关于AJAX/javascript 跨域访问的解决办法及 CORS(Cross-Origin Resource Sharing) 简单介绍

最新推荐文章于 2023-04-14 17:09:33 发布
最新推荐文章于 2023-04-14 17:09:33 发布
阅读量1.4k 收藏
点赞数
分类专栏: javascript EXT HTML5 文章标签: 浏览器 header adobe 服务器 safari windows
javascript 同时被 3 个专栏收录
311 篇文章 0 订阅
订阅专栏
EXT
192 篇文章 0 订阅
订阅专栏
HTML5
52 篇文章 0 订阅
订阅专栏
这么多年了, javascript的跨域访问问题终于得到了终极解决,所谓终极,是在浏览器相关的标准里面得到了正式的支持,而不是所谓iframe之类的方法。

而支持这种方案的浏览器必须是 ff 3.5+   safari 4+ 及IE 8 + 即必须是比较新的浏览器。  要支持老的浏览器还得用以前的土方法了。

要知道现在浏览器端相关标准和技术在这几年在飞速发展,不停地升级浏览器也是用户体验最新功能和性能的必要方式。 对前端技术人员来说, 随时跟进最新的浏览器技术也是必须的。

好闲话先不说, 先说说比较靠谱的跨域解决方案就是使用 flash/ajax 桥方式,利用Adobe公司定义的flash跨域标准,即在服务器端定义一个允许文件,  flash读到这个确认文件后就可以执行跨域调用了在很多大网站的根下都有这个文件

例如:
1、新浪博客的crossdomain.xml文件( http://blog.sina.com.cn/crossdomain.xml)设置了允许所有域名访问;
2、饭否API的crossdomain.xml文件( http://api.fanfou.com/crossdomain.xml)设置了允许所有域名访问;
3、校内网API的crossdomain.xml文件( http://api.xiaonei.com/crossdomain.xml)设置了允许所有域名访问;
4、优酷网的crossdomain.xml文件( http://www.youku.com/crossdomain.xml)设置了允许所有域名访问;
5、土豆网的crossdomain.xml文件( http://www.tudou.com/crossdomain.xml)设置了允许所有域名访问;

6、逍遥视频的crossdomain.xml文件( http://v.xoyo.com/crossdomain.xml)设置了只允许*.xoyo.com域名访问;
7、网易的crossdomain.xml文件( http://www.163.com/crossdomain.xml)设置了只允许tech.163.com、sports.163.com等几个域名访问。


这个做法不错, 但首先adobe这么做也是无奈之举, 因为实在无标准可循。  不过到了2009年 W3C的CORS标准草案(http://www.w3.org/TR/access-control/#access-control-allow-origin-response-hea)的发布及各大浏览器的支持, CORS将会成为主要的解决方案

在没有CORS之前, 浏览器要发出跨域的请求时必须要得到被请求域的许可,而许可必须要以大家公认的方式,否则就被认为是不安全的。    那么CORS就定义了许可方式
它定义了 8个头信息来表示许可形式
分别是

浏览器请求时,
必须带上 Origin及Access-Control-Request-Method头信息(这些信息浏览器自动加的)。
分别表示来源网站及要使用的http方法, 

当然这个请求一般是一个http Options方法。
例如:

OPTIONS  http://incubator.vicp.net/p/liuhan

Host: incubator.vicp.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Origin: http://www.google.cn
Access-Control-Request-Method: POST
Access-Control-Request-Headers: x-requested-with


接下来关键来了, 服务器要在相应头里给予许可
即通过 Access-Control-Allow-Origin 头 表示允许的网站。 Access-Control-Allow-Methods 表示允许的方法

例如  响应 
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://arunranga.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER
Access-Control-Max-Age: 1728000


浏览器拿到这些响应信息就可以发出正常的调用了。


最后一点, 大多数情况下,这个调用必须带着cookie,服务器响应头中要增加Access-Control-Allow-Credentials 信息以允许其他信息的携带。

 

https://developer.mozilla.org/en/HTTP_access_control

 

