一篇搞定面试中的跨域问题

已于 2024-02-16 12:01:20 修改
阅读量697 收藏 11
点赞数 17
分类专栏: 面试题 文章标签: 面试 前端
于 2024-02-16 11:21:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IICOOM/article/details/136127165
版权
本文详细介绍了CORS的工作原理、作用、预检请求的概念,以及如何在前后端服务器和开发阶段通过各种方式如Node.js、Koa、代理等解决跨域问题。
摘要由CSDN通过智能技术生成

什么是CORS(跨源资源共享)?

CORS(Cross-Origin Resource Sharing)是一种机制,允许网页从不同的域访问服务器上的资源。

在同源策略下,浏览器限制了跨域访问,CORS允许服务器指定哪些源可以访问其资源。

同源策略(Same-origin policy)

同源策略在web应用安全模型中是一个重要的概念。在这个策略下,浏览器允许第一个网页中包含的脚本可以获取第二个网页的数据,前提是这两个网页在同一个源下。

同源:需要URI、主机名、端口都相同。

这个策略可以防止一个网页上的恶意脚本通过DOM获取其他网页的敏感数据。

需要牢记的一点就是同源策略只应用于脚本,这意味着像images、css和其他动态加载的脚本 可以通过对应的标签跨域访问资源。

是否同源的规则

同源需要满足相同的协议(scheme),相同的主机名(host),相同的端口号(port)

Compared URLOutcome Reason
http://www.example.com/dir/page2.htmlSuccess Same scheme, host and port
http://www.example.com/dir2/other.htmlSuccess Same scheme, host and port
http://username:password@www.example.com/dir2/other.htmlSuccess Same scheme, host and port
http://www.example.com:81/dir/other.htmlFailure Same scheme and host but different port
https://www.example.com/dir/other.htmlFailure Different scheme
http://en.example.com/dir/other.htmlFailure Different host
http://example.com/dir/other.htmlFailure Different host (exact match required)
http://v2.www.example.com/dir/other.htmlFailure Different host (exact match required)
http://www.example.com:80/dir/other.htmlDepends Port explicit. Depends on implementation in browser.

::: tip
scheme: http https
:::

CORS存在的意义

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。

出于安全性,浏览器限制脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest 和 Fetch API 遵循同源策略。这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源,除非响应报文包含了正确 CORS 响应头。

跨源域资源共享(CORS)机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。

CORS的工作原理是什么?

当浏览器发起跨域请求时,会在请求头中添加Origin字段,指示请求的源。服务器接收到请求后,会在响应头中添加Access-Control-Allow-Origin字段,指示允许访问的源。如果服务器允许该源访问资源,浏览器会将响应返回给客户端。

CORS中的预检请求是什么?为什么需要预检请求?

预检请求是浏览器在发送跨域请求前发送的一种OPTIONS请求,用于检查服务器是否支持跨域请求。预检请求中包含一些额外的头信息,如Access-Control-Request-Method、Access-Control-Request-Headers等。

预检请求的目的是确保服务器支持跨域请求,避免跨域请求对服务器造成安全风险。只有在服务器返回允许的响应头后,浏览器才会发送实际的跨域请求。

了解了上面的内容,我们解决浏览器控制台的跨域问题,一般有两个方向:

  1. 后端服务设置允许跨域访问
  2. 前端通过代理访问资源(开发阶段使用)

如何在服务器端配置CORS?

在服务器端配置CORS通常需要在响应头中添加一些字段,如Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等。通过配置这些字段,可以控制允许的源、请求方法和请求头。

用 Node.js 的一个框架 koa 来举例,解决跨域使用 koa-cors 非常简单,如下:

var koa = require('koa');
var route = require('koa-route');
var cors = require('koa-cors');
var app = koa();

app.use(cors());

app.use(route.get('/', function() {
  this.body = { msg: 'Hello World!' };
}));

app.listen(3000);

这个中间件大概做了这样的事情:

module.exports = () => {
  return async function(ctx, next) {
    ctx.set('Content-Type', 'application/json');
    ctx.set('Access-Control-Allow-Origin', '*');
    ctx.set('Access-Control-Allow-Methods', 'GET, POST, PATCH, DELETE, PUT');
    ctx.set('Access-Control-Allow-Headers', 'X-Requested-With, content-type, X-Authorization, X-uuid');
    ctx.json = json.bind(ctx);
    ctx.halt = halt.bind(ctx);
    try {
        await next();
    } catch (e) {
        return ctx.halt(e.code, e.message);
    }
  };
};

这样前端收到的响应会是下面的样子:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

本例中,服务端返回的 Access-Control-Allow-Origin: * 表明,该资源可以被 任意 外域访问。

前端代理

如果使用了webpack 那么配置一个代理就很容易,通过代理模拟出和服务端同源的请求。

//webpack.config.js
module.exports = {
  //...
  devServer: {
    proxy: {
      '/api': {
        target: 'http://localhost:3000',
        pathRewrite: { '^/api': '' },
      },
    },
  },
};

