跨资源共享

最新推荐文章于 2024-02-23 16:37:29 发布
最新推荐文章于 2024-02-23 16:37:29 发布
阅读量259 收藏
点赞数 1
分类专栏: HTML 文章标签: html5 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/always_yang/article/details/107607609
版权

CORS定义

通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况下,XHR对象只能访问与包含他的页面位于同一个域中的资源。

CORS(Cross-Origin Resource Sharing,跨源资源共享)定义了在必须访问跨源资源时,浏览器和服务器间的沟通方式。

CORS的基本思想:使用自定义的HTTP头部让浏览器与服务器进行沟通,从而确定请求或响应是应该成功,还是应该失败。

比如一个简单的使用GET或POST发送的请求,它没有自定义的头部,而主体内容是text/plain。在发送该请求是,需要给它附加额外的Origin头部,其中包含请求页面的源信息(协议、域名和端口),以便服务器根据这个头部信息来决定是否给予响应。

下面是Origin头部的一个示例:
Origin:http://www.helloworld.net

如果服务器认为这个请求可以接受,就在Access-Control-Allow-Origin头部中回发相同的源信息(如果是公共资源,可以回发“*”)。

例如: Access-Control-Allow-Origin:http://www.helloworld.net

如果没有这个头部,或者有这个头部但源信息不匹配,浏览器就会驳回请求。正常情况下,浏览器就会处理请求。注意,请求和响应都不包含cookie信息。

Preflighted Requests

CORS通过一种就做Preflighted Requests 的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主体内容。在使用下列高级选项来发送请求时们就会向服务器发送一个preflight请求。
这种请求使用OPTIONS方法,发送下列头部

  • origin: 源信息
  • Access-Control-Request-Method: 请求自身使用的方法
  • Access-Control-Request-Headers: (可选)自定义的头部消息,多个头部以逗号分隔。
    以下是一个带有自定义头部NCZ的使用POST方法发送的请求。

Origin: http://www.helloworld.net
Access-Control-Request-Method: POST
Access-Control-Request-Headers: NCZ

发送这个请求后,服务器可以决定是否允许这种类型的请求。服务器通过在响应中发送如下头部与浏览器进行沟通。
Access-Control-Allow-Origin: 服务器可以接受的源信息
Access-Control-Allow-Methods:允许的方法,多个方法以逗号分隔
Access-Control-Allow-Headers: 允许的头部,多个头部以逗号分隔
Access-Control-Max-Age: 应该将这个preflight请求缓存多长时间(以秒表示)

例如:
Access-Control-Allow-Origin: http://www.helloworld.net
Access-Control-Allow-Methods: POST,GET
Access-Control-Alloe-Headers: NCZ
Access-Control-Max-Age:172800

Prefight请求结束后,结束将按照响应中指定的时间缓存起来。而为此付出的代价只是第一次发送这种请求时会多发一次HTTP请求。

带凭据的请求

默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭证。如果服务器接受带凭据的请求,会用下面的HTTP头部来响应。
Access-Control-Allow-Credentials: true

如果发送的是带凭据的请求,但服务器的响应中没有包含这个头部,那么浏览器就不会把响应交给JavaScript(于是,responseText中将是空字符串,status的值为0,而且会调用onerror( )事件处理程序)。另外,服务器还可以在preflight响应中发送这个HTTP头部,表示允许源发送带凭据的请求。

跨浏览器的CORS

即使浏览器对CORS的支持程度不都一样,单所有浏览器都支持简单的(非Preflight和不带凭据的)请求,因此有必要实现一个跨浏览器的方案。检测XHR是否支持CORS的简单方式,就是检查是否存在withCredentials属性。再结合检测XDomainRequest对象是否存在,就可以兼顾所有的浏览器了。

function createCORSRequest(method ,url){
var xhr = new XMLHttpRequest( );
 if ( "withCredentials"  in xhr){
	xhr.open( method , url , true)
 }else if( typeof XDomainRequest !== "undefined"){//IE浏览器
 	xhr = new XDomainRequest( );
 	xhr.open(method , url);
 }else{
    xhr = null;
 }
 	return xhr;
}

var request = createCORSRequest( "get", "http://www.helloworld");
if(request){
	request.onload = function(){
	//对request.responseText 进行处理
	};
	request.send( )
}