冷月宫主
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cors跨域问题(self 此问题)
weixin_44955654的博客
07-08 2751
业务说明: 纯前端实现oss上传,本地测试ok,测试环境测试跨域(uni.uploadFile(OBJECT)地址:) 直观错误说明: 解决问题思路: 1.Console报错 百度 关键字 has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is prese...
DRF跨域后端解决之django-cors-headers的使用
09-19
主要介绍了DRF跨域后端解决之django-cors-headers的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
跨域解决方案CORS
1663988740
08-12 299
跨域解决方案CORS 1.1 什么是跨域 1什么是跨域问题:浏览器的同源策略,导致不能向其他域发送异步请求。 2同源策略:具有相同的协议(protocol),主机(host)和端口号(port) ​ http://192.168.1.1:8080/search ​ https://192.168.1.1:8080/search ​ http://192.168.1.2:8080/search taobao.com ​ http://192.168.1.1:8081/goods
解决Referrer Policy: strict-origin-when-cross-origin
yunweifun的博客
04-14 7184
网站加载Referrer Policy: strict-origin-when-cross-origin什么原因?这是由于HTTPS和HTTP跨域问题,原本网站使用的是HTTPS协议,而提交表单、ajax或引用问HTTP导致的,只需要将http协议更改为网站的https协议即可。
strict-origin-when-cross-origin 403 异常解决
qq_36378416的博客
04-06 5545
我们注意到 这里是请求失败了,同时出现两次请求 一次为OPTIONS方法的请求,一次为引荐来源网址政策: strict-origin-when-cross-origin。说明由于OPTIONS请求失败,导致不能得到正确的响应结果。刚刚上线了一个服务,其他客户需要在跨域情况下对于服务进行调用,几次尝试之后,终于成功调用了。本文解决 nginx + spring boot + juery 情况下的跨域处理。正常情况下上面的配置即可 完成服务的跨域配置。
cors error cross-Origin resource sharing error PreflightMissingAllowOriginHeader 问题排查
sessionsong的专栏
02-25 1万+
标题cors error cross-Origin resource sharing error PreflightMissingAllowOriginHeader 在chrome 浏览器,部分接口调用会报 cors error cross-Origin resource sharing error PreflightMissingAllowOriginHeader 错误 跨域问题? 刚开始以为是跨域的问题,但是其他同一服务器下的接口,能正常调用,所以应该不是这个问题,应该问题在 请求头丢失 仔细看了下报
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS跨域资源共享,Cross-Origin Resource Sharing
01-06
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS跨域资源共享,Cross-Origin Resource Sharing
解决ajax跨域cors-filter-1.7.1 和 java-property-utils-1.9.1 包带源码
04-01
积分多的大佬打赏下,缺积分用;积分不够得移步https://www.cnblogs.com/BambooLamp/p/12603299.html 原文:https://segmentfault.com/a/1190000012469713
Tomcat解决跨域的两个jar包java-property-utils-1.9.jar和cors-filter-1.7.jar
10-13
解决Tomcat跨域的两个jar包,java-property-utils-1.9.jar和cors-filter-1.7.jar
解决 strict-origin-when-cross-origin 问题
时间静止
02-01 11万+
使用90版本之后的谷歌浏览器, 在部署前端项目后, 调用后端接口出现 strict-origin-when-cross-origin, 并且静态资源被拦截的情况的解决
关于跨域ajax——Cross-Origin Resource Sharing (CORS)
hongweigg的专栏
09-04 1万+
CORS浏览器支持:Firefox 3.5+, Safari 4+, Chrome, Safari for iOS, and WebKit for Android Js代码   //页面A: http://shawn.test2.com/crossAjax.html  function create(){                var objXMLHTTP = new
使用ajax跨域Cross-Origin Resource Sharing / withCredentials的作用
zhouwangling_的专栏
11-15 2533
HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信,于是为了达到跨域通信的目的各种蛋疼的解决办法出现了,常用的有:jsonp、使用代理文件、地址栏hash等等,这些办法的出现在达到解决跨域问题的同时,也增加了前端页面的性能开销和维护成本。HTML5新的标准,增加了” Cross-Origin Resource Sharing”特性,这个特性的出现使得跨域通信只需通过配置http协议
跨域资源共享 CORS 详解
Preeminent
03-07 847
作者: 阮一峰日期: 2016年4月12日本文转载自跨域资源共享CORS - 阮一峰, 我觉得阮老师写的非常好!深入浅出!就转载过来啦~CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。一、简介CORS
【 一strict-origin-when-cross-origin错误 】
u012632105的博客
05-22 5907
https://blog.csdn.net/weixin_43405946/article/details/118221871
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
谷歌浏览器strict-origin-when-cross-origin 解决
热门推荐
weixin_48687496的博客
03-26 15万+
解决谷歌浏览器strict-origin-when-cross-origin 跨域问题
ajax 调用webservice 跨域解决
最新发布
05-17
CORS(Cross-Origin Resource Sharing)是一种浏览器机制,它允许 Web 应用服务器进行跨域访问控制。在 WebService 添加 CORS 支持,可以使前端页面直接通过 XMLHttpRequest 对 WebService 进行访问CORS 的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值