CORS正确使用姿势

最新推荐文章于 2024-04-15 09:30:00 发布
最新推荐文章于 2024-04-15 09:30:00 发布
阅读量1w 收藏 4
点赞数
分类专栏: JavaScript 文章标签: xmlhttprequest CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jlin991/article/details/57083865
版权

CORS用法

首先要知道的是对于CORS,我们要用到XHR2,然后IE的话是XDomainRequest Object,它从IE10开始才是XHR2. IE 8 9都是XDomainRequest

首先需要写一个处理兼容性的函数,确定是哪个浏览器上运行

function createCORSRequest(method,url){
    var xhr=new XMLHttpRequest();
    if("withCredentials" in xhr)    {
        //Check if the XMLHttpRequest object has a "withCredentials" property
        //this property only exists on XHR 2 object

    }else if(typeof XDomainRequest!='undefined'){
        //otherwise check if XDomainRequest
        //XDomainRequest only exists in IE 
        xhr =new XDomainRequest();
        xhr.open(method,url); 
    }else{
        //othewise CORS is not supported by the browser
        xhr=null;
    }
    return xhr;
}

该函数先检测XHR对象是否有withCredentials属性,这个属性只有XHR2的对象才有。
然后检测XDomainRequest是否存在。

实际的请求处理代码

function makeCORSRequest(){
    //
    var url='';
    var xhr=createCORSRequest('GET',url);
    if(!xhr){
        throw new Error('CORS not supported');
        return ;
    }
    //Reponse Handlers
    xhr.onload=function(){
        var text=xhr.responseText;
        var title=getTitle(text);
        console.log('Response from CORS request to ' + url + ': ' + title);
    };

    xhr.onerror=function(){
        alert('Woops, there was an error making the request.');
    };

    xhr.send(); //send(data)
}

我们做了一个简单的GET请求,如果xhr不存在,即这是个不支持CORS的浏览器,就抛出这个错误并返回。
然后在onload(成功请求并返回)的事件中处理我们的业务,在onerror里面是处理请求过程出错的业务。

注意
浏览器对于出错的report不是做的很好,比如FF仅仅report status 0 和一个空的statusText for all errors! 浏览器可能会console.log输出信息,但是这些信息不能被js访问到!!! 所以handle onerror你仅仅是知道出错了。

XHR2新增的事件及其含义

Event HandlerDescription
onloadstart请求开始的时候
onprogress当前正在加载读取数据中
onerror请求失败
onload请求成功完成
ontimeout在请求完成之前超时了

注意:XHR以前只有一个onreadystatechange事件

添加CORS支持到服务器

在CORS中,当我们处理浏览器和服务器浏览器时,浏览器会添加一些额外的headers,还可能做一些额外的请求(浏览器自动发出)
我们可以通过抓包工具(例如fiddle)看到这些被隐藏起来的请求。
这里写图片描述

可以看到浏览器发送了preflight request

CORS请求类型

简单请求和非简单请求
简单请求就是
- HEAD
- GET
- POST

HTTP Headers 匹配下面的

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type, 但值是其中的一种:
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

简单的请求我们只需要用JSON-P或者HTML 表单post来请求即可,不需要用到CORS。

处理CORS和同源的原理

注意的是一个有效的CORS请求,总是包含了一个“Origin” header,这是被浏览器自动附加的,但是这个并不是表明这个请求一定是跨域请求。 一些浏览器的同源请求也会有这个header。

一个HTTP 请求例子:

POST /cors HTTP/1.1
Origin:http://api.bob.com
Host: api.bob.com

不过浏览器会expect CORS的响应头,如果是跨域的情况下,同源的时候,它不会理会是否有CORS 的headers。

一个有效的服务器CORS响应:

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

详解介绍这些响应的意义

Access-Control-Allow-Origin(required)
这个header必须included,所有有效的CORS响应都必须要有。 它的值可以设置成特定的origin 或者 是 “*”,一般也就是你请求脚本所在的源。

