CORS相关

于 2020-05-20 22:53:13 发布
阅读量326 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GuXiaoyan12/article/details/106245660
版权

相关知识

CORS,全称Cross Origin Resource Sharing(跨域资源共享)。当浏览器请求不同的域名,不同的协议(http、https),不同的端口时就会发生跨域。
CORS请求有两种类型:
1.简单请求,简单请求会直接请求服务端,不会触发OPTIONS预检请求

  • 请求方法为这三种之一:GET、HEAD、POST
  • 允许人为设置字段的头部为:Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width
  • Content-Type值为这三种之一:text/plain、multipart/form-data、application/x-www-form-urlencoded
    在这里插入图片描述
(图片来源mdn)

2.复杂请求,不满足以上条件的请求就是复杂请求。浏览器在检测当一次请求是复杂情况时,会首先使用OPTIONS方法发起一个预检请求到服务端,以获知服务器是否允许本次请求。

图片来源mdn
其中服务器返回的重要字段信息:

  • Access-Control-Allow-Origin,表明服务器的资源可以被哪些域访问,如果值为"*",则任何域都可以访问资源,如果设为“http://foo.example”,则限定域为http://foo.example
  • Access-Control-Allow-Methods:服务端允许的跨域访问方法,可以指定为:GET、POST等
  • Access-Control-Allow-Methods:服务端允许的请求头部字段
  • Access-Control-Allow-Credentials:一般而言,浏览器在发起跨域请求时不会携带cookie信息,需要在请求时手动设置Access-Control-Allow-Credentials为true。随后收到服务端的响应头部中,如果未携带 Access-Control-Allow-Credentials: true,浏览器不会将响应发给实际请求者。注意,浏览器发起的附带身份信息的请求,服务器不得设置 Access-Control-Allow-Origin 的值为"*"

服务端配置

通过以上描述可以看出,后端服务在响应时需要带上Access-Control-Allow相关的头部。当后端服务有多个时,在每个服务中设置跨域头部显然是一件麻烦的事情。我们在nginx层去做配置,配置例子如下所示:

server {
	listen 80;
	server_name 127.0.0.1
    valid_referers localhost 127.0.0.1;
    if ($invalid_referer) {
       return 403;
    }
    location / {
        proxy_pass  127.0.0.1:9000;
        proxy_connect_timeout    10s;
        proxy_read_timeout       10s;
        proxy_send_timeout       10s;
        proxy_set_header REMOTE_ADDR $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_buffering  off;
        proxy_buffer_size 64k;
        proxy_buffers 8 64k;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        if ($request_method = 'OPTIONS') {
            add_header Access-Control-Allow-Origin "$http_origin";
            add_header Access-Control-Allow-Methods PUT,POST,GET,DELETE,OPTIONS;
            add_header Access-Control-Allow-Headers "Origin,Content-Type,Accept,Authorization";
            add_header Access-Control-Allow-Credentials true;
            add_header Access-Control-Max-Age 2592000 ;
            return 204;
        }
        if ($http_origin ~* "(biz)\.com$|http://localhost(:\d+)?") {
                        add_header Access-Control-Allow-Origin "$http_origin" ;
                        add_header Access-Control-Allow-Methods PUT,POST,GET,DELETE,OPTIONS;
                        add_header Access-Control-Allow-Headers "Origin,Content-Type,Accept,Authorization";
                        add_header Access-Control-Allow-Credentials true;
                        add_header Access-Control-Max-Age 2592000;
        }
        }

