跨域资源共享

最新推荐文章于 2024-11-01 17:19:30 发布
最新推荐文章于 2024-11-01 17:19:30 发布
阅读量164 收藏
点赞数 1
分类专栏: HTTP 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chc2517/article/details/108127401
版权

文章目录

跨域资源共享是什么

CORS是什么

CORS全称为Cross-Origin Resource Sharing,被译为跨域资源共享,新增了一组HTTP首部字段,允许服务器声明哪些源站有权限访问哪些资源。

跨域资源共享标准规范要求,对那些可能对服务器数据产生副作用的HTTP请求方法(特别是GET以外的HTTP请求,或者搭配某些MIME类型的POST请求),浏览器必须首先使用OPTIONS方法发 起一个预检请求,从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的HTTP请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证。

跨域资源共享机制的工作原理主要应用于三个场景;

  1. 简单请求
  2. 预检请求
  3. 认证请求

简单请求

简单请求是什么

请求满足所有下迹条件,则该请求可视为“简单请求”:

  • 使用下列请求方法之一: GETHEADPOST
  • 不得人为设置下列集合之外的其他首部字段: AcceptAccept-LanguageContent-LanguageContent-Type
  • Content-Type的值仅限于下列三者之一:
    • text/plain
    • multipart/form-data
    • application/×一www-forrn-urlencoded

值得注意的是,这些跨域请求与浏览器发出的其他跨域请求并无二致。如果服务器未返回正确的响应首部,则请求方不会收到任何数据。因此,那些不允许跨域请求的网站无需为这一新的HTTP访问控制特性担心。

请求消息

以下是请求消息示例:

GET/resources/public-data/HTTP/1.1
Host:bar.other
User-Agent: Mozilla/5.0(Macintosh; U; Intel Mac OS×10.5;en-US;rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=O.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=o.7,*;q=0.7
Connection: keep-alive
Referer: http://foo.example/examples/access-control/simpleXSInvocation.html
origin: http://foo.example

请求首部字段Origin表示该请求来源于http:/foo.exmaple,Origin的值是每次发送请求时自动携带的请求首部消息。

响应信息

以下是响应消息示例:

HTTP/1.1200 OK
Date: Mon,o1 Dec 2008 00:23:53 GMT
server: Apache/2.0.61
Access-Control-Allow-Origin:*
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[XML Data]

响应中携带了响应首部字段Access-Control-Allow-Origin,使用OriginAccess-Control-Allow-Origin就能完成最简单的访问控制。

本例中,服务端返回的Access-Control-Allow-Origin:*表明该资源可以被任意外域访问。

预检请求

预检请求是什么

当请求满足下述任一条件时,即应首先发送预检请求:

  • 使用下列请求方法之一:PUTDELETECONNECTOPTIONSTRACEPATH
  • 不得人为设置下列集合之外的其他首部字段: AcceptAccept-LanguageContent-LanguageContentType
  • Content-Type的值仅限于下列三者之一:
    • text/plain
    • multipart/form-data
    • application/×-www-forrm-urlencoded

预检请求要求必须首先使用OPTIONS方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。

预检请求可以避免跨域请求对服务器的用户数据产生未预期的影响。

请求消息

以下是OPTIONS预检请求消息示例:

OPTIONS /resources/access-control-with-post-preflight/HTTP/1.1
Host: aruner.net
User-Agent:Mozilla/5.0(Macintosh; U;Intel Mac OS10.5;en-US;rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;g=0.9,*/*;q=.0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflateKeep-Alive: 300
Connection: keep-alive
Origin: http://arunranga.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGARUNER
  • 请求首部字段Access-Control-Request-Method表示该请求使用POST方法。
  • 请求首部字段Access-Control-Request-Headers表示该请求携带X-PINGOTHER首部字段。

响应消息

以下是OPTIONS预检请求的响应消息示例:

HTTP/1.1 200 OK
Date:Mon,o1 Dec 2008 01:15:39 GMT
Access-Control-Allow-Origin: http://arunranga.com
Access-Control-Allow-Methods: POST,GET,OPTIONS
Access-Control-Allow-Headers: X-PINGARUNER
Access-Control-Max-Age: 1728000
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
  • 响应首部字段Access-Control-Allow-Methods表示允许POSTGETOPTIONS请求方法。
  • 响应首部字段Access-Control-Allow-Headers表示允许请求携带首部字段X-PINGOTHER
  • 响应首部字段Access-Control-Max-Age表示设置响应有效时间为1728000秒。

