CORS( Cross-Origin Resource Sharing )

于 2024-07-23 18:21:24 发布
阅读量191 收藏 2
点赞数 6
文章标签: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75639894/article/details/140642875
版权

 CORS( Cross-Origin Resource Sharing )跨域资源共享:

CORS是一种机制,依赖于浏览器的安全策略,通常为了防止恶意网站从另一个域请求资源,从而保护用户的数据安全。

CORS的原理

CORS 的原理在于使用 HTTP 头来允许或者拒绝某个请求

1.请求头
`Origin`: 标识请求的来源域。
`Access-Control-Request-Method`: 在预检请求中,表明实际请求所使用的方法。
`Access-Control-Request-Headers`: 在预检请求中,表明实际请求所使用的自定义头。

2.响应头 (Response Headers):

`Access-Control-Allow-Origin`: 指定允许访问资源的源。可以是具体的域,也可以是通配符 *(表示允许所有域)。
`Access-Control-Allow-Methods`: 指定允许的 HTTP 方法,如 GET, POST, PUT, DELETE 等。
`Access-Control-Allow-Headers`: 指定允许的请求头,如 Content-Type, Authorization 等。
`Access-Control-Allow-Credentials`: 指定是否允许发送 Cookie 等凭据。值为 true 表示允许。
`Access-Control-Expose-Headers`: 指定哪些头可以公开给客户端。
`Access-Control-Max-Age`: 指定浏览器在发出预检请求之前可以缓存该响应的秒数。

对于某些跨域请求(例如使用了复杂的 HTTP 方法或自定义头),浏览器会在实际请求之前发送一个 OPTIONS 请求。这被称为预检请求。预检请求用于检查服务器是否允许实际请求。

1. 预检请求示例

   - 请求头:

 OPTIONS /resource HTTP/1.1

     Origin: http://example.com

     Access-Control-Request-Method: POST

     Access-Control-Request-Headers: X-Custom-Header

    - 响应头:

  HTTP/1.1 200 OK

     Access-Control-Allow-Origin: http://example.com

     Access-Control-Allow-Methods: POST

     Access-Control-Allow-Headers: X-Custom-Header

     Access-Control-Max-Age: 86400

如果预检请求成功,则浏览器会发送实际的请求。

2. 实际请求 (Actual Request)

在预检请求之后,如果服务器允许该请求,浏览器会发送实际的请求,并在请求头中包含 `Origin`。服务器会在响应头中包含相应的 CORS 头,以便浏览器知道该响应是允许的。

package main

import (
    "github.com/gin-gonic/gin"
    "net/http"
)

// CORS middleware
func CORSMiddleware() gin.HandlerFunc {
    return func(c *gin.Context) {
        c.Writer.Header().Set("Access-Control-Allow-Origin", "*")
        c.Writer.Header().Set("Access-Control-Allow-Credentials", "true")
        c.Writer.Header().Set("Access-Control-Allow-Headers", "Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization, accept, origin, Cache-Control, X-Requested-With")
        c.Writer.Header().Set("Access-Control-Allow-Methods", "POST, OPTIONS, GET, PUT, DELETE")

        if c.Request.Method == "OPTIONS" {
            c.AbortWithStatus(http.StatusNoContent)
            return
        }

        c.Next()
    }
}

func main() {
    r := gin.Default()

    // Use the CORS middleware
    r.Use(CORSMiddleware())

    // Define your routes
    r.GET("/ping", func(c *gin.Context) {
        c.JSON(200, gin.H{
            "message": "pong",
        })
    })

    // Start the server
    r.Run(":8080") // Listen and serve on 0.0.0.0:8080
}

3. 为什么需要 CORS?

