CORS使用Access-Control-Allow-Origin来允许跨域请求

最新推荐文章于 2024-03-12 09:26:47 发布
最新推荐文章于 2024-03-12 09:26:47 发布
阅读量3.3k 收藏
点赞数
分类专栏: 跨域 前端 文章标签: nginx
原文链接:http://www.04007.cn/article/752.html
版权

CORS使用Access-Control-Allow-Origin来允许跨域请求

    因为浏览器的同源策略,浏览器只允许请求当前域的资源,而对其他域的资源以不信任的态度处理。JSONP是可以解决跨域的一些问题,
    但JSONP只支持GET请求而不支持POST,因此还是有限,而使用Access-Control-Allow-Origin可以应对各种跨域请求(在服务器端nginx去配置)。
    
    CORS全称跨域资源共享(Cross-origin resource sharing),这是W3C的标准,即是使用Access-Control-Allow-Origin来允许跨域请求,
    对这种请求也有标准的处理流程。
    
    对于跨域的请求,浏览器端先向目标服务器发送OPTION请求判断请求头中是否存在Access-Control-Allow-Origin头信息,
    Access-Control-Allow-Origin是允许跨域请求的标志。如果没有,浏览器就会报错
    No Access-Control-Allow-Origin header is present on the requested resource
    
    Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' 
    has been blocked by CORS policy: Response to preflight request 
    doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
    
    因为此时浏览器向目标服务器发送了OPTION请求并携带access-control-request-method和access-control-request-header
    告诉目标服务器它的请求方式和所要发送的头信息,检测目标服务器是否准许,示例如下:
    Request Method: OPTIONS
	access-control-request-headers: content-type,cookies
	access-control-request-method: POST

	需要注意的是:Access-Control-Allow-Origin 可以设置为*,但是如果设置为*,则跨域请求不会携带cookie,所以如果需要传输cookie,
	还是需要有目的允许一些跨域来源地址。
	
	Access-Control-Allow-Credentials表示允许携带认证信息(cookies)
	Access-Control-Allow-Methods 不必说,可按需要开放哪些请求方式。
	Access-Control-Allow-Headers 表示允许的请求头信息。比如如果这个字段中没有Cookie而同时又需要传输cookie的话,就会报下面的错误:
    Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by 
    CORS policy: Request header field cookies is not allowed by Access-Control-Allow-Headers in preflight response。
    
