一文说尽 CORS

最新推荐文章于 2024-11-02 09:45:00 发布
最新推荐文章于 2024-11-02 09:45:00 发布
阅读量102 收藏
点赞数
分类专栏: 前端的碎碎念 文章标签: http 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afan_coding/article/details/130175262
版权
本文详细介绍了CORS(跨域资源共享)的工作原理,包括什么是跨域请求、预检请求的触发条件及处理、非预检请求的CORS处理,以及与之相关的响应头和跨域时携带Cookie的限制。通过对CORS机制的理解,有助于解决前端开发中的跨域问题。
摘要由CSDN通过智能技术生成

CORS的英文全称是"Cross-Origin Resource Sharing"。代表“跨域资源共享”,是一种用于在Web浏览器和Web服务器之间共享跨域资源的机制。跨域资源是指来自不同域的网页上的资源,如字体,图像,脚本和样式表等。CORS允许网站服务器提供一组规则,以确定哪些网站可以访问其资源。

1.什么是跨域请求

跨域请求是指从一个Web页面发出的请求,而且其目标资源与当前页面不同源。

同源是指协议、域名和端口号都相同,而不仅仅是域名相同。

如果使用的协议、端口或域名有一个不同,它们就被视为不同源,默认不可以进行跨域访问。

2.预检(Preflight)请求

顾名思义,预检请求用来检查实际请求是否安全可行,确保接下来的实际请求不会引起安全问题。

浏览器会在发送预检请求之后等待响应,只有当服务器允许时,才会发送实际请求。

2.1 什么情况下会触发预检请求

预检请求的反义词是简单请求,我们可以看下简单请求的判断标准

若请求满足所有下述条件,则该请求是简单请求:

请求方法使用下列方法之一:

  • GET

  • HEAD

  • POST

允许手动设置的标头字段为:

  • Accept

  • Accept-Language

  • Content-Language

  • Content-Type(需要注意额外的限制)

  • Range(只允许简单的范围标头值 如 bytes=256- 或 bytes=127-255)

Content-Type 标头的值仅限于下列三者之一:

  • text/plain

  • multipart/form-data

  • application/x-www-form-urlencoded

XMLHttpRequest.upload 对象属性上没有注册任何事件监听器

也就是说,没有调用 xhr.upload.addEventListener(),以监听上传请求。

请求中没有使用 ReadableStream 对象。

如果不满足上述任何一个条件,都会触发预检请求

2.2 预检请求的CORS处理

在CORS中,预检请求的目的是用于检查跨域请求是否安全、可行。

预检请求是在正式的跨域请求之前发起的一次探测,用于告知服务器,实际发送的跨域请求是否合法。

因此,对于预检请求的处理,需要服务器端进行相应的配置。

预检请求的处理步骤如下:

  • 浏览器会先发送一个OPTIONS请求(预检请求),包含了实际发送的跨域请求所需要的一些头信息,比如请求方法、请求头等。

  • 服务器收到后,会根据请求头中的信息进行判断,判断跨域请求是否安全可行。

  • 如果跨域请求合法,服务器会返回带有特定CORS响应头的响应,告知浏览器实际发送的跨域请求是合法的。

  • 浏览器接收到服务器的响应后,会检查响应头中的"CORS"信息。如果CORS响应头合法,则浏览器会发送实际的跨域请求,否则会抛出跨域错误,请求无法成功。

2.3 非预检请求的CORS处理

对于非预检请求,CORS会按照以下规则进行处理:

  • 如果响应头中没有包含"Access-Control-Allow-Origin",或者它的值不包含当前域名,则浏览器会抛出一个跨域错误,请求无法成功。

  • 如果响应头中包含"Access-Control-Expose-Headers",则该响应头中列出的头信息可以被前端JavaScript访问。否则,这些头信息将被浏览器拦截,无法被前端JavaScript访问。

  • 需要注意的是,虽然非预检请求不需要发送OPTIONS请求,但仍然需要服务器返回合法的CORS响应头信息。

3.跨域有关的响应头

下面列出了和跨域有关的响应头:

  • Access-Control-Allow-Origin:哪些源可以访问该资源。"*"表示所有的源都可以访问该资源。

  • Access-Control-Allow-Credentials:是否允许发送Cookie。

  • Access-Control-Expose-Headers:哪些响应头可以被前端JavaScript访问。默认情况下,不允许访问

  • Access-Control-Allow-Methods:哪些HTTP请求方法允许跨域访问。默认情况下,只允许GET、HEAD、POST方法。

  • Access-Control-Allow-Headers:允许的请求头信息。默认情况下,只允许常见的请求头,Accept、Accept-Language、Content-Language、Content-Type。