这样前端发起的请求包含/api的路径就会被代理到 http://localhost:3000,并且会把/api替换为空。如果你的接口地址本来就包括/api,那只要把pathRewrite: { ‘^/api’: ‘’ }去掉即可。

这个devServer代理使用功能强大的 http-proxy-middleware 软件包。

http-proxy-middleware 内部又使用了 node-http-proxy

服务端代理

服务端代理是一种解决跨域访问的方法,通过在服务端发起请求并将结果返回给客户端,绕过了浏览器的同源策略限制。通常可以使用Node.js、Java、Python等后端语言来实现服务端代理。

以下是一个使用Node.js实现服务端代理的示例代码:

const express = require('express');
const request = require('request');

const app = express();

app.get('/proxy', (req, res) => {
  const url = req.query.url;
  request(url, (error, response, body) => {
    if (!error && response.statusCode === 200) {
      res.send(body);
    } else {
      res.status(500).send('Error');
    }
  });
});

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在上面的示例中,当客户端发送请求到/proxy接口时,服务端会将请求转发到指定的URL,并将结果返回给客户端。

总结

总的来说,跨域资源共享是一个常见的Web开发问题,了解跨域资源共享的原理和解决方法对于开发安全可靠的Web应用程序非常重要。

参考链接

跨源资源共享(CORS)

