首页 > 编程语言 >koa-cors 源码及基本原理解析

koa-cors 源码及基本原理解析

时间:2023-04-30 12:44:56浏览次数:43  
标签:Control Origin 请求 koa ctx Access 源码 cors options

cors: 跨域资源共享(Cross-Origin Resource Sharing)是一种机制,用来允许不同源服务器上的指定资源可以被特定的Web应用访问。

在koa项目中使用cors中间件:

eg:

 1 var koa = require('koa');
 2 var route = require('koa-route');
 3 var cors = require('koa-cors');
 4 var app = koa();
 5 
 6 app.use(cors());
 7 
 8 app.use(route.get('/', function() {
 9   this.body = { msg: 'Hello World!' };
10 }));
11 
12 app.listen(3000);

koa-cors 源码解析:

  1 'use strict';
  2 
  3 const vary = require('vary');
  4 
  5 /**
  6  * CORS middleware
  7  *
  8  * @param {Object} [options]
  9  *  - {String|Function(ctx)} origin `Access-Control-Allow-Origin`, default is request Origin header
 10  *  - {String|Array} allowMethods `Access-Control-Allow-Methods`, default is 'GET,HEAD,PUT,POST,DELETE,PATCH'
 11  *  - {String|Array} exposeHeaders `Access-Control-Expose-Headers`
 12  *  - {String|Array} allowHeaders `Access-Control-Allow-Headers`
 13  *  - {String|Number} maxAge `Access-Control-Max-Age` in seconds
 14  *  - {Boolean|Function(ctx)} credentials `Access-Control-Allow-Credentials`
 15  *  - {Boolean} keepHeadersOnError Add set headers to `err.header` if an error is thrown
 16  *  - {Boolean} secureContext `Cross-Origin-Opener-Policy` & `Cross-Origin-Embedder-Policy` headers.', default is false
 17  *    @see https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/SharedArrayBuffer/Planned_changes
 18  *  - {Boolean} privateNetworkAccess handle `Access-Control-Request-Private-Network` request by return `Access-Control-Allow-Private-Network`, default to false
 19  *    @see https://wicg.github.io/private-network-access/
 20  * @return {Function} cors middleware
 21  * @public
 22  */
 23 module.exports = function (options) {
 24     // 这是默认配置 
 25     const defaults = {
 26         // Access-Control-Allow-Methods 必须字段,表示服务器支持的跨域HTTP方法、返回的是所有支持方法
 27         allowMethods: 'GET,HEAD,PUT,POST,DELETE,PATCH',
 28         secureContext: false,
 29     };
 30 
 31     // 覆盖默认配置 合并options
 32     options = {
 33         ...defaults,
 34         ...options,
 35     };
 36 
 37     // 组装options
 38     // CORS很多响应头value都是允许多个逗号分隔的字符串
 39     if (Array.isArray(options.exposeHeaders)) {
 40         options.exposeHeaders = options.exposeHeaders.join(',');
 41     }
 42 
 43     if (Array.isArray(options.allowMethods)) {
 44         options.allowMethods = options.allowMethods.join(',');
 45     }
 46 
 47     if (Array.isArray(options.allowHeaders)) {
 48         options.allowHeaders = options.allowHeaders.join(',');
 49     }
 50     // 设计预检请求的有效期
 51     if (options.maxAge) {
 52         options.maxAge = String(options.maxAge);
 53     }
 54 
 55     // keepHeadersOnError 默认设置为true
 56     options.keepHeadersOnError = options.keepHeadersOnError === undefined || !!options.keepHeadersOnError;
 57 
 58     // 返回中间件函数
 59     return async function cors(ctx, next) {
 60         // If the Origin header is not present terminate this set of steps.
 61         // The request is outside the scope of this specification.
 62 
 63         const requestOrigin = ctx.get('Origin');
 64 
 65         // Always set Vary header
 66         // https://github.com/rs/cors/issues/10
 67         ctx.vary('Origin');
 68 
 69         // 获取配置参数中的 origin,默认取 requestOrigin
 70         let origin;
 71         if (typeof options.origin === 'function') {
 72             origin = await options.origin(ctx);
 73             if (!origin) return await next();
 74         } else {
 75             origin = options.origin || requestOrigin;
 76         }
 77 
 78         // 处理不同场景下的credentials
 79         // Access-Control-Allow-Credentials:可选、布尔值、表示是否允许发送Cookie
 80         // Cookie默认不包含在CORS请求中,设为true表示服务器许可、
 81         // 如果不需要直接删除该字段即可
 82         let credentials;
 83         if (typeof options.credentials === 'function') {
 84             credentials = await options.credentials(ctx);
 85         } else {
 86             credentials = !!options.credentials;
 87         }
 88 
 89         if (credentials && origin === '*') {
 90             origin = requestOrigin;
 91         }
 92 
 93         const headersSet = {};
 94 
 95         function set(key, value) {
 96             ctx.set(key, value);
 97             headersSet[key] = value;
 98         }
 99 
100         // 非预检请求 简单请求
101         if (ctx.method !== 'OPTIONS') {
102             // 考虑配置 Access-Control-Allow-Origin,Access-Control-Allow-Credentials,Access-Control-Expose-Headers 三个响应头