}
满天星河
关注
Laravel--CORS 扩展包完美解决前后端分离应用跨域请求
woqianduo的博客
11-16 1万+
概述 跨域请求的解决方案有 CORS 和 JSONP(了解更多明细可以参考这篇教程),但是 JSONP 有个致命缺点 —— 仅支持 GET 请求,所以推荐使用 CORS(Cross-origin resource sharing,跨域资源共享),何况在 Laravel 生态中已经有了 laravel-cors 这样强大的扩展包,拿来即用,只需要配置一个中间件即可上手,非常方便。 本片文章讲解两种跨...
跨域解决方案之CORS及其相关概念
weixin_44471490的博客
08-26 611
在讲解 CORS 之前先了解以下几个概念 同源策略 同源策略(Same origin policy)是一种约定,是浏览器限制一个域名与另外一个域名的资源的交互的规则,是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果一个请求地址里面的协议、域名和端口号都相同,就属于同源。 举个例子,判断下面URL是否和http://www.a.com/a/a.html同源: http://ww.
CORS(跨站资源共享)介绍
测试
12-03 538
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
除了jsonp 跨域外还有CROS
马金波
04-23 648
http://www.ruanyifeng.com/blog/2016/04/cors.html
使用CORS:跨域两三事
weixin_30546933的博客
03-19 244
本文为译文。 简介 APIS是可以将富网页应用串连在一起的线程。但是这个应用难以转给浏览器,跨域请求技术的选择被限制了,类似JSONP(由于安全考虑,使用会被限制),或者配置代理(设置和维护都比较头痛)。 Cross-Origin Resource Sharing(CORS)是允许来自浏览器的跨域通信的W3C规范。通过设置XMLHttpRequest的头部,CORS允许开发者...
tomcat跨域cors相关jar包 cors-filter-1.7.jar和java-property-utils-1.9.jar
04-21
标题中的“tomcat跨域cors相关jar包 cors-filter-1.7.jar和java-property-utils-1.9.jar”指的是在Apache Tomcat服务器上处理跨域请求时所用到的两个关键库。CORS(Cross-Origin Resource Sharing)是现代Web应用...
tomcat跨域cors相关jar包 java-property-utils-1.9.jar,cors-filter-1.7.jar,java-util-1.9
06-23
CORS配置中,可能用到这些工具来获取或设置配置参数,例如从配置文件中读取CORS相关设置,如允许的源、方法、头部等。 2. **cors-filter-1.7.jar**: 这是一个实现CORS过滤器的库,核心功能是处理HTTP请求头中...
CORS Scanner工具
最新发布
02-21
同时,它也能帮助测试团队在部署前发现和修复跨域相关的错误,避免生产环境出现意外问题。 总之,CORS Scanner工具是Web开发过程中不可或缺的安全检查工具,尤其在构建API服务或者涉及跨域交互的应用时,其价值尤为...
fastify-cors:加速 CORS
07-23
fastify-cors fastify-cors允许在 Fastify 应用程序中使用 。 支持 Fastify 3.x版本。 Fastify ^2.x兼容性请参考及相关版本。 Fastify ^1.x兼容性请参考及相关版本。 安装 npm i fastify-cors 用法 需要fastify-...
lumen-cors:Lumen PHP框架的CORS模块
05-23
有关更多信息,请参见流明文档中的“配置文件”部分。 可用的配置选项: allow_origins array允许执行请求的来源,默认为空数组。 模式也被接受,例如* .foo.com allow_methods array允许的HTTP方法,默认为空...
跨域CORS原理及调用具体示例
dawuafang
06-20 109
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
1.什么是CORS?在什么情况下会发生这个情况
weixin_42595331的博客
01-20 846
1.什么是CORS?在什么情况下会发生这个情况 解:CORS是跨域,域名,协议。端口相同为同域,不相同为跨域。 解决方法: JSONP:JSONP可以解决跨域问题,但是只能使用get请求,不能使用post请求 ...
CORS 几种解决方案
热门推荐
制心入境
08-26 1万+
CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否. Access-Control-Allow-Origin:指定授权访问的域 Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等) 一:简单的自定义CORSFilter / Intercepto
关于laravel框架的跨域请求/jsonp请求的理解
weixin_30885111的博客
04-07 159
最近刚接触laravel框架,首先要写一个跨域的单点登录。被跨域的问题卡了两三天,主要是因为对跨域这快不了解,就在刚才有点茅塞顿开的感觉,我做一下大概整理,主要给一些刚接触摸不着头脑的看,哪里写得不对的,也请大神指点,言归正传: 1.先用通俗易懂的话说下原理和几种跨域的方式,因为网上一搜都是追对某一种方式的专业性解答,我是消化不了多少。 第一种:jsonp 方式,这是什么方式呢,先要...
阿里巴巴2018秋招总结
FareBlog
05-04 1877
这是去年8月份秋招的面试,五面都面完了,给大家贡献干货吧。我没写问题的答案,有什么问题可以留言区问我。 一面 电话面(1小时) 电话面问题不多,但是十分考验对相关知识熟悉程度,面试官是 P7(不理解这个就去百度吧) 以前做过什么项目?使用了什么技术?(balabala…) 继续上一个问题,为什么使用 gulp 不用 webpack? 你都使用过哪些框架?(就说熟练XXX框架,用过了解XX...
Burpsuite安全测试测试指导
测试帮日记
04-16 3109
1Burpsuite简介 Burpsuite是一款安全领域非常重要的Web扫描工具(或者说是平台),它用于攻击Web应用程序。在Burp Suite上集成了各种扫描工具插件,各个集成插件可以组合使用,也可以单独使用。 2Burpsuite安装 Burpsuite有两个版本,专业版和免费版,本次只进行一些简单的web安全测试,涉及到的插件并不多,所以直接安装免费版即可,工具获取直接...
jsonp跨域请求的几种方式
hg421的博客
08-11 1579
demo.html Document 查看 //方法一 $('button').click(function(){ var url="http://www.json.com/day19/demo.php?callback=?"; $.get(url,function(msg){ for(i in msg){ alert(msg[
跨域资源共享 CORS 详解
张erdan的博客
08-02 2945
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器
跨域资源共享(CORS)实战
8. 解决常见问题:提供解决CORS相关问题的策略和技巧,帮助开发者调试和优化跨域请求。 这本书对于Web开发者、后端工程师以及任何需要理解或实现跨域通信的人士来说,都是一个宝贵的资源。它不仅提供了理论知识,还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值