Access-Control-Allow-Credentials(optional)
默认,cookie是不会在CORS请求中被附加的,使用这个头,设置成true表示客户端可以附加cookie到CORS请求。 如果你不需要cookie就不用设置。
不要设置成false!!!!
如果在你的JS中设置了XHR 2 对象的widthCredentials属性,这个属性也都必须设置成true才能成功。
两个都必须有

另外附加说明:
这些跨域设置的cookie,也遵循同源策略,你的JS不能通过document.cookies or response headers访问这些cookies
只能被remote domain (即远端服务器)所控制。

Access-Control-Expose-Headers (optional)
XHR2 对象有一个getResponseHeader()方法,返回特定的响应头。 当一个CORS请求时,getResponseHeader()方法默认只能访问下面这些简单的响应头:

  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified

  • Pragma

    如果你要访问其他header,就要用这个Access-Control-Expose-Headers

如果一个不那么简单的请求,实际包括两个请求

一个preflight request和一个actual request
JS代码

var url = 'http://api.alice.com/cors';
var xhr = createCORSRequest('PUT', url);
xhr.setRequestHeader(
    'X-Custom-Header', 'value');
xhr.send();

HTTP请求响应如下

这里写图片描述

Preflight Reqeust Header

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

Preflight Response Header

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8

preflight请求是一个HTTP OPTIONS 请求,你的服务器要能够响应这种method。

它也包含了一些专有的request heaer

Access-Control-Request-Method
指定实际请求的HTTP method,这个一定要有。

Access-Control-Request-Headers

Preflight Request的作用

发送HTTP OPTIONS方法试探真实请求是否能够安全发送,询问是否允许真实请求(actual request)。服务端会根据两个headers来验证HTTP method和真实请求的method是否有效。

对于Preflight response

有以下的response header:
Access-Control-Allow-Origin
同样是必须提供的
Access-Control-Allow-Methods
允许的HTTP 方法,这个响应头可以包含服务器支持的所有HTTP方法。 因为preflight response可能被cached缓存,所以一个简单preflight response可以包含很多细节关于多种请求类型。

Access-Control-Allow-Headers
如果请求有一个 Access-Control-Request-Headers header的header就需要这个响应头~
可以返回所有服务器支持的响应头。
Access-Control-Max-Age
这个响应头可以使得每个preflight请求变得昂贵。
因为浏览器时做了两个请求weighted每个客户端请求。这个响应头可以让响应被缓存(cached)一个特定的时间。

我们来看真实(实际)请求

请求体

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

响应体

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

我们可以看到真实请求中,我们的方法是put,而响应少了很多header,因为前面的preflight响应过了。

服务器如何拒绝

如果服务器要拒绝CORS请求,直接返回一个没有CORS header的普通响应即可。
有时服务器想要拒绝请求如果在preflight请求中的HTTP method 或者首部(headers)是无效的。
浏览器接收到响应之后,发现没有CORS的headers,就不会做一个真实(实际)的请求。

