跨站资源共享(CORS)

最新推荐文章于 2024-06-17 08:57:55 发布
最新推荐文章于 2024-06-17 08:57:55 发布
阅读量630 收藏
点赞数
分类专栏: 前端开发 文章标签: http 前端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaChongYuFei/article/details/79338308
版权

跨域http请求

当两个站点的协议(http、https、ftp)、域名、端口不同时,该两个站点构成跨域。出于安全原因, 浏览器会限制脚本发起跨域http请求(也有可能是正常发送,但是拦截返回值)。实际项目中常用的解决跨域的方法通常有JSONP、CORS等。

使用CORS跨域

JSONP跨域比较简单,不需要服务器端配合,但是只能发送GET请求;CORS是目前使用最为广泛的跨域解决方案,需要服务端的配合。

简单请求与非简单请求

浏览器将CORS分为简单请求和非简单请求,非简单请求需要首先发送CORS预检请求,相当于发送两次请求,当预检请求成功后,才发送真正的http请求.

简单请求

若请求满足所有下述条件,则该请求可视为“简单请求”

  • 使用下列方法:

    1. GET
    2. POST
    3. HEAD

  • http的首部仅能包含以下:

    1. Accept
    2. Accept-Language
    3. Content-Language
    4. Content-Type (text/plain、multipart/form-data、application/x-www-form-urlencoded)
    5. DPR
    6. Downlink
    7. Save-Data
    8. Viewport-Width
    9. Width

客户端和服务器之间使用 CORS 首部字段来处理跨域权限:
这里写图片描述

请求头部:
    GET /resources/public-data/ HTTP/1.1
    Host: bar.other
    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: en-us,en;q=0.5
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Connection: keep-alive
    Referer: http://foo.example/examples/access-control/simpleXSInvocation.html
    Origin: http://foo.example

响应头部:
    HTTP/1.1 200 OK
    Date: Mon, 01 Dec 2008 00:23:53 GMT
    Server: Apache/2.0.61 
    Access-Control-Allow-Origin: *
    Keep-Alive: timeout=2, max=100
    Connection: Keep-Alive
    Transfer-Encoding: chunked
    Content-Type: application/xml

    [XML Data]
> 请求头部中的Origin字段表示请求来源这个域,与响应头部中的Access-Control-Allow-Origin字段形成简单访问控制。
非简单请求

非简单请求需要首先发送预检请求,预检请求就是使用options方法(http的一种方法),发起一个预检请求到服务器,确认服务器是否该实际请求;如果服务器否定了“预检”请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。

当请求满足下述任一条件时,即应首先发送预检请求:
使用下列方法:
1. PUT
2. DELETE
3. CONNECT
4. OPTIONS
5. TRACE
6. PATCH

http的首部仅能包含以下:
1. Accept
2. Accept-Language
3. Content-Language
4. Content-Type (不为text/plain、multipart/form-data、application/x-www-form-urlencoded)
5. DPR
6. Downlink
7. Save-Data
8. Viewport-Width
9. Width

如下是一个需要执行预检请求的 HTTP 请求:

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/post-here/';
var body = '<?xml version="1.0"?><person><name>Arun</name></person>';

function callOtherDomain(){
  if(invocation)
    {
      invocation.open('POST', url, true);
      invocation.setRequestHeader('X-PINGOTHER', 'pingpong');
      invocation.setRequestHeader('Content-Type', 'application/xml');
      invocation.onreadystatechange = handler;
      invocation.send(body); 
    }
}

上述代码中,使用了自定义的http头信息“X-PINGOTHER”,而且Content-Type为application/xml,所以需要发送预检请求。

这里写图片描述

首先通过options方法发送预检请求,预检请求验证通过后发送真正的请求,最后完成http请求。

附带身份凭证的请求

CORS可以基于HTTP cookies和HTTP发送身份凭证,一般对于跨域的XMLHttpRequest请求,浏览器不会发送身份凭证信息,如果需要发送则需要设置标志位(withCredentials = true)

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/credentialed-content/';

function callOtherDomain(){
  if(invocation) {
    invocation.open('GET', url, true);
    invocation.withCredentials = true; //向服务器发送cookies
    invocation.onreadystatechange = handler;
    invocation.send(); 
  }
}