认证请求

认证请求是什么

CORS具有一个有趣的特性是,可以基于HTTP Cookies和HTTP认证信息发送身份凭证。一般而言,对于跨域XMLHttpRequest请求,刘览器不会发送身份凭证信息。如果要发送凭证信息,需要设置XMlLHttpRequest的某个特殊标志位。

xmlHttpRequest.withCredentials = true;

XMLHttpRequest的withCredentials标志设置为true,使得向服务器发送Cookies,服务器返回响应首部字段Access-Control-Allow-Credentials: true

如果服务器端的响应中未携带Access-Control-Allow-Credentials: true,浏览器将不会把响应内容返回给请求的发送者。

请求消息

以下是请求消息示例:

GET/resources/access-control-with-credentials/HTTP/1.1
Host: bar.other
User-Agent:Mozilla/5.0o(Macintosh; U; Intel Mac OS×10.5;en-US;rv:1.9.1b3pre)Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml.application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Referer: http://foo.example/examples/credential.html
Origin: http://foo.example
Cookie: pageAccess=2

该请求携带了请求首部字段Cookie的相关信息。

响应消息

以下是响应消息示例:

HTTP/1.1 200 OK
Date: Mon,o1 Dec 200801:34:52 GMT
Server:Apache/2.0.61(Unix)PHP/4.4.7 mod_ss/2.0.61 OpenSSL/0.9.7e mod_fastcg/2.4.2 DAV/2SVN/1.4.2
x-Powered-By: PHP/5.2.6
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
Pragma: no-cache
Set-Cookie: pageAccess=3; expires=Wed, 31-Dec-200801:34:53 GMT
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 106
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
chc2517
关注
专栏目录
四、跨域资源共享
小康博客
08-11 234
跨域资源共享是什么 CORS全称为Cross-Origin Resource Sharing,被译为跨域资源共享,新増了一组HTTP首部字段,允许服务器声明哪些源站有权限访问哪些资源。 跨域资源共享规范要求,对那些可能对服务器数据产生副作用的HTTP请求方法(特别是GET以外的HTTP请求,或者搭配某些MIME类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求,从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的HTTP请求。在预检请求的返回,服务器端也可以通知客户
前端测试卷
weixin_45029828的博客
02-24 1096
前端测试卷 一、单选题 1、以下关于跨域说法错误的是( ) A. Cookie,LocalStorage和IndexedDB都会受到同源策略的限制  B. postMessage,JSONP,WebSocket都是常用的解决跨域的方案  C. 跨域资源共享规范规定了除了GET之外的HTTP请求,或者搭配某些MINE类型的POST请求,浏览器都需要先发一个OPTIONS请求 D. http://www.bilibili.com和https://www.bilibili.com是相同的域名,属于同源 2、
哔哩哔哩2020校园招聘技术类笔试卷(二)
Yuudachi的博客
01-14 4066
1. 关于canvas和svg说法正确的是?(C) A. canvas支持事件处理器 B. canvas不依赖分辨率,缩放不失真 C. svg不依赖分辨率,缩放不失真 D. svg适合图像密集型的游戏 解析: 2. a标签的href和onclick属性同时存在时哪个先触发?(B) A. href先执行 B. onclick先执行 C. 同时执行 D. 只执行href 解析: 可以通过onc...
跨域资源共享(CORS)详解
duzm200542901104的专栏
12-26 3285
一、跨域请求: 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 二、跨域资源共享(CORS): 出于安全原因,浏览器限制从脚本内发起的跨域HTTP请求。 例如,XMLHttpRequest遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同...
akka-http使用CORS(跨域资源共享)实现跨域请求
springlustre的专栏
04-14 2994
我们平时在开发过程经常用到前后端分离,当前端喝后台分别部署的时候则会存在跨域问题(协议,ip,端口任一个不同),常用的方法有使用jsonp跨域(只支持get请求),或者使用nginx反向代理等。这里介绍cors(跨域资源共享)方法。简介跨源资源共享标准通过新增一系列 HTTP 头,让服务器能声明哪些来源可以通过浏览器访问该服务器上的资源。另外,对那些会对服务器数据造成破坏性影响的 HTTP 请求
跨域资源共享cors
weixin_42564451的博客
08-18 433