103             // !  配置响应头
104             // CORS 之 简单请求、浏览器直接发出CORS请求,并且在浏览器请求头添加Origin字段
105             // 简单请求:
106             // 1、请求方法:HEAD、GET、POST
107             // 2、HTTP头信息字段限制,Accept、Accept-Language、Content-Language、Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
108             // 设置接收来自origin域名的请求
109             set('Access-Control-Allow-Origin', origin);
110 
111             if (credentials === true) {
112                 // 设置允许客户端发送Cookies
113                 set('Access-Control-Allow-Credentials', 'true');
114             }
115 
116             // CORS请求,XHR对象的getResponseHeader方法只能获取6个基本字段
117             // Cache-Control Content-Language Content-Type Expires Last-Modified Pragma
118             // 因此如果你需要获取其它字段、则需要在Access-Control-Expose-Headers指定 
119             if (options.exposeHeaders) {
120                 set('Access-Control-Expose-Headers', options.exposeHeaders);
121             }
122 
123             if (options.secureContext) {
124                 set('Cross-Origin-Opener-Policy', 'same-origin');
125                 set('Cross-Origin-Embedder-Policy', 'require-corp');
126             }
127 
128             if (!options.keepHeadersOnError) {
129                 return await next();
130             }
131             // 异常情况处理
132             try {
133                 return await next();
134             } catch (err) {
135                 const errHeadersSet = err.headers || {};
136                 const varyWithOrigin = vary.append(errHeadersSet.vary || errHeadersSet.Vary || '', 'Origin');
137                 delete errHeadersSet.Vary;
138 
139                 err.headers = {
140                     ...errHeadersSet,
141                     ...headersSet,
142                     ...{
143                         vary: varyWithOrigin
144                     },
145                 };
146                 throw err;
147             }
148         } else {
149             // 预检请求:非简单请求即为预检请求、比如PUT、DELETE方法或者Content-Type: application/json。
150             // 如果是一个非简单请求的CORS请求,在正式通信之前,会增加一次HTTP查询请求,称为预检请求
151             // 预检请求使用的HTTP方法是OPTION,所以你知道上面为什么用OPTION作为判断了
152 
153             // 预检请求目的:浏览器发起请求,询问服务器,当前网页是否在服务器允许的origin名单内
154             // 以及想知道允许使用哪些HTTP Method、头信息字段等
155             // 只有得到正确答复、才会发出正式的XHR请求
156 
157             // 预检请求一般包括的字段有
158             // Origin: http://api.bob.com 必须会带上
159             // Access-Control-Request-Method: PUT // 必须,这里PUT指的是浏览器预检请求后的XHR请求方法
160             // Access-Control-Request-Headers: X-Custom-Header // 可选
161 
162             // 服务器接收预检请求后,会检测Origin、Access-Control-Allow-Methods、以及Access-Control-Request-Headers      
163             // 如果请求头不存在Access-Control-Request-Method头、或者解析失败、流程直接终止
164 
165             if (!ctx.get('Access-Control-Request-Method')) {
166                 // this not preflight request, ignore it
167                 return await next();
168             }
169 
170             // 检测正确,允许跨源请求,作出响应
171             // 设置返回请求域白名单
172             ctx.set('Access-Control-Allow-Origin', origin);
173 
174             // 设置允许浏览器CORS请求发送Cookies
175             if (credentials === true) {
176                 ctx.set('Access-Control-Allow-Credentials', 'true');
177             }
178 
179             if (options.maxAge) {
180                 ctx.set('Access-Control-Max-Age', options.maxAge);
181             }
182             // 是否是私有网络访问 只能 访问内网 或 局域网
183             if (options.privateNetworkAccess && ctx.get('Access-Control-Request-Private-Network')) {
184                 ctx.set('Access-Control-Allow-Private-Network', 'true');
185             }
186 
187             // 设置服务器支持的所有跨域方法
188             if (options.allowMethods) {
189                 ctx.set('Access-Control-Allow-Methods', options.allowMethods);
190             }
191 
192             if (options.secureContext) {
193                 set('Cross-Origin-Opener-Policy', 'same-origin');
194                 set('Cross-Origin-Embedder-Policy', 'require-corp');
195             }
196 
197             // 设置服务器支持的所有头信息字段
198             let allowHeaders = options.allowHeaders;
199             if (!allowHeaders) {
200                 // 如果没有自定义、从请求中获取
201                 allowHeaders = ctx.get('Access-Control-Request-Headers');
202             }
203             // 自定义拓展请求头
204             if (allowHeaders) {
205                 ctx.set('Access-Control-Allow-Headers', allowHeaders);
206             }
207             // 204 服务器处理请求、但是没有返回内容
208             ctx.status = 204;
209         }
210     };
211 };