兼容性

Chrome 3+
Firefox 3.5+
Opera 12+
Safari 4+
Internet Explorer 8+

xxxspade
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 cors 的一些心得
weixin_42638610的博客
07-22 606
1: 什么时候才会出现跨域 一般来说微服务项目中都存在跨域的问题,原因可能是 域名不同,二级域名相同,子域名不同,协议不同,端口不同 2: 解决方式 从技术层面来说解决可以从前端或者后端来解决。 前端解决方法: JSONP , google 提供了一个跨域插件 jfream 后端解决方法: 全局 cors 配置 和 局部 cors...
AJAX-跨域请求
weixin_34220179的博客
06-18 418
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
跨域访问方法介绍(7)--使用 CORS
chinaherolts2008的博客
07-05 552
CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。本文主要介绍 CORS 的基本使用,文中所使用到的软件版本:Chrome90.0.4430.212、jquery 1.12.4,Spring Boot2.4.4、jdk1.8.0_181。 1、CORS 简介 CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能..
CORS 跨域问题解决&&预检(OPTIONS)请求解释
最新发布
weixin_42118323的博客
04-15 1381
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该跨域请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决跨域问题,只使用一种解决问题即可,不要同时配置多个。
如何使用CORS,解决跨域访问异常?
Do_LaLi的博客
06-04 2397
CORS(Cross-origin resource sharing,跨域源资源共享) 1.出现跨域问题。 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 报错信息如下: 2.CORS解决跨域的思路: 请求头参数: Access-Control-Allow-Origin:* 表示不再限制跨域。 3.实现方式:配置局部配置或者配置全局配置; 3-1.局部配置:@CrossOrigin 注解 Controller类中代码: @RestCo
Moesif Origin & CORS Changer
09-04
Chrome插件 主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题
Django中使用CORS实现跨域请求过程解析
01-20
1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 3.设置中间件 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 4.添加允许访问...
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
南方cors在山东网的使用步骤
04-22
南方cors的详细使用步骤,具体操作流程
HI-RTK_CORS使用简易操作流程
09-26
HI-RTK_CORS使用简易操作流程
EASY CORS-crx插件
04-01
语言:English,中文 (简体) 将cors标头添加到响应标头。 该插件旨在修补http标头,以成功为开发人员(主要是前端开发人员^ _ ^)进行跨域请求。 主要功能如下:1.非常简化的UI。 2.将Access-Control-Allow-Origin设置为请求域的来源,而不是*。 3.黑名单模式而不是白名单模式(例如,仅设置开发服务器的来源)。
CORS原理及详细使用(转载)
友人C君的博客
05-02 6303
CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请求类型:...
使用CORS解决跨域问题
12-31 1065
1 跨域问题是什么 先说跨域,跨域是指跨域名(通信协议+域名+端口)的访问;而跨域不一定会产生跨域问题,跨域问题的产生是浏览器对于ajax请求的一种安全限制,一个页面发起的请求必须是与当前域名一样,否则,会产生跨域问题。 1.1 发生跨域问题时,浏览器的console会报出什么错 Access to XMLHttpRequest at 'http://localhost:80...
如何使用CORS解决跨域问题
wangchaoqi1985的博客
10-21 268
如何使用CORS解决跨域问题
跨域资源共享CORS详解
AnitaSun的博客
06-15 635
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制 简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS.
Access-Control-Allow- 跨域CORS使用
enthan809882的博客
07-24 1530
示例: response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "accept,x-requested
cors js 使用
09-04
CORS (跨域资源共享) 是一种在浏览器中解决跨域问题的机制。当一个页面通过 AJAX 请求去访问另一个源(域、协议、端口不同),浏览器会发送一个跨域请求。 CORS使用需要在服务端和客户端两个方面进行设置。在服务端,需要在响应头中添加一些信息来允许跨域请求。常见的响应头字段包括 "Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"、"Access-Control-Allow-Headers"等。通过设置这些字段,服务器可以指定允许的跨域客户端。比如,使用 \* 可以允许所有跨域请求。 在客户端,可以使用 JavaScript 进行 CORS 的处理。一般情况下,浏览器会发送一个 OPTIONS 请求进行预检(preflight)以确定是否允许发送跨域请求。在实际发送跨域请求之前,浏览器会发送一个带有特殊的头部信息的 OPTIONS 请求。如果服务器设置了合适的响应头,浏览器会发送正式的请求获取所需的资源。 可以使用 JavaScript 的 XMLHTTPRequest 或者 Fetch API 发起跨域请求并处理响应。当然,如果需要在跨域请求中携带身份凭证,需要将 withCredentials 属性设置为 true。 使用 CORS 可以实现跨域请求,但需要注意安全性问题。如果服务器没有正确设置响应头,可能会导致安全漏洞。因此,在使用 CORS 时需要确保服务器端的设置是安全可靠的。 总之,CORS 是一种解决跨域问题的机制,通过在服务端和客户端进行设置,可以实现安全可靠的跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值