服务端解决跨源共享

最新推荐文章于 2023-03-08 15:41:16 发布
最新推荐文章于 2023-03-08 15:41:16 发布
阅读量208 收藏
点赞数
分类专栏: HTML & JS & DOM & CSS 文章标签: php python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SailingLee/article/details/84238103
版权

 

跨源资源共享是web开发领域中一个非常有趣的话题,互联网上有很多朋友讨论这个话题。跨源共享的官方文档可到这里查看,当然也有很多朋友给出各式各样的解决方案,确实都是OK的,但今天我分享的这套解决方案可能在以往的文章中很少看见—–我们如何在服务器端解决跨源资源共享的问题

做过服务端开发的同学都知道服务器每次响应(http response)都会送回客户端一个http header,而这些http header数据中有时会带有Access-Control-Allow-Origin,请记住Access-Control-Allow-Origin不是每次都会response给客户端的,Access-Control-Allow-Origin通常是在开发者定义后会正确响应给客户端,Access-Control-Allow-Origin的意思是指定可访问控制的请求源,Access-Control-Allow-Origin字段有三种支持的值。
第一种是指定一个可访问控制的请求源,它的格式是一个完整的URL地址

 Access-Control-Allow-Origin: http://qiqicartoon.com
 以上代码表示服务器上的这个文件只允许http://qiqicartoon.com源访问。

第二种是指定多个可访问控制的请求源,它的格式是多个完整的URL地址,以空格分开

Access-Control-Allow-Origin: http://qiqicartoon.com http://demo.qiqicartoon.com:8080

 第三种是可以允许任何可访问控制的源,它的格式是一个通配符*

Access-Control-Allow-Origin: *
  如果服务器上的某个文件需要向任何一个没有认证的源提供访问权限的话,可以指定通配符*值

请注意,不是所有的浏览器都支持Access-Control-Allow-Origin字段,但目前主流的浏览器基本都支持。

Apache中可以执行命令a2enmod headers来暴露Access-Control-Allow-Origin,Access-Control-Allow-Origin成功暴露后,你可以在<Directory>, <Location>, <Files> or <VirtualHost> 中或者一个.htaccess文件中添加以下代码

Header set Access-Control-Allow-Origin *
 当然你也可以使用add而不是set,使用add可以多次添加,因为基于安全的考虑我们可能会使用add。记住修改成功后,重启apache。

在IIS6中暴露Access-Control-Allow-Origin,可通过以下步骤:
1:打开IIS服务器管理
2:右键点击你想启用CORS的站点,选择属性
3:选择Http header tab
4:在自定义http header中选择添加
5:输入Access-Control-Allow-Origin作为一个header信息
6:输入通配符*作为header的值
7:两次点击OK

IIS7中可以复制以下代码到你站点或应用程序根目录下的web.config文件中

<?xml version="1.0" encoding="utf-8"?>
<configuration>
 <system.webServer>
   <httpProtocol>
     <customHeaders>
       <add name="Access-Control-Allow-Origin" value="*" />
     </customHeaders>
   </httpProtocol>
 </system.webServer>
</configuration>
 如果你的目录中没有web.config,你可以先手动新建一个web.config

在基于NodeJSExpressJS中可以添加以下代码,以启用CORS

app.all('/', function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "X-Requested-With");
  next();
 });

app.get('/', function(req, res, next) {

});

app.post('/', function(req, res, next) {

});

 在PHP中,如果你没有权限访问Apache config文件,你同样可以启用CORS

header("Access-Control-Allow-Origin: *");
 请注意在PHP语言中,使用 header function,必须要把它放在任何脚本输出之前。

在ASP.NET中,如果你没有权限访问IIS配置文件,你同样也可以启用CORS

Response.AppendHeader("Access-Control-Allow-Origin", "*");
 这种方法同样适用于IIS6 IIS7传统模式,以及IIS5综合模式

在APP Engine中,比如在Google APP Engine的Python application中,这个self.response.headers.add_header()可以使用

class CORSEnabledHandler(webapp.RequestHandler):
  def get(self):
    self.response.headers.add_header("Access-Control-Allow-Origin", "*")
    self.response.headers['Content-Type'] = 'text/csv'
    self.response.out.write(self.dump_csv())
 谁已经开始在服务端开始CORS了(据我也了解到的)?