 

标签:Control,Origin,请求,koa,ctx,Access,源码,cors,options
From: https://www.cnblogs.com/taue997/p/17365134.html

相关文章

  • 从源码编译并安装LXQT
    平台:ubuntu-22.04-server-amd64.对象:LXQT.文件:lxqt.LXQt是由LXDE-Qt和RazorQt合并的项目,它的目标是创建一个轻量级、模块化、运行快并且简单易用的桌面环境。本例中会介绍多种发行版下的编译方法,本例中使用Ubuntu22.04,你也可以使用其它发行版。1.安装编译环境CMake版本≥3.......
  • Django的message组件(源码分析)
    Django的Message组件(源码分析)1.配置#MESSAGE_STORAGE='django.contrib.messages.storage.fallback.FallbackStorage'#MESSAGE_STORAGE='django.contrib.messages.storage.cookie.CookieStorage'MESSAGE_STORAGE='django.contrib.messages.stor......
  • tileserver在配置文件中配置 CORS 可跨域
    您可以在Tileserver配置文件中设置Access-Control-Allow-Origin头来启用CORS,以便您的地图数据可以被跨域请求。以下是如何在Tileserver配置文件中设置CORS的步骤:打开Tileserver配置文件,通常位于您的tiles目录下的config.json文件中。找到headers配置项,这个配置项......
  • SpringBoot读取.yml配置文件最常见的两种方式-源码及其在nacos的应用
    三、第二种方式(推荐)这种方式是小编比较推荐的,虽然看似比​​@Value​​麻烦不少,但是更加的规范,在配合nacos的时候也可以动态的修改,会立即生效,一会小编带大家试一下哈!!为什么推荐这种方式呢,是因为spring他们都是使用这种方式进行配置的,所以跟着官方走不会有错的!!1.修改yml文件我们......
  • vue3源码-一、响应式原理reactive的实现
    reactive的实现使用:使用reactive()函数创建一个响应式对象。import{reactive}from'vue'exportdefault{//`setup`是一个专门用于组合式API的特殊钩子函数setup(){conststate=reactive({count:0})//暴露state到模板return{......
  • 第四篇:白话tornado源码之褪去模板外衣的前戏
    原笔记博客链接:https://www.cnblogs.com/wupeiqi/p/4592637.html 执行字符串表示的函数,并为该函数提供全局变量本篇的内容从题目中就可以看出来,就是为之后剖析tornado模板做准备,也是由于该知识点使用的巧妙,所有就单独用一篇来介绍了。废话不多说,直接上代码:#!u......
  • vue2源码-十七、Vue组件间传值的方式及之间区别
    Vue组件间传值的方式及之间区别通过props传递:父组件传递数据给子组件使用//chilid,vueprops:{//字符串形式name:String//接收的类型参数//对象形式age:{type:Number,//接收的类型为数值defaule:18,//默认值为18r......
  • 深入探讨源码--ArrayList
    持续推送技术干货目录深入探讨源码之ArrayListArrayList类图ArrayList的数据结构ArrayList的关键属性ArrayList构造方法ArrayList常用方法add方法ArrayList中的fast-fail机制add(i,o)方法set(i,o)方法get(i)方法remove(index)方法remove(Object)方法clear方法indexOf(o)方法深......
  • Java重写源码中的方法
    重写步骤:1.找到你所要重写的方法的所在类,查看其中的路径;2.在我们的src目录下新建一个同包名同类名的类;3.将jar包中的重写方法所在类的所有代码复制到我们新建的同包名同类名的类中;4.在我们新建的同包名同类名的类中修改对应的方法中的代码,注意要保持方法中的参数不要发生改变,也......
  • Spring源码分析之BeanFactory
    概述以XmlBeanFactory为例分析Xml描述的Bean被Reasource加载到内存,先解析为Document对象,再解析为BeanDefinition注册到BeanDefinitionRegistry,再通过BeanFactory创建名词解释Resource是Spring对资源的抽象,主要是用来读取文件输入流Document是java本身的API进行解析的,得到......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99