跨域Cross-Origin Resource Sharing

已于 2022-08-22 17:55:14 修改
阅读量532 收藏
点赞数
分类专栏: 前后端交互 文章标签: 前端
于 2022-03-09 22:24:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chonger_feifei/article/details/123389233
版权

URL

定义

在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位符),它是WWW的统一资源定位标志,就是指网络地址

组成部分

资源类型、存放资源的主机域名、资源文件名

格式

protocol :// hostname[:port] / path / [;parameters][?query]#fragment
其中,[ ]为可选项
格式说明:

protocol(协议)

指定使用的传输协议,下面也列出了几种protocol属性的有效方案名称。那我们最常用的就是HTTP协议,它也是目前www中应用最广泛的协议。
file 资源是本地计算机上的文件。格式file:///,注意后边应是三个斜杠。
ftp 通过 FTP访问资源。格式 FTP://
gopher 通过 Gopher 协议访问该资源。
http 通过 HTTP 访问该资源。 格式 HTTP://
https 通过安全的 HTTPS 访问该资源。 格式 HTTPS://
mailto 资源为电子邮件地址,通过 SMTP 访问。 格式 mailto:

hostname(主机名)

是指存放资源的服务器的域名系统(DNS) 主机名或 IP 地址。有时,在主机名前也可以包含连接到服务器所需的用户名和密码(格式:username:password@hostname)。

port(端口号)

整数,可选,省略时使用方案的默认端口,各种传输协议都有默认的端口号,如http的默认端口为80。如果输入时省略,则使用默认端口号。有时候出于安全或其他考虑,可以在服务器上对端口进行重定义,即采用非标准端口号,此时,URL中就不能省略端口号这一项。

path(路径)

由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址。
parameters(参数)
这是用于指定特殊参数的可选项。

parameters(参数)

这是用于指定特殊参数的可选项。

query(查询)

可选,用于给动态网页(如使用CGI、ISAPI、PHP/JSP/ASP/ASP。NET等技术制作的网页)传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开。

fragment(信息片断)

字符串,用于指定网络资源中的片断。例如一个网页中有多个名词解释,可使用fragment直接定位到某一名词解释

何为跨域

由协议、域名、端口号决定,与路径是否一致无关

在这里插入图片描述

为何需要跨域

同源策略阻止了跨域请求
浏览器本身 的一种安全策略,其他客户端或者服务器都不存在跨域被阻止的问题

如何跨域

后端(服务器端)负责,优先使用 CORS
若浏览器不支持 CORS再使用 JSONP

CORS

const url = 'https://www.imooc.com';
const url = 'https://www.imooc.com/api/http/search/suggest?words=js';
const xhr = new XMLHttpRequest();
xhr.onreadystatechange = () => {
if (xhr.readyState != 4) return;
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status === 304) {
	console.log(xhr.responseText);
}
};
xhr.open('GET', url, true);
xhr.send(null);
//Access-Control-Allow-Origin: *

表明允许所有的域名来跨域请求它,* 是通配符,没有任何限制
只允许指定域名的跨域请求
Access-Control-Allow-Origin: http://127.0.0.1:5500

过程

① 浏览器发送请求
② 后端在响应头中添加 Access-Control-Allow-Origin 头信息
③ 浏览器接收到响应
④ 如果是同域下的请求,浏览器不会额外做什么,这次前后端通信就圆满完成了
⑤ 如果是跨域请求,浏览器会从响应头中查找是否允许跨域访问
⑥ 如果允许跨域,通信圆满完成
⑦ 如果没找到或不包含想要跨域的域名,就丢弃响应结果
兼容性
IE10 及以上版本的浏览器可以正常使用 CORS
https://caniuse.com/

JSONP

原理:利用 script 标签加载跨域文件;script 标签跨域不会被浏览器阻止

过程

1.准备好 JSONP 接口

https://www.imooc.com/api/http/jsonp?callback=handleResponse

2.手动加载 JSONP 接口

// 声明函数
const handleResponse = data => {
console.log(data);
};
//调用函数
handleResponse({
code: 200,
data: [
{
word: 'jsp'
},
{
word: 'js'
},
{
word: 'json'
},
{
word: 'js 入门'
},
{
word: 'jstl'
}
]
});

3.动态加载 JSONP 接口

const script = document.createElement('script');
script.src =
'https://www.imooc.com/api/http/jsonp?callback=handleResponse';
document.body.appendChild(script);
<script src="https://www.imooc.com/api/http/jsonp?callback=handleResponse"></script>