HTML5 Rocks一个开源的HTML5开发者资源共享网站
WebKit WebKit宣布在WebGL mailing list,CORS支持图片和视频资源已经完全实施了。
火花集 中国一家创意图片分享网站。

有兴趣的话,你还可以阅读MDN的一篇文章

 

SailingLee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序服务端开发demo(源代码+截图)
06-19
微信小程序服务端开发demo(源代码+截图)微信小程序服务端开发demo(源代码+截图)微信小程序服务端开发demo(源代码+截图)微信小程序服务端开发demo(源代码+截图)微信小程序服务端开发demo(源代码+截图)微信小程序...
打破边界:如何配置 Nginx 反向代理以实现跨源CORS访问请求支持
最新发布
知行合一
01-31 602
笔者的服务器为CentOS7.9,配置了宝塔面板,同时搭建了Wordpress网站,希望利用Wordpress的媒体库功能存放并跨源访问图片,发现Wordpress未进行配置不支持跨源请求,遂通过修改nginx配置文件实现支持跨源请求。如果nginx配置了多个项目,请检查需要支持跨源访问的项目端口,一一查找server,查看监听对应端口的server配置信息并修改。里面打开相应网站的nginx配置文件,直接打开nginx配置文件的是主配置文件,如果正确包含了添加的几个请求头信息,则证明支持跨源访问了。
跨源资源共享CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 916
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
Nginx的跨源/跨域配置宏cors_params
君莫笑
07-20 716
网上搜到的很多Nginx CORS配置虽然也起作用,但是可能因未参考规范而缺少基本的逻辑判断,不能表达CORS的工作原理。Tomcat中有参考自CORS specification的CORS实现CorsFilter,用起来非常方便...
nginx 报错 跨源请求拦截
weixin_42821448的博客
03-24 2007
1. 未在代码上配置controller类上面 配置 @CrossOrigin注解 2.检查前后端的地址是否正确 3.当后端可以通过wrapper访问,检查前端代码, 4.当不通过nginx的配置端口访问正常时且检查nginx配置无误时,关机重启或可解决。 ...
服务端解决跨域方法
05-24
服务端解决跨域方法服务端解决跨域方法服务端解决跨域方法
telnet服务端和客户端源代码
04-10
telnet服务端和客户端源代码
传世网游服务端源代码,基于VC++ .net
03-15
内容索引:VC/C++源码,游戏编程,游戏服务器,传世 基于VC++ .net编写的传世网游服务端源代码,部分代码需要在Delphi下运行。  1- 让服务器配置中的玩家信息真正生效  2- 修正封号消息532C中的第一个WORD的高字节的...
androidpn 服务端和android端源代码
01-02
androidpn 服务端和android端源代码 android推送
跨域资源共享CORS详解及常见错误解决方案
ZTao-z的博客
06-29 3450
cors详解与常见错误解决方案介绍
CORS(跨域资源共享)源验证失败解决方法
davidwkx的博客
02-17 7089
CORS(跨域资源共享)漏洞处理
nginx 解决跨域问题——(CORS
赵忠洋的博客
12-22 3052
跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它源(域、协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。
cors跨域
weixin_57176230的博客
05-17 1801
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 方法一 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry)
跨源资源共享CORS
诗渊的博客
07-27 6620
本博文中介绍了跨域的另一种思想:跨源资源共享CORS),介绍了CORS的基本的思想以及在IE和其他浏览器中的实现方法,最后给出了兼容各大浏览器的CORS的实现方法。
跨域资源共享CORS详解
AnitaSun的博客
06-15 635
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制 简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS.
Nginx解决CORS跨域解决方案
weixin_34106122的博客
04-24 2650
首先通读下 MDN 关于 CORS 的 定义,了解跨域的含义及简单请求和复杂请求等的定义。文中的内容不赘述,现在说解决方案。 通过定义我们可以,简单请求与复杂请求的差别是复杂请求会自动发出一个 OPTIONS 的预检请求,当请求得到确认后,才开始真正发送请求。 综上,我们要解决两个问题: OPTIONS 请求的正确响应 跨域请求正确响应 1、OPTIONS 请求的正确响应 解决的方式有多种,既...
跨域资源共享(CORS)问题解决
哆啦AC梦的专栏
06-27 1082
今天在部署项目的时候遇到一个小问题,把项目扔在A服务器的tomcat上的时候,数据库在B服务器上。用客户端访问A服务器web项目的时候,使用ajax从数据库中读出的数据会提示【需要跨域资源共享(CORS)】。 于是乎,总结一下。 CORS:Cross-Origin Resource Sharing(跨域资源共享) CORS被浏览器支持的版本情况如下:Chrome 3+、IE 8+、
服务器跨域请求设置
lucien7l的博客
07-23 2546
问题:       通过Ajax方式访问跨域的资源时。浏览器报错:“已阻止跨源请求:同源策略禁止读取位于 http://www.zuimeimami.com*****的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')”。 问题分析:        跨域资源共享CORS)机制允许Web应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。...
跨源读取阻止(CORB)功能阻止了MIME类型为text/html的跨源响应_解决方法
07-15
1. 检查响应头:确保服务器返回的响应头中包含正确的CORS跨源资源共享)配置。可以通过设置Access-Control-Allow-Origin和Access-Control-Allow-Headers来允许指定的源和请求头。 2. 调整响应内容:如果服务端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值