帮我们封装好了一下实现的细节ActionController::Base#render 接受callback参数,我使用params[:callback],去设置客户端指定要执行的回调函数,最后Rails在返回的Javascript代码中就会调用该函数,并且将json数据作为参数传入其中。

class PostsController < ApplicationController
  def show
    @post = Post.find(params[:id])
    respond_to do |format|
      format.js do
        render json: @post, callback: params[:callback]
      end
    end
  end
end

Jbuilder

上面的例子是使用直接渲染json的方式,来返回数据,但如果你要是使用Jbuilder这样的json view template 的话,恐怕就要再折腾折腾了。使用jbuilder集成 jsonp的话,是没有现成的gem可以使用的了(有一个叫 jpbuilder 的gem,之前是支持的,不过因为年久失修,已经死掉了)下面提供一个比较巧妙的解决办法:

# app/controllers/posts_controller.rb
class PostsController < ApplicationController
  def show
    @post = Post.find(params[:id])
    respond_to do |format|
      format.any(:js, :json) do
        render json: render_to_string(formats: 'json'), callback: params[:callback]
      end
    end
  end
end

上面还是,那个PostsController的例子,不过这次,它使用了jbuilder做为view template ,然后紧接着就是,使用了,render_to_string 这个方法,它可以将模板渲染后的结果,作为字符串返回,这里我们使用返回的字符串,在作为json输出返回给客户端,并且使用了,上面的例子写到的,callback回调函数。这样通过一点小的改造,就可以让jbuilder支持 jsonp了。

CORS

**CORS( cross domain resources shard) **是最新的W3C Web标准解法,专门用于跨域的资源共享问题,它要比jsonp强大的多,而且目前所有主流浏览器的最新版都支持。说到和Jsonp的比较,jsonp其实是一种解决跨域问题的小技巧。它在使用上有诸多限制,比如对资源的请求只能是,GET 请求,无法对请求来源进行限制等。而CORS本身就是为解决跨域问题,而创建的,所以在功能上,要比JSONP全面,CORS支持HTTP的所有动词(POST DELETE 等等),并且它采用服务器端白名单的模式,去筛选那些域名下发来的请求是可以被处理的。

使用CORS的工作步骤就是,首先由客户端,发起一个称为"预检查"的OPTIONS请求,然后服务器接收到该请求后判断HTTP头中的『来源』是否在白名单中,如果是,那么就返回『预检查成功』给客户端,客户端接收到后,就会发送真实的请求。

cors_flow.png

Rails

在Rails当中使用的话,需要使用 rack-cors 这个gem 从名字就能看出来,它是从作为rack层中间件,直接支持CORS的options预检查请求,并且还提供了DSL来支持白名单和其他的限制策略。

首先我们将它添加到Gemfile中

gem 'rack-cors', require: 'rack/cors'

然后我们就可以在config/application.rb 中使用rack-cors提供的DSL进行配置了。

#config/application.rb
config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins '*' # 可以接受字符串数组或者是正则表达式
    resource %r{/(users/.*|posts/\d+).json}, headers: :any, methods: [:get]
  end
end
  • origins 用于指定那些,可请求域名的白名单,可以使用字符串数组或者,正则表达式
  • resource 通过正则表达式过滤,那些PATH上的资源是可以请求的。
    • headers 指定允许客户端,请求携带的headers字段,:any 表示任意
    • methods 可接受请求的HTTP动词

请求

我们通过curl 向白名单中的资源发送 options 预检查请求:

--verbose \
--request OPTIONS \
http://localhost:3000/posts/1.json \
--header 'Origin: http://server1.example.com' \
--header 'Access-Control-Request-Headers: Origin, Accept, Content-Type' \
--header 'Access-Control-Request-Method: GET'
*   Trying ::1...
* Connected to localhost (::1) port 3000 (#0)
> OPTIONS /posts/1.json HTTP/1.1
> Host: localhost:3000
> User-Agent: curl/7.49.1
> Accept: */*
> Origin: http://server1.example.com
> Access-Control-Request-Headers: Origin, Accept, Content-Type
> Access-Control-Request-Method: GET
>
< HTTP/1.1 200 OK
< Content-Type: text/plain
< Access-Control-Allow-Origin: http://server1.example.com
< Access-Control-Allow-Methods: GET
< Access-Control-Max-Age: 1728000
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Headers: Origin, Accept, Content-Type
< Transfer-Encoding: chunked
<
* Connection #0 to host localhost left intact

可以看到服务成功的接收了请求,并返回了相应的头信息。

浏览器支持

目前主流的浏览器都已经支持了CORS标准特性,最起码IE8以上的浏览器是支持的,尤其在现在大部分场景都是在使用移动浏览器的情况下,浏览器支持已经是我们无需多虑的问题了。

  • 桌面浏览器
Feature Chrome Firefox (Gecko) Internet Explorer Opera Safari
Basic support 4 3.5 8 (via XDomainRequest)10 12 4
  • 移动浏览器
Feature Android Chrome for Android Firefox Mobile (Gecko) IE Mobile Opera Mobile Safari Mobile
Basic support 2.1 yes yes ? 12 3.2

结语

本文上面介绍了两种解决跨域请求问题的方案,其中比较推荐的方案是CORS,因为它是W3C的事实标准并且相较于JSONP 功能更为全面,只有在需要对旧版本浏览器支持的情况下,才需要特别的使用JSONP 来解决跨域问题。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,076评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,658评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,732评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,493评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,591评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,598评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,601评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,348评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,797评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,114评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,278评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,953评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,585评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,202评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,180评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,139评论 2 352

推荐阅读更多精彩内容