Firefox、Safari和Chrome中的XMLHttpRequest对象与IE中的XDomainRequest对象类似,都提供了够用的接口,因此以上模式还是相当有用的。这两个对象共同的属性/方法如下。

  • abort( ) 用于停止正在进行的请求
  • onerror 用于替代onreadystatechange检测错误
  • onload 用于替代onreadystatechange检测成功
  • responseText 用于取得相应内容
  • send() 用于发送请求中
always_yang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HPCORS资源共享中间件
08-08
HP CORS(资源共享)中间件
资源共享 CORS 解析
Spontaneous_0的博客
02-03 121
资源共享 CORS 解析
资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 929
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
四、域问题——资源共享
最新发布
Small__BUG的博客
02-23 1292
域问题(CORS),是在Web应用开发中,常见的问题内容。理解域的根因,对于问题的解决尤为重要。
HTTP 第六章 资源共享(CORS)
aXin_li的博客
02-22 1039
资源共享(CORS,或通俗地译为资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他源(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。例如:运行在 https://baidu.com 的js代码使用向 https://google.com 发起请求。
什么是 CORS(资源共享)?
qq_37116560的博客
05-11 1637
现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下,JavaScript 遵循同源策略,只能调用与运行脚本在同一域中的 URL。那么,我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢? CORS 就是答案。 资源共享 (CORS) 是一种允许网页访问在不同受限域上运行的API或资产的方式的机制。 什么是 CORS? 资源共享 (CORS) 是一种浏览器...
高校经管实验教学资源校共享体系研究与实践
06-26
以移动互联网下云技术共享网络基础平台为支撑,构建经管实验教学资源校共享体系,涵盖:"校实验教学资源共享区"、"校专业实验室共享区"、"校教学监管共享区"、"校创新创业实践共享区"。最大限度整合高校实验...
资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
Samba平台资源共享的管理
04-03
linux操作系统下,Samba平台资源共享的管理
多域间访问
cjhlimo的博客
09-16 425
前言 多域间访问:林、子域、域树 林中域信任关系 1.请写出林、子域、域树的概念。 子域:域中添加的任何新域都叫做子域。 域树:具有连续名称空间的多个域。 域林:一个或多个没有形成连续名称空间的域树。 2.林中信任域的关系是怎样的? 信任是域或林之间建立的关系,它可以使一个域(或林)中的用户由另一个域(或林)中的域控制器来进行验证。 3.林中域访问如何实现? 要实现域访问资源,两个域的DNS都要能够互相解析对方的域名。一般都是先将用户账户加入到全局组,然后将全局组加入本地域组
多域之间资源共享访问(AGDLP策略)
12-05
多域之间资源共享访问(AGDLP策略)
Web服务器扩展IIS8.0部分功能
03-07
可以添加IIS8.0的功能,一段简单的代码,分享给大家。
资源共享 (解决域问题)
sinat_55275851的博客
09-15 638
资源共享 (解决域问题)
资源共享(CORS)
zzhongcy的专栏
06-18 503
转自 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
资源共享
weixin_44019875的博客
07-20 177
Cors 资源共享资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头 一些非简单请求方法(get/head/post)都需要一个预检请求option 来确定服务器是否可以发送请求。服务器也可以通过预检请求
域资源访问:CORS
weixin_57726902的博客
11-24 664
CORS()是由W3C定制的一种资源共享技术,其目的就是为例解决前端的域请求。在javaEE开发中,最常见的前端域请求解决方案时JSONP,但是JSONP只支持GET请求;什么是JavaEE请求:它的原理是借助script标签不受浏览器同源策略限制,允许域请求资源,因此可以通过script标签的src属性,进行域访问。// 1. 前端定义一个 回调函数 handleResponse 用来接收后端返回的数据 function handleResponse(data) {};
前端面试题总结(一)
a13879400458的博客
08-15 524
1 纯JS获取scrolltop值   document.body 和 document.documentElement 区别: document.body返回的是 body节点 即<body> document.documentElement返回的是 html 节点 即<html>   在chrome中 获取 scrollTop 只能用do...
CORS(资源共享)
07-27
CORS(Cross-Origin Resource Sharing)是一种用于在浏览器中进行资源共享的机制。在Web开发中,由于浏览器的同源策略限制,不同源的网页(协议、域名、端口号有所不同)之间无法直接进行域通信。而通过CORS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值