如果服务器端的响应中未携带 Access-Control-Allow-Credentials: true ,浏览器将不会把响应内容返回给请求的发送者。

这里写图片描述

参考文献
[1]:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

小仙女爱吃虾滑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
跨域(CORS)问题分析与解决方案
weixin_40222901的博客
10-16 2855
CORS问题分析与解决方案
CORS解决方案汇总
2401_84466361的博客
06-16 1319
Cors全称"跨域资源共享"(Cross-origin resource sharing),Cors的出现是用来弥补SOP(同源策略)的不足。在当时SOP有些限制了网页的业务需求,不能够使不同域的网页互相访问,因此提出了Cors:用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露。
AJAX-跨域请求
weixin_34220179的博客
06-18 429
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
CORS跨站资源共享)介绍
测试
12-03 532
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
跨站资源共享CORS原理深度解析
字母哥博客
10-26 893
我相信如果你写过前后端分离的web应用程序,或者写过一些ajax请求调用,你可能会遇到过CORS错误。 CORS是什么? 它与安全性有关吗? 为什么要有CORS?它解决了什么目的? CORS是怎样运行的? 如果您有这些问题,那么这篇文章非常适合您。 一、什么是CORS? 要了解什么是CORS(Cross-Origin Resource Sharing:跨站资源共享),首先我们需要了解什么是同源策略Same Origin Policy(SOP)。SOP是所有的现代浏览器都具备的安全措施,它不允许从一个加.
启用跨站资源共享(备忘)
yw1688的专栏
03-28 624
跨域Ajax调用的首选方法是跨站资源共享CORS).与Jsonp不同,CORS不会利用安全漏洞,而且,它是由特殊的HTTP的消息头告诉浏览器允许跨域AJAX调用,避免了“hacks",让Cors方法更加简单,因为这样就不再需要javascript回调函数或者自定义操作结果类。 为了启用cors支持,只需要给每个需要cors支持的请求消息设置Access-Control-Allow-Origin
跨源资源共享CORS
最新发布
weixin_42451330的博客
06-17 847
本文介绍了跨源资源共享CORS)及常见示例,介绍了用于CORS的常见请求及相应字段及攻击等。
30 分钟理解 CORB 是什么
weixin_34130389的博客
08-23 457
写在前面 前些日子在调试 bug 的时候,偶然发现这么一个警告: Cross-Origin Read Blocking (CORB) blocked cross-origin response www.chromium.org/ with MIME type text/html. See www.chromestatus.com/feature/562… for more details. 我...
跨来源资源共享CORS
Delion
05-19 1113
跨来源资源共享 跨来源资源共享CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略[1],是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSO
CORS(跨域资源共享)源验证失败解决方法
davidwkx的博客
02-17 8234
CORS(跨域资源共享)漏洞处理
CORS跨域资源共享与OPTIONS请求
程序媛的梦工厂
03-31 362
由于同源策略的影响,所以作为程序员就必须解决跨域的问题,此文章说的是CORS(跨域资源共享) 1、简单请求 必须满足以下的条件 请求方法必须是HEAD GET POST之一 http的头信息 Accept Accept-Language Content-Language Last-Event-ID Content-Type: application/x-www-for...
HTTP系列之跨域资源共享机制(CORS)介绍
clyss1234的博客
08-07 565
CORSHTTP,跨域,跨域资源共享
HTTP 第六章 跨资源共享(CORS)
aXin_li的博客
02-22 1096
跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他源(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。例如:运行在 https://baidu.com 的js代码使用向 https://google.com 发起请求。
跨域资源共享CORS)问题与解决方案
Java领域优秀创作者
06-12 1534
跨域资源共享CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
全方位了解CORS跨域资源共享漏洞
zhhhrj的博客
05-22 1677
想要了解明白这个漏洞,我们就需要知道一些前提同源策略 (Same Origin Policy)协议域名端口​ 同时满足这三种条件就是同源,当存在两个站点,其中有一项不满足相同条件的时候,我们即可说这两个站点不是同源站点,而当其中一个站点想请求另外一个站点的资源的时候我们边称它为跨域请求,而由于安全考虑,跨域请求会受到同源策略的限制不受影响的标签。
《网络安全学习》 第七部分-----跨域资源共享CORS)漏洞
tomatocc的博客
02-24 5050
本博客内容部分来自于漏洞银行公开的学习视频之中,感谢漏洞银行的无偿技术分享。 第一部分:浏览器同源策略 学习跨域资源共享之前,首先要了解到的是浏览器同源策略这个概念。这样便于后续的跨域资源共享漏洞的理解和运用。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基...
tomcat CORS跨域资源共享漏洞
ni_e_xin的博客
12-07 1774
tomcat cors跨域资源共享漏洞
CORS(跨站资源共享)
07-27
CORS(Cross-Origin Resource Sharing)是一种用于在浏览器中进行跨域资源共享的机制。在Web开发中,由于浏览器的同源策略限制,不同源的网页(协议、域名、端口号有所不同)之间无法直接进行跨域通信。而通过CORS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值