[HTTP] 跨域资源共享

最新推荐文章于 2022-11-22 21:45:31 发布
最新推荐文章于 2022-11-22 21:45:31 发布
阅读量746 收藏
点赞数
分类专栏: HTTP 文章标签: http 资源共享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DeathDomain/article/details/108015167
版权

CORS是什么

CORS是什么

允许服务器声明哪些源站有权限访问哪些资源。

跨域资源共享机制的工作原理主要应用于三个场景:

  • 简单请求
  • 预检请求
  • 认证请求

 
 

简单请求

简单请求是什么

请求满足所有下述条件,则该请求可视为“简单请求”:

  • 使用下列请求方法之一: GET、HEAD或POST
  • 不得人为设置下列集合之外的其他首部字段: Accept、 Accept-Language、Content-Language、Content- Type
  • Content-Type的值仅限于下列三者之一:
    • text/plain
    • multipart/form-data
    • application/x-www-form-udlencoded

值得注意的是,这些跨域请求与浏览器发出的其他跨域请求并无一致。如果服务器未返回正确的响应首部,则请求方不会收到任何数据。因此,那些不允许跨域请求的网站无需为这一新的HT TP访问控制特性担心。

 

请求消息

请求首部字段Origin表示该请求来源于http://foo.exmaple, Origin的值是每次发送请求时自动携带的请求首部消息。

 

响应消息

响应中携带了响应首部字段Access Control Allow-Origin,使用Origin和Access -Control-Allow-Origin就能完成最简单的访问控制。

 
 

预检请求

预检请求是什么

当请求满足下述任一条件时,即应首先发送预检请求:

  • 使用下列请求方法之一: PUT、DEL ETE、CONNECT、OPTIONS、TRACE或PATH
  • 不得人为设置下列集合之外的其他首部字段: Accept、 Accept-Language、Content-Language、Content- Type
  • Content- Type的值仅限于下列三者之一:
    • text/plain
    • multipart/form-data
    • application/x-www-form uclencoded

预检请求要求必须首先使用OPTIONS方法发起一个 预检请求到服务器,以获知服务器是否允许该实际请求。

预检请求可以避免跨域请求对服务器的用户数据产生未预期的影响。

 

请求消息
  • 请求首部字段Access - Control-Request-Method表示该请求使用POST方法。
  • 请求首部字段Access -Control-Request Headers表示该请求携带X PINGOTHER首部字段。

 

响应消息
  • 响应首部字段Access-Control-Allow-Methods表示允许POST、GET和OPTIONS请求方法。
  • 响应首部字段Access-Control-Allow-Headers表示允许请求携带首部字段X- PINGOTHER。
  • 响应首部字段Access-Control-Max-Age表示设置响应有效时间为1728000秒。

 

CORS是什么

 

Window对象是什么

 
 

认证请求

认证请求是什么

CORS具有一个有趣的特性是,可以基于HTTP Cookies和HTTP认证信息发送身份凭证。一般而言,对于跨域XML HttpRequ Jest请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置XML HttpRequ Jest的某个特殊标志位。

xmlHttpRequest.withCredentials = true;

将XML HttpRequ Jest的withCredentials标志设置为true,使得向服务器发送Cookies,服务器返回
响应首部字段Access-Control-Allow-Credentials: true。

如果服务器端的响应中未携带Access-Control-Allow-Credentials: true,浏览器将不会把响应内容返回给请求的发送者。

 

请求消息

请求携带了请求首部字段Cookie的相关信息。

 