相当于

<script>
handleResponse({
code: 200,
data: [
{
word: 'jsp'
},
{
word: 'js'
},
{
word: 'json'
},
{
word: 'js 入门'
},
{
word: 'jstl'
}
]
});
</script>
chonger_feifei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
所谓的Cross-Origin),究竟是什么?——你所不知道浏览器的小知识
u011037503的博客
09-18 4万+
浏览器禁止访问的是浏览器对于JavaScript的一个安全策略。 jsonp的本质其实不是Ajax请求(XMLHttpRequest)。
注解CrossOrigin的坑
weixin_45870082的博客
12-04 4338
注解CrossOrigin 记录踩过的坑 首先这是我springboot的版本号,应该是springboot版本的问题,这个注解里的很多参数已经被弃用了 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.
什么是cross-origin)请求,如何解决问题?
官方推荐
08-31 9017
什么是cross-origin)请求,如何解决问题?
资源共享(Cross-origin resource sharing)CORS
Coder
01-07 2983
说起,很多web程序员并不陌生,出于对安全问题的考虑,1995年由Netscape提出同源策略,浏览器在发送Ajax请求时,只接收同服务器响应的数据资源;那么什么才算同呢?很简单,协议、名、端口全部相同才算同一下,三个条件有一个不一致,都不算同,既; 因此,即使是我们自己的名服务器,而二级名或三级名不一致,也会出现,如:http://img.xiling.me与h...
资源共享(CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 1216
资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了问题。本文将详细讨论问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决问题的方法。
springboot之访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9611
1.springboot之访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
配置Cross-Origin的几种方法
KimSoft's Blog
07-23 4495
文章目录Cross-origin resource sharing (CORS)配置Cross-Origin的几种方法1 注解法 @CrossOrigin2 全局配置法 (Global Configuration)3 过滤器法(CorsFilter)3.1 没有使用 Spring security 的情况下3.2 Spring security 内置了对 CorsFilter 的支持 Cross-origin resource sharing (CORS) 参考文档: Spring Boot Cross-
请求问题:CORS(Cross-Origin Resource Sharing
xinyihhh的博客
03-11 1150
出于浏览器的同源策略限制。 所谓同源(即指在同一个)就是两个地址具有相同的协议(protocol)、主机(host)和端口号(port) 以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 ..
Cross-Origin Resource Sharing in ASP.NET WebForms
01-27
在提供的压缩包文件中,`Cross-Origin Resource Sharing Example.sln`可能是包含示例项目的解决方案文件,`Cors.Target`和`Cors.Origin`可能代表测试的源和目标项目,通过这两个项目,你可以实践并理解CORS在ASP.NET...
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
1. **CORS(Cross-Origin Resource Sharing)**:服务器端设置Access-Control-Allow-Origin等响应头,允许特定名的请求访问。这是推荐的解决问题的标准方法。 2. **JSONP(JSON with Padding)**:通过动态...
的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(资源共享,Cross-Origin Resource Sharing
01-06
然而,随着Web应用的发展,数据交互的需求日益增多,因此催生了一系列解决方案,包括JSONP、Flash、Iframe以及CORS(资源共享,Cross-Origin Resource Sharing)。 首先,JSONP(JSON with Padding)是...
express-cross-origin:用于启用调用的 Express 中间件
07-09
`express-cross-origin` 是一个专门针对 Express 的中间件,它的主要功能是开启 CORS(Cross-Origin Resource Sharing源资源共享)支持。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个页面从不同...
Allow-Control-Allow-Origin谷歌插件
01-14
标题中的"Allow-Control-Allow-Origin"是HTTP响应头的一部分,用于定义Web服务器允许哪些源(Origin)访问其资源,这是处理资源共享(CORS - Cross-Origin Resource Sharing)的关键机制。请求通常在浏览器...
解决 strict-origin-when-cross-origin 问题
热门推荐
时间静止
02-01 13万+
使用90版本之后的谷歌浏览器, 在部署前端项目后, 调用后端接口出现 strict-origin-when-cross-origin, 并且静态资源被拦截的情况的解决
CROS 前后端交互,不可不知的问题及其解决方案详解
FeelTouch Labs
10-19 2034
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是而导致的问题!对于前后端分离时,而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决问题之前,我们先来了解一下何为问题,怎么产生的问题,怎么解决这个问题。CORS是一个W3C标准,全称是。
Cross-Origin
LJH_java10086的博客
10-05 473
常见的头信息包括 Access-Control-Allow-Origin(指定允许访问的源)、Access-Control-Allow-Methods(指定允许的请求方法)、Access-Control-Allow-Headers(指定允许的请求头)等。Cross-Origin)是指在浏览器环境下,当一个网页的 JavaScript 代码尝试访问与当前页面不同源(名、协议或端口)的资源时,会受到同源策略的限制,导致请求被拒绝。以上是几种常见的解决问题的方法,每种方法都有其适用的场景和限制条件。
crossing_origin
weixin_46678115的博客
12-07 1051
的产生及其解决方案
资源共享(CORS)
m0_53328239的博客
07-16 874
资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
CORS问题原因和解决方案
蔚然成风
06-21 1万+
Springboot问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTT
strict-origin-when-cross-origin axios
09-07
引用中提到了关于标头规则中的strict-origin-when-cross-origin选项。在这个选项下,同源请求时Referer标头会包含完整的路径,而请求时只包含名。这种情况下,当使用axios进行请求时,可能会出现Strict-origin-when-cross-origin(双重问题。 具体来说,在使用axios进行请求时,如果设置了合适的headers,可以解决一些问题。然而,如果仍然遇到Strict-origin-when-cross-origin问题,就需要考虑使用其他请求的方式。 CORS(Cross-Origin Resource Sharing)是一种官方的解决方案。它通过设置响应头来告诉浏览器该请求允许。可以在服务器端进行设置,通过设置"Access-Control-Allow-Origin"头来允许特定的名或所有来源访问。 另外,还可以通过设置credentials选项来处理请求是否发送Cookie。在axios中,默认情况下,同源请求时会发送Cookie,请求时不发送。可以根据需要设置credentials选项的值,如same-origin表示同源请求时发送Cookie,include表示无论是同源请求还是请求都发送Cookie,omit表示一律不发送。 总结起来,当在axios中遇到strict-origin-when-cross-origin问题时,可以考虑使用CORS来处理请求,通过设置响应头来允许特定的名或所有来源访问。同时,可以根据需要设置credentials选项来处理是否发送Cookie。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值