    这一步的OPTION请求OK的话,浏览器才会正式执行跨域的请求。上面服务端响应头信息的时候,注意看到最后都带了一个always标志。
    如果服务端修改后仍没有响应所需要的头信息的时候,可以在最后加个always试试,挺好用。
低_调_哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域 CORS Access-Control-Allow-Origin cors-filter-2.6.jar java-property-utils-1.9.1.jar
使用express封装一个简单的http代理服务器以及手动设置Access-Control-Allow-Origin解决跨域问题
ThisEqualThis的博客
04-19 1287
【代码】express中设置Access-Control-Allow-Origin跨域。
前端中的“跨域(Cross-Origin)”
最新发布
qq_43536788的博客
03-12 999
在前端开发中,跨域(Cross-Origin)是一个重要的安全概念。它主要指的是浏览器对于JavaScript代码执行时的安全限制,即阻止一个域的脚本访问另一个域的文档或资源。这种限制主要是为了防止恶意脚本攻击,保护用户数据的安全。具体来说,当浏览器的同源策略(Same-Origin Policy)阻止一个域的脚本访问另一个域的文档时,就发生了跨域问题。同源策略规定,如果两个页面的协议、域名和端口都相同,则它们属于同源,可以互相访问;否则,它们就是不同源的,浏览器会限制它们之间的交互。<script>
allow-cors-access-control插件,解决跨域问题,内含使用教程
10-03
allow-cors-access-control插件,解决跨域问题,内含使用教程
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
此插件为跨域插件,打开后可跨域访问接口,旧版浏览器可直接拖到扩展程序中安装,新版浏览器需要将扩展名修改成rar并解压,然后点击“加载已解压的扩展程序”安装。 ======================插件概述谷歌译文====================== 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 只需激活插件并执行请求。默认情况下(在JavaScript API中),CORS或跨源资源共享在现代浏览器中被阻止。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次工具栏图标。图标将变为橙色的C字母。 ======================插件概述谷歌译文====================== ========================插件概述原文======================== Easily add (Access-Control-Allow-Origin: *) rule to the response header. Allow CORS: Access-Control-Allow-Origin lets you easily perform cross-domain Ajax requests in web applications. Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter. ========================插件概述原文========================
allow-cors-access-control插件
02-10
Allow CORS: Access-Control-Allow-Origin允许您在web应用程序中轻松执行跨域Ajax请求。
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_53841730的博客
01-31 2万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
跨域(Access-Control-Allow-Origin)解决方案详解
猿in
12-09 5万+
文章目录浏览器的同源安全策略跨域报错跨域解决方案CORSResponse支持跨域springboot支持跨域Java中设置多个Access-Control-Allow-Origin跨域访问基于nginx配置请求的CORSJSONP方案后端接口返回js原生实现jsonpjQuery实现jsonpvue.js实现jsonpJSONP的优缺点其它方式支持跨域 浏览器的同源安全策略 同源策略,它是由Net...
正确配置Access-Control-Allow-Origin,千万不要设置成*
热门推荐
baijiafan的博客
08-24 7万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
Access-Control-Allow-Origin(CROS)
拔刀怒向猪头的专栏
09-29 5163
response.setHeader("Access-Control-Allow-Origin", "http://128.208.229.188:1000/*"); 表明当前页面可以跨域访问。默认是不允许的。                   Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。可以用通配符*表示允许任何域的J
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
名称:Allow CORS Access-Control-Allow ---------------------------------------- 版本:0.1.9 作者:Muyor 分类:生产工具 ---------------------------------------- 概述:轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 描述: 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 只需激活插件并执行请求即可。默认情况下,现代浏览器(在JavaScriptAPI中)禁止CORS或跨源资源共享。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次
Allow CORS: Access-Control-Allow-Origin-crx插件
04-02
语言:English 轻松添加(访问 - 控制 - 允许 - 源:*)规则... 如果您有一个功能请求,或者发现要报告的错误,请填写加载项的主页中的错误报告表单(https://mybrowseraddon.com/access-control-allow-origin.html)。
cors-container:容器(Docker)中的CORS代理,用于需要`Access-Control-Allow-Origin
05-02
容器(Docker)中的CORS代理,用于您需要Access-Control-Allow-Origin: * ! 您可以使用CORS容器,而无需通过Heroku自行运行(它是在免费的dyno上,因此初始启动时间可能很慢!) 。 关于 如果您需要前端项目的允许...
allow-cors-access-control.zip
04-16
谷歌跨域插件, 解压后将allow-cors-access-control.crx拖拽至谷歌扩展程序中, 并点击toggle即可
allow-cors-access-control.crx.zip
04-28
Access-Control-Allow-Origin chrome浏览器跨域插件
chrome跨域插件cros(Allow-Control-Allow-Origin).zip
03-25
chrome跨域插件CORS离线下载,解压后有两个压缩包,直接把B压缩包拖放到chrome插件管理页面即可。或者解压A压缩包得到一个crx文件和一个zip文件,把这两个中的任一个拖放到插件管理页面即可。
Allow_CORS__Access-Control-Allow-Origin_0_1_1_0.zip
03-26
Allow_CORS__Access-Control-Allow-Origin
允许CORS:访问控制 - 允许来源「Allow CORS: Access-Control-Allow-Origin」-crx插件
03-20
允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。只需激活插件并执行请求即可。默认情况下,现代浏览器(在JavaScript API中)禁止CORS或跨源资源共享。安装此加载项将使...
Allow CORS: Access-Control-Allow-Origin如何使用
08-27
允许跨域资源共享(CORS)并设置`Access-Control-Allow-Origin`,你可以在服务器端进行配置。以下是一种常见的方法: 如果你使用的是Node.js,并且使用Express框架,可以通过中间件来实现CORS配置。在你的服务器文件中,添加以下代码: ```javascript const express = require('express'); const app = express(); // 允许所有域的请求 app.use((req, res, next) => { res.setHeader('Access-Control-Allow-Origin', '*'); next(); }); // 其他路由和处理程序 // ... app.listen(3000, () => { console.log('服务器已启动,监听端口3000'); }); ``` 上述代码中的`res.setHeader('Access-Control-Allow-Origin', '*')`将允许来自任何域的请求。如果你只想允许特定的域,你可以将`'*'`替换为允许的域名(例如:`'http://example.com'`)。 如果你使用其他的服务器框架或语言,也可以通过类似的方式来配置CORS。只需确保在响应头中设置`Access-Control-Allow-Origin`字段即可。 请注意,为了安全起见,建议仅允许可信任的域名访问你的资源,并且可以对其他CORS选项进行配置(例如,允许特定的HTTP方法、请求头等)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值