响应消息
^ω^奋斗小青年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Http跨域
04-23
NULL 博文链接:https://zhuliang1984723.iteye.com/blog/2260526
HTTP 跨域资源共享
镜花水月
08-13 121
一、HTTP 预检请求 二、HTTP 认证请求 三、HTTP 跨域资源共享 四、HTTP 简单请求
HTTP学习——跨域资源共享(CORS)
Hoorus的窝
08-07 900
http学习
[CORS:跨域资源共享] W3C的CORS Specification
唐力
09-15 283
Cross-Origin Resource Sharing随着Web开放的程度越来越高,通过浏览器跨域获取资源的需求已经变得非常普遍。在我看来,如果Web API不能针对浏览器提供跨域资源共享的能力,它甚至就不应该被称为WebAPI。从另一方面来看,浏览器作为进入Internet最大的入口,是各大IT公司的必争之地,所以浏览器市场出现了种类繁多、鱼龙混杂的局面。针对这两点,我们迫切需要一种能够被各个
HTTP跨域与其共享机制
shiyidemingzij的博客
08-14 1079
HTTP跨域与其共享机制 什么是跨域与其共享? CORS全称为Cross-Origin Resource Sharing,被译为跨域资源共享,新增了一组HTTP首部字段,允许服务器声明哪些源站有权限访问哪些资源。 跨域资源共享(CORS)是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,此请求就是一个跨域 HTTP 请求 出于安全原因
http 跨域资源共享详解
qq_42880714的博客
11-22 769
http 跨域资源共享详解
Cors跨域资源共享
pscool的博客
01-03 998
cors跨域资源共享
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10.整个CORS通信过程都是浏览器自动完成不需要用户参与。对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的...
js跨域资源共享 基础篇
10-22
主要为大家详细介绍了javascript跨域资源共享的相关资料,感兴趣的朋友可以参考一下
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
跨域资源共享 CORS
一土宁的博客
07-08 234
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现
[HTTP] HTTP是什么
DeathDomain的博客
08-08 3262
HTTP是什么 HTTP是什么 HTTP全称为HyperText Transfer Protocol,被译为超文本传输协议,是互联网上应用最为广泛的一种网络协议。 HTTP协议是在Web上进行数据交换的基础,是一种“客户端–服务器端”协议。也就是说,请求通常是由像浏览器这样的接受方发起的。一个完整的Web文档通常是由不同的子文档拼接而成的,像是文本、布局描述、图片、视频、脚本等等。   HTTP协议历史与标准 HTTP/0.9: 1991年制定,有严重设计缺陷,只支持GET方法,不支持MIME类
[HTTP] HTTP各种特性总览
DeathDomain的博客
08-18 867
CORS跨域请求的限制与解决 返回数据时设置头信息,只能有一个域名,需要多个域名要判断 const http = require('http') http. createServer(function (request, response) { res.writeHead(200,{ "Access-Control-Allow-Origin":'*' }) }).listen( 8887 ) console.log( 'server listening on 8887' )
[HTTP] HTTP协议基础及发展历史
DeathDomain的博客
08-16 770
网络协议分层 经典五层模型   低三层 物理层 主要作用是定义物理设备如何传输数据 数据链路层 在通信的实体间建立数据链路连接 网络层 为数据在结点之间传输创建逻辑链路   传输层 向用户提供可靠的端到端(End-to-End)服务 传输层向高层屏蔽了下层数据通信的细节   应用层 为应用软件提供了很多服务 构建于TCP协议之上 屏蔽网络传输相关细节     http协议发展历史 HTTP/0.9 只有一
[HTTP] Cookie
DeathDomain的博客
08-13 728
Cookie是什么 Cookie是什么 Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器下次向同一服务器再发起请求时被携带井发送到服务器上。 通常,Cookie用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。Cookie技术产生源于HTTP协议在互联网上的急速发展。 Cookie曾一度用于客户端数据的存储,因当时并没有其它合适的存储办法而作为唯一的存储手段。但现在随着现代浏览器开始支持各种各样的存储方
HTTP -- 目录
DeathDomain的博客
08-09 238
[HTTP] 目录 [HTTP] HTTP是什么 [HTTP] HTTP消息
[HTTP] HTTP消息
DeathDomain的博客
08-09 233
HTTP消息是什么 HTTP消息是什么 HTTP报文,又称为HTTP消息,是服务器和客户端之间交换数据的模块。有两种类型的消息:请求,由客户端发送用来触发一个 服务器上的动作;响应,来自服务器的应答。 HTTP消息由采用ASCL编码的多行文本构成。在HTTP/1.1及早期版本中,这些消息通过连接公开地发送。在HTTP/2中,为了优化和性能方面的改进,曾经可人工阅读的消息被分到多个HTTP帧中。   HTTP消息结构 HTTP请求消息和响应消息具有相似的结构,由以下部分组成: start line
[HTTP] HTTP的缓存机制
DeathDomain的博客
08-10 151
缓存是什么   缓存是什么 缓存是一-种保存资源副本并在下次请求时直接使用该副本的技术。当web缓存发现请求的资源已经被存储,它会拦截请求,返回该资源的拷贝,而不会去源服务器重新下载。 缓存需要合理配置,因为并不是所有资源都是永久不变的。重要的是对一个资源的缓存应截止到其下一次发生改变(即不能缓存过期的资源)。   缓存的优势 缓解服务器端的资源消耗和运行压力,提升服务器端的整体性能。 减少服务器端资源加载的延迟,进而减少显示某个资源所用的时间。 减少对带宽造成的压力,避免网络阻塞
cors跨域资源共享配置不当
最新发布
09-08
CORS跨域资源共享配置不当可能会导致一些安全问题。近年来,在渗透测试报告中发现了越来越多的CORS跨域资源共享漏洞。有些开发人员在写报告时可能会将CORS跨域资源共享漏洞提及,但对于以下几个问题缺乏明确的解释。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值