文章首发于我的博客-《一篇搞定面试中的跨域问题》

IICOOM
关注
  • 17
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试 - 跨域的原因?解决?
xiannverhaha的博客
08-23 68
产生跨域的本质是ajax引擎拦截住非同源的响应;(请求能发给server,但拦截了server给的响应)
浅谈跨域问题
ergouy's blog
12-17 543
最近在写项目的时候,用到axios进行前后端交互,出现非同源请求跨域问题,查找相关资料解决问题后做此笔记以供参考,如有指正请您联系我 文章目录一 跨域1.含义2.举例3.目的二 解决方案---CORS1.概念2.简介3.思想4.主要参数5.两种请求6.简单请求流程7.非简单请求流程三 总结 一 跨域 1.含义   1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行...
一篇文章搞明白CORS跨域
weixin_33767813的博客
11-26 168
面试问到数据交互的时候,经常会问跨域如何处理。大部分人都会回答JSONP,然后面试官紧接着就会问:“JSONP缺点是什么啊?”这个时候坑就来了,如果面试者说它支持GET方式,然后面试官就会追问,那如果POST方式发送请求怎么办?基础扎实一些的面试者会说,使用CORS跨域,不扎实的可能就摇摇头了。 这还没结束,如果公司比较正规或者很在乎技术...
Nginx 轻松搞定跨域问题
CSDN_KONGlX的博客
04-07 64
来源:酒香逢 地址:www.cnblogs.com/fnz0/p/15803011.html 当你遇到跨域问题,不要立刻就选择复制去尝试,请详细看完这篇文章再处理,我相信它能帮到你。 分析前准备: 前端网站地址:http://localhost:8080 服务端网址:http://localhost:59200 首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的 当...
js各种跨域问题实战小结
03-03
也就是说只能访问同一个域的资源。我觉得这就有必要了解下javascript的同源策略是怎么回事了:javascript的同源策略。这里更加细致详细的总结了为什么要跨域:javascript跨域之什么是跨域?为什么跨域?于是当...
Vue项目跨域问题解决方案
08-27
在开发Vue项目时,我们经常会遇到跨域问题,这主要是由于浏览器的安全策略限制了不同源之间的请求。跨域问题可以通过多种方式解决,本文主要讲解在使用vue-cli搭建的项目,如何通过更改Header和使用...
Vue开发遇到的跨域问题及解决方法
10-15
跨域问题是Vue开发过程经常遇到的一种网络请求限制问题。所谓跨域,简而言之是指浏览器出于安全考虑,限制了一个域下的文档或者脚本如何能与另一个域下的资源进行交互。这通常包括不同协议、不同域名、不同端口...
常见面试问题(Python)
最新发布
jiao_mrswang的博客
08-23 91
5、GIL全局解释锁。
力扣218题详解:天际线问题的多种解法与复杂度分析
10年数据\经营分析经验,现任大厂数据分析负责人
08-20 883
本文详细解读了力扣第218题“天际线问题”,通过使用扫描线法和优先队列高效地解决了这一问题,并提供了详细的解释和模拟面试问答。希望读者通过本文的学习,能够在力扣刷题的过程更加得心应手。
金九银十,软件测试面试八股文【含答案+文档】
cs888zsy的博客
08-20 754
参考答案:兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行,即是通常说的软件的可移植性。兼容的类型,如果细分的话,有平台的兼容,网络兼容,数据库兼容,以及数据格式的兼容。兼容测试的重点是,对兼容环境的分析。通常,是在运行软件的环境不是很确定的情况下,才需要做兼容。根据软件运行的需要,或者根据需求文档,一般都能够得出用户会在什么环境下使用该软件,把这些环境整理成表单,就得出做兼容测试的兼容环境了。
用一个具体例子说明什么是提示词工程师
fertiland的专栏
08-21 529
您好,欢迎来到面试!我是今天的面试官,非常高兴能和您进行这次交流。为了确保整个面试流程的顺利进行,我们会按照既定的环节来推进面试。首先,我想了解一下您的意向岗位是什么呢?您说:基于大模型的应用系统开发ChatGPT 说:ChatGPT好的,我已经记录了您的意向岗位是“基于大模型的应用系统开发”。接下来,您更希望由技术主管还是经理来进行这次面试呢?您说:技术主管来面试ChatGPT 说:ChatGPT明白了,您希望由技术主管来进行面试。我会按照您的意愿进行安排。
梦与不存在的幻境
weixin_66580750的博客
08-21 250
-----------编者 2024年8月21日21:30:32。专栏正式开放订阅时间:2024年8月25日23:59:00。本文同步转发:CSDN,ACGO,LUOGU,WEIBO。专栏现行开放公示时间:2024年8月23日0:00:00。里面是一群年轻人努力的向前奔跑,甚至没注意到后面的老人。新专栏[梦与不存在的幻境],即将推出,敬请期待!专栏下半篇开放时间待定,敬请期待!
Leetcode面试经典150题-128.最长连续序列
个人专长:数据结构和算法、大数据、数据库、主流框架
08-23 173
Leetcode面试经典150题-128.最长连续序列,同时也是字节面试高频题频次第15高的题,务必掌握
0819、0820梳理及一些面试题梳理
G254560543875660的博客
08-20 959
物数网传会表应、网络接口层,网络层,运输层,应用层。指针数组和数组指针的区别。TCP和UDP的区别。
Java笔试面试题AI答之线程(7)
学无止境,止于至善
08-23 467
AQS框架是Java并发包的一个核心部分,它提供了一种基于FIFO等待队列的同步机制,用于管理等待线程并控制资源的获取和释放。通过定义一套模板方法,AQS允许子类根据需要实现自定义的同步器。AQS框架在单体架构和微服务项目单个服务内部的线程同步和并发控制发挥着重要作用。AQS通过提供独占模式和共享模式,以及相应的tryAcquiretryRelease和等方法,允许基于AQS的同步器根据具体需求选择合适的资源共享方式。
python 面试指南
mohen_777的博客
08-19 791
Table of Contents看两个例子: 所有的变量都可以理解是内存一个对象的“引用”,或者,也可以看似cvoid*的感觉。这里记住的是类型是属于对象的,而不是变量。而对象有两种,“可更改”(mutable)与“不可更改”(immutable)对象。在python,strings, tuples, 和numbers是不可更改的对象,而list,dict等则是可以修改的对象。(这就是这个问题的重点)当一个引用传递给函数的时候,函数自动复制一份引用,这个函数里的引用和外边的引用没有半毛关系了.所以
嵌入式八股-面试30题(20240821)
sagima_sdu的博客
08-22 575
ALU负责执行算术和逻辑运算,控制单元负责指令的解码和执行,寄存器组用于快速存储数据和指令,缓存用于存储频繁访问的数据以提高处理速度。ARM处理器具有多个模式和级别的断处理能力,支持多种总线协议,如AMBA,并且通常集成了丰富的外设接口。如果数据在缓存,则直接使用,否则通过MMU(内存管理单元)进行地址转换,然后从物理内存读取数据并加载到缓存,最后传递给CPU核。在FreeRTOS,同优先级任务的执行顺序由任务创建和调度的先后顺序决定,具体执行顺序会因任务的创建顺序、时间片轮转等因素影响。
Java笔试面试题AI答之线程(3)
学无止境,止于至善
08-22 833
多线程环境下的伪共享(False Sharing)是一个在多线程编程常见的性能问题。伪共享是指当多个线程同时访问共享内存区域的不同部分时,尽管这些部分在逻辑上是独立的,但它们实际上位于同一个缓存行(Cache Line)。由于缓存系统的工作方式,这些线程在修改各自的数据时会相互干扰,导致不必要的缓存行更新和失效,从而降低了程序的性能。线程局部变量(Thread Local Variables)是一种在并发编程常用的技术,用于保证每个线程拥有该变量的一个独立副本,线程之间对该变量的修改不会相互影响。
前端面试题怎么解决跨域问题
06-09
跨域问题是由浏览器的同源策略引起的,同源策略是一种安全机制,它限制了一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 解决跨域问题的常用方法有以下几种: 1. JSONP JSONP(JSON with Padding)是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值