浏览器为了安全起见,遵循同源策略(Same-origin policy),即只有当请求的源(协议、域名、端口)与资源所在的源完全相同时,才允许进行交互。是一种机制,用于放宽浏览器的同源策略,使得一个域可以访问另一个域的数据。:对于不符合简单请求条件的请求,浏览器会自动发送一个预检请求(OPTIONS方法),以询问服务器是否允许实际请求。一个简单的GET请求可以直接发送到服务器,而一个包含自定义头部的POST请求则会先发送一个预检请求。的资源,如果没有CORS的支持,浏览器会阻止这个请求。
你可能不知道的CORS跨域资源共享
10-17
CORS(跨域资源共享)是Web开发解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用由于同源策略...
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
Apache配置支持CORS(跨域资源共享)实例
09-15
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的域名、协议或端口)获取资源。在传统的同源策略限制下,浏览器禁止了不同源之间的AJAX请求,以保护用户数据的...
js跨域资源共享 基础篇
10-22
### 跨域资源共享(CORS)基础篇知识点 #### 1. 跨域资源共享(CORS)概念 跨域资源共享(CORS)是一个W3C标准,它允许一个域(源)上的Web应用去访问另一个域上的资源。这种跨域访问是出于安全考虑,默认情况下被...
http的协议的跨域cors 和 options请求的一些理解
你记住你不是一个人在苦逼
07-19 1万+
首先,这篇文章只是对http跨域阐述和options请求即预检查机制的一些理解,那么我们应该先了解什么事跨域,以及http的一些基础知识。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。摘自http访问控制 在前端开发,特别是现在都是前后端分离,那么跨域问题应该在日常开发经常遇到...
Web跨域请求及其解决方案
热门推荐
ppxin的专栏
07-08 4万+
目录 一、理论概述 1. 什么是跨域请求(Cross-domain Request) 2. 浏览器的同源策略(Same-origin Policy) 3. 存在的安全风险 4. CSRF攻击简介 二、跨域方案 1.跨域资源共享(CORS) (1)CORS简单请求 (2)CORS非简单请求(也称预检请求) HTTP 响应首部字段 Access-Control-Allow-Or...
HTTP访问控制 - CORS(跨域资源共享)
(o゚v゚)ノOutOfMemory
02-08 405
参考网址 跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求...
HTTP(二)、跨域资源共享(CORS)
CSDN前端知识共享
09-08 5252
2.跨域资源共享(CORS) 跨域简介 当访问一个资源文件时,如果从非该资源文件所在的服务器不同域名或者端口处进行访问时,该资源会发起一个跨域请求。 例如,网站A的地址是http://www.domain-a.com ,该网站HTML页面通过 img 标签的 src 属性请求http://www.domain-b.com/static/xxx.png 图片资源,此时,就发生了...
一个简单的Http根据规则自动路由
雨后是冰雹
10-25 460
在日常项目,有时候会根据一些规则/标识进行Http路由匹配,下面我实现一个简单的Http根据systemCode自动路由;
http的状态码有哪些
oopxiajun博客专栏
11-01 218
HTTP状态码是用以表示网页服务器超文本传输协议响应状态的数字代码,由RFC 2616规范定义,并得到其他多个规范的扩展。HTTP状态码由三位数字组成,分为五个类别,每个类别有特定的含义。
HTTPHTTPS协议
Broken_x的博客
10-28 1127
HTTP协议是一种无状态的协议,意味着每一次请求都是独立的,服务器不会记录任何关于客户端的状态。HTTP的工作流程主要分为请求和响应两个部分。HTTPHTTPS是现代互联网不可或缺的协议。虽然HTTP仍然被广泛使用,但由于其安全性不足,越来越多的网站正在转向HTTPS,以保护用户数据和隐私。在选择使用哪种协议时,建议优先考虑安全性,以确保信息传输的安全和可靠。
正确认识HTTPHTTPS协议及其在Java Web项目的应用!
梦在硅谷的博客
10-30 749
HTTP(HyperText Transfer Protocol)是一种无状态的应用层协议,主要用于在Web浏览器和Web服务器之间传输超文本数据。HTTP协议定义了一系列的请求和响应格式,使得客户端和服务器能够进行有效的通信。HTTPS(HyperText Transfer Protocol Secure)是HTTP协议的安全版本,通过SSL/TLS协议对数据进行加密,确保数据在传输过程的安全性和完整性。
讲个故事-HTTP/HTTPS 协议访问逻辑
最新发布
Cyan_Jiang的博客
11-01 790
数字摘要是将任意长度的消息变成固定长度的短消息。数字摘要就是利用了Hash 函数的单向性,将需要加密的明文“摘要”成一串128位长度数字串。这个数字串又称 为数字指纹。其单向性体现在 不同明文 “摘要的结果 ”一定是不同的, 相同 明文“ 摘要的结果” 必定 是 一致。但摘要结果无法计算出其原始明文。
OSS 跨域资源共享
08-21
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种安全机制,允许一个域(源)上的网页资源,如JavaScript代码,访问另一个域(源)上的资源。这种机制在Web开发非常常见,因为出于安全考虑,浏览器强制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值