  • Access-Control-Max-Age:预检请求的有效期,单位为秒。有效期内,浏览器无需再次发送预检请求。

4.跨域和cookie

如果需要在跨域请求中携带 Cookie,服务器需要设置响应头"Access-Control-Allow-Credentials"为true

同时前端需要设置请求头"withCredentials"为true,否则无法携带 Cookie。

4.1 携带cookie时的限制

在跨域请求中携带Cookie时,浏览器会先发送OPTIONS预检请求,以检查是否允许跨域请求。

与不携带Cookie的情况相比,携带Cookie时"Access-Control-Allow-Origin"字段的限制更加严格:

  • 字段不能为通配符*,否则浏览器会忽略"Access-Control-Allow-Credentials"字段的值,不会发送Cookie。

  • 字段的值必须与请求头中"Origin"字段的值完全相同。

afan_coding
关注
专栏目录
AJAX-跨域请求
weixin_34220179的博客
06-18 449
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
17张思维导图,2021年作为一名前端开发者需要掌握这些,前端面试复习资料参考大纲
cYang2030的博客
12-09 6008
本文首发于17张思维导图,最全前端复习资料总结,转载请联系作者 前言 2020年最后一个月了,熬夜多天整理出17张思维导图,对前端面试复习知识点进行了最全的总结,分享给大家。每个知识点都尽量找到最好的文章来解释,通过思维导图的形式进行展示。 给大家准备了高清的思维导图和食用更加方便的PDF文档,全部聚合思维导图一张,分类思维导图17张,涉及前端开发的方方面面面,JS基础,工程化,性能优化,安全,框架等。如果您是准备面试,或者享扩展前端知识,都可以通过这个目录进行学习。 废话不多,下面分类展开来,收藏.
连续运行参考站系统 CORS(Continuously Operating Reference Station)
Uicore的博客
04-26 208
由分布于不同区域的安装有GNSS接收机等设备的参考站、通信系统、数据处理中心等构成的地理空间信息基础设施。可连续跟踪接收卫星信号,汇总原始观测数据,处理得到卫星轨道、钟差、载波相位改正值、伪距改正值等各类数据产品的系统
ElasticSearch 一文读懂
zhouzhiwengang的专栏
07-28 1577
是一个基于Lucene库的搜索引擎。它提供了一个分布式、支持多租户的全文搜索引擎,具有HTTPWeb接口和无模式JSON文档。Elasticsearch是用Java开发的,并在Apache许可证下作为开源软件发布。官方客户端在Java、.NET(C#)、PHP、Python、、Ruby和许多其他语言中都是可用的。[5]根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎,其次是,也是基于Lucene。...
一文北斗定位系统的前世今生
不积跬步,无以至千里!
06-10 8583
国际上有一个高大上的俱乐部,它只有四个会员,却吸引了各国首脑的关注和众多顶级科学家工程师的研究,这个俱乐部就是GNSS(全球导航卫星系统),四个会员分别是美国GPS、欧洲伽利略GALILEO、俄罗斯格洛纳斯GLONASS、中国北斗COMPASS。 中国北斗是个新会员,同时也是发展势头最猛的会员,北斗是咋回事?对我们的生活有什么影响?这是一个很有意思的话题。关于北斗,学术期刊上的文章有很多了,但专业...
Flutter2.0重磅发布!带你一文打尽Flutter Engage
淘系技术
03-05 9944
3月4日凌晨,FlutterEngage活动以在线的方式举行。整场活动内容丰富,精彩不断,下面淘系技术专家就带您回顾下这场年度Flutter技术的盛宴。▐Flutter2.0整场活动中...
一文带你了解 HTTP 黑科技
热门推荐
程序员cxuan的个人主页
01-31 1万+
这是 HTTP 系列的第三篇文章,此篇文章为 HTTP 的进阶文章。 在前面两篇文章中我们讲述了 HTTP 的入门,HTTP 所有常用标头的概述,这篇文章我们来聊一下 HTTP 的一些 黑科技。 HTTP 内容协商 什么是内容协商 在 HTTP 中,内容协商是一种用于在同一 URL 上提供资源的不同表示形式的机制。内容协商机制是指客户端和服务器端就响应的资源内容进行交涉,然后提供给客户端最为适合的...
一文理解Token登录认证
薛定谔的猫-前端领域
05-08 1629
HTTP协议是无状态的,意味着需要验证每一次请求,从而辨别客户端的身份。程序都是通过在服务端存储的登录信息来辨别请求的。 基于 Cookie/Session 的认证方式 Cookie是一种记录客户状态的机制,Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器服务器检查该Cookie,以此来辨认用户
一文看懂WebTransport
LiveVideoStack
03-25 2737
正文字数:7439 阅读时长:11分钟本文将简要介绍WebTransport的需求和发展、技术网络堆栈、IETF开发的QuicTransport和Http3Transport推荐协议,以...