1. 安全性:防止恶意网站读取受保护的资源。

2. 灵活性:允许特定的跨域请求,同时保持对其他请求的保护。

3. 兼容性:使得 Web 应用能够安全地与来自不同域的资源交互。

CORS 通过指定哪些域可以访问哪些资源,确保了安全性和灵活性之间的平衡。

Flipped100112
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cross-Origin Resource Sharing in ASP.NET WebForms
01-27
在提供的压缩包文件中,`Cross-Origin Resource Sharing Example.sln`可能是包含示例项目的解决方案文件,`Cors.Target`和`Cors.Origin`可能代表测试的源和目标项目,通过这两个项目,你可以实践并理解CORS在ASP.NET...
跨域资源共享(Cross-origin resource sharing)CORS
Coder
01-07 2984
说起跨域,很多web程序员并不陌生,出于对安全问题的考虑,1995年由Netscape提出同源策略,浏览器在发送Ajax请求时,只接收同域服务器响应的数据资源;那么什么才算同域呢?很简单,协议、域名、端口全部相同才算同一域下,三个条件有一个不一致,都不算同域,既跨域; 因此,即使是我们自己的域名服务器,而二级域名或三级域名不一致,也会出现跨域,如:http://img.xiling.me与h...
跨域资源共享(CORS
m0_53328239的博客
07-16 874
跨域资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他域名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些跨域的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
跨域资源共享(CORS)问题与解决方案
Java领域优秀创作者
06-12 1269
跨域资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
跨域资源共享 CORS 详解
Preeminent
03-07 879
作者: 阮一峰日期: 2016年4月12日本文转载自跨域资源共享CORS - 阮一峰, 我觉得阮老师写的非常好!深入浅出!就转载过来啦~CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。一、简介CORS
跨域资源共享(Cross-Origin Resource Sharing)
qq284489030的博客
04-10 489
概念 跨域资源共享(Cross-Origin Resource Sharing)是W3C的Web应用工作组退出的一种机制,这种机制能使得Web应用服务器能支持跨站访问控制,从而可以安全地进行跨站数据传输。 各浏览器支持情况 CORS需要浏览器和服务器同时支持,参考caniuse.com中各浏览器对CORS的支持情况,目前只有Opera Mini和IE10以下不支持。 CORS请求类型 C...
Cors跨域资源共享
pscool的博客
01-03 1104
cors跨域资源共享
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
1. **CORS(Cross-Origin Resource Sharing)**:服务器端设置Access-Control-Allow-Origin等响应头,允许特定域名的请求访问。这是推荐的解决跨域问题的标准方法。 2. **JSONP(JSON with Padding)**:通过动态...
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(跨域资源共享,Cross-Origin Resource Sharing
01-06
然而,随着Web应用的发展,跨域数据交互的需求日益增多,因此催生了一系列跨域解决方案,包括JSONP、Flash、Iframe以及CORS(跨域资源共享,Cross-Origin Resource Sharing)。 首先,JSONP(JSON with Padding)是...
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域资源共享(CORS,Cross-Origin Resource Sharing)是W3C制定的一项标准,用于允许浏览器安全地进行跨域请求,以解决传统的同源策略限制。标题“TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter”提及...
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on ...
script标签中的crossorigin属性
文摘资讯
11-23 1538
在前端监控逐渐完善的今天,页面中错误日志的上报可以说对我们的日常工作带来了极大的帮助。而使用 window.onerror 事件来捕获 js 脚本中的错误信息是重要的手段 。但是对于跨域的...
【web】 Cross-Origin Resource Sharing(CORS)协议介绍 & 跨域(Access-Control-Allow-Origin)
m0_45406092的博客
02-22 496
文章目录1. 概述2. CORS协议2.1 简单的COR请求2.2 复杂请求3. CORS协议的实现4. 服务端实现5. 参考 1. 概述 传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如
跨域Cross-Origin Resource Sharing
chonger_feifei的博客
03-09 535
跨域Cross-Origin Resource Sharing
跨域资源共享(CORS):详解跨域请求的限制与解决方法
你若盛开,清风自来
03-05 3310
💡 本文将带你深入了解跨域资源共享(CORS)的概念,探讨浏览器对跨域请求的限制以及如何有效地解决这些问题。掌握 CORS 的原理和应对策略,将有助于你在前端开发中更好地实现资源共享。跨域是指在一个域下的网页尝试访问另一个域下的资源。例如,一个在的网页尝试访问的资源。跨域()是一种安全策略,由浏览器 enforced,限制跨域 HTTP 请求。跨域问题主要发生在浏览器端,服务器端由于协议设计的原因,不存在跨域问题。浏览器端跨域请求主要涉及到同源策略(Same-Origin Policy)。
跨域资源共享 CORS 简介及 SpringBoot 代码实现
Passion for coding
05-19 765
为了避免 XSS、CSRF 等攻击,浏览器使用同源策略对跨域 HTTP 请求进行限制。对于前后端分离的项目,如果前端项目与后端项目部署在两个不同的域下,那么前端访问后端时会产生跨域问题。
跨源资源共享(CORS
最新发布
weixin_42451330的博客
06-17 816
本文介绍了跨源资源共享(CORS)及常见示例,介绍了用于CORS的常见请求及相应字段及攻击等。
Cross-Origin Resource SharingCORS)详解,CORS详解,CORS原理分析
weixin_33814685的博客
01-31 200
目录 Cross-Origin Resource Sharing详解 从一个例子说起 同源的定义 CROS头信息设置 Access-Control-Allow-Origin 头信息设置 使用JSONP解决跨域 ...
strict-origin-when-cross-origin axios
09-07
引用中提到了关于标头规则中的strict-origin-when-cross-origin选项。在这个选项下,同源请求时Referer标头会包含完整的路径,而跨域请求时只包含域名。这种情况下,当使用axios进行跨域请求时,可能会出现Strict-origin-when-cross-origin(双重跨域)跨域问题。 具体来说,在使用axios进行跨域请求时,如果设置了合适的headers,可以解决一些跨域问题。然而,如果仍然遇到Strict-origin-when-cross-origin跨域问题,就需要考虑使用其他跨域请求的方式。 CORS(Cross-Origin Resource Sharing)是一种官方的跨域解决方案。它通过设置响应头来告诉浏览器该请求允许跨域。可以在服务器端进行设置,通过设置"Access-Control-Allow-Origin"头来允许特定的域名或所有来源访问。 另外,还可以通过设置credentials选项来处理跨域请求是否发送Cookie。在axios中,默认情况下,同源请求时会发送Cookie,跨域请求时不发送。可以根据需要设置credentials选项的值,如same-origin表示同源请求时发送Cookie,include表示无论是同源请求还是跨域请求都发送Cookie,omit表示一律不发送。 总结起来,当在axios中遇到strict-origin-when-cross-origin跨域问题时,可以考虑使用CORS来处理跨域请求,通过设置响应头来允许特定的域名或所有来源访问。同时,可以根据需要设置credentials选项来处理是否发送Cookie。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值