/

Yii2 Vue 跨域问题

旧的解决办法

在控制器的 behaviors 方法中增加下面的代码: 

public function behaviors()
{
    $behaviors = parent::behaviors();
    if (YII_ENV_DEV) {
        // add CORS filter
        $behaviors['corsFilter'] = [
            'class' => Cors::class,
            'cors' => [
                'Origin' => ['http://localhost:8080'],
                'Access-Control-Request-Method' => ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'HEAD', 'OPTIONS'],
                'Access-Control-Request-Headers' => ['*'],
                'Access-Control-Allow-Credentials' => true,
                'Access-Control-Max-Age' => 86400,
                'Access-Control-Expose-Headers' => [],
            ],
        ];
    }

    return $behaviors;
}

上边配置的解释:

注意:

如果设置 Origin ['*'] ,即所有的前端跨域请求可以接受,同时把 Access-Control-Allow-Credentials 设置为 true ,Yii 会直接报错:**Allowing credentials for wildcard origins is insecure. Please specify more restrictive origins or set ‘credentials’ to false in your CORS configuration.**。

告诉你使用通配符的凭证是不安全的,让你设置更严格的 Origin 或者把 Access-Control-Allow-Credentials 设置为 false

也就是说不能 Access-Control-Allow-Credentials true 并且 Access-Control-Allow-Origin *

因为 Access-Control-Allow-Credentials 的意思就是允许跨域请求在请求头中携带凭证,比如 cookie ,做身份识别,但是你又把 Access-Control-Allow-Origin 设置为 * ,这是说不通的,是相悖的。

具体可参考: Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*‘ | mozilla

新的问题

上面的理论上解决了跨域问题,但是新版 Chrome 根据 Cookie 的 SameSite 属性,仍然会阻止 Cookie 的发送 network show filtered out request cookies

参考:

在开发环境根治跨域问题,使用 webpack-dev-server 代理。

前端:abc.test
后端:abc-api.test
代理: abc.test/web-api -> abc-api.test 

proxy: {
  '/web-api/': {
    target: 'http://abc-api.test/',
    pathRewrite: { '^/web-api': '' },
    changeOrigin: true, // 默认情况下,代理时会保留主机头的来源,您可以将 changeOrigin 设置为true 来覆盖此行为。
    secure: false, // 接受在 HTTPS 上运行带有无效证书的后端服务器。
  },
}

参考: dev-server devserverproxy | webpack

是否可以 jwt 来解决待研究。

References

– EOF –