一文掌握FastDeploy Serving服务化部署(打造线上证件照制作系统,含完整代码)
钱彬的博客
12-29 3499
基于fastdeployserve实现证件照在线制作服务。包含完整代码和数据。
前端面试问题(适用于面试回答思路)
yaminne的博客
03-28 5025
原型和原型链 原型:构造函数的 prototype 属性指向了一个对象,这个对象正是调用该构造函数而创建的实例的原型。也即,每个构造函数的实例都有一个原型,叫原型对象,由实例对象的内置属性_proto_指向。每个原型都有一个 constructor 属性指向关联的构造函数。 原型用法:构造函数创建的实例可以访问实例的属性和方法,也可以访问原型的属性和方法。对于原型只能访问自己的属性和方法。考虑这一特性,如果对象公有的属性和方法,我们可以添加到原型上面,对象需要的时候直接访问原型的属性和方法就可以。 当读取实
link 标签实现预加载
weixin_43655631的博客
09-27 3439
前言 主要介绍preload属性的使用,以及与prefetch的区别。 <link rel="preload"> 可以指明哪些资源是在页面加载完成后即刻需要的。对于这种即刻需要的资源,你可能希望在页面加载的生命周期的早期阶段就开始获取,在浏览器的主渲染机制介入前就进行预加载。这一机制使得资源可以更早的得到加载并可用,且更不易阻塞页面的初步渲染,进而提升性能 <link rel=...
栋的月结 | 第二回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
03-28 5619
开篇词 大家好!以下是我在 2020 年 2 月 1 日至 29 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《xxxx》 从我的英...
纯GO语言开发RTSP流媒体服务器-RTSP推流直播、本地保存录像、录像回放、http-flv及hls协议分发
GoFLy开发者的博客
10-27 1344
使用GO语言开发RTSP直播服务器,不依赖任何第三方GO语言框架,使用原生GO语言撸。并把把RTSP服务器做成插件方便安装使用,有开发文档方便二次开发,除了在GoFly快速开发框架使用外,我们可以把插件简单改造就可以加入到其他Go开发框架,也可以独立开发成存RTSP功能服务器
HTTP 405 Method Not Allowed:解析与解决
Liu_Bruce的博客
10-30 1406
HTTP 405 “Method Not Allowed” 是一个客户端错误响应状态码,表示请求中指定的方法(如GET、POST、PUT等)对于目标资源来是不允许的。换句话服务器知道请求的目标资源,但请求方法不被该资源支持。HTTP 405 “Method Not Allowed” 错误是一个常见的客户端错误,通常发生在请求的方法不被服务器支持的情况下。通过检查API文档、修改请求方法或更新服务器配置,我们可以有效地解决这个问题。
正确认识HTTPHTTPS协议及其在Java Web项目中的应用!
梦在硅谷的博客
10-30 915
HTTP(HyperText Transfer Protocol)是一种无状态的应用层协议,主要用于在Web浏览器和Web服务器之间传输超文本数据。HTTP协议定义了一系列的请求和响应格式,使得客户端和服务器能够进行有效的通信。HTTPS(HyperText Transfer Protocol Secure)是HTTP协议的安全版本,通过SSL/TLS协议对数据进行加密,确保数据在传输过程中的安全性和完整性。
讲个故事-HTTP/HTTPS 协议访问逻辑
Cyan_Jiang的博客
11-01 1101
数字摘要是将任意长度的消息变成固定长度的短消息。数字摘要就是利用了Hash 函数的单向性,将需要加密的明文“摘要”成一串128位长度数字串。这个数字串又称 为数字指纹。其单向性体现在 不同明文 “摘要的结果 ”一定是不同的, 相同 明文“ 摘要的结果” 必定 是 一致。但摘要结果无法计算出其原始明文。
HTTP 协议
最新发布
taduanlangan的博客
11-02 1674
HTTP 是超文本传输协议,它是互联网上应用最为广泛的一种协议,主要用于浏览器和 web 服务器之间的的数据传输。
http 从请求到响应的过程中发生了什么
m0_63542260的博客
10-30 363
‌:客户端向服务器发送一个HTTP请求,请求包含请求行、请求头部和请求体。‌:服务器接收到请求后,解析请求,查找所需资源,并进行处理。状态行包含HTTP版本、状态码和状态消息,如200 OK表示请求成功,404 Not Found表示资源未找到‌2。服务器监听端口,客户端发送SYN包请求连接,服务器响应SYN+ACK包,客户端再次发送ACK包确认连接建立,完成三次握手后,客户端和服务器进入数据传输状态‌1。HTTP/1.1引入了持久连接,允许一个连接处理多个请求和响应,提高了性能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

afan_coding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值