逆浏览器请求之JS跨域访问

最新推荐文章于 2024-07-26 17:12:54 发布
最新推荐文章于 2024-07-26 17:12:54 发布
阅读量140 收藏
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/u/2366984/blog/3102337
版权

禁用跨域访问是浏览器保证安全访问的一项重要策略限制,很多跨域访问的操作都是违逆浏览器标准的。在一些场合不得不又需要用到,则本文大致说明下,在Nginx作为服务端是如何解决跨域访问。

参数解释

一些主要的跨域参数

Access-Control-Allow-origin # 授权允许来源
Access-Control-Allow-Methods # 授权允许方法
Access-Control-Allow-Headers # 授权允许请求头
Access-Control-Expose-Headers # 可公开响应头
Access-Control-Allow-Credentials # 允许认证 即开放cookie

 

允许带cookie访问的配置

解释如下配置,允许 http://localhost:8080 整个来源进行访问。

Access-Control-Allow-Origin 支持 *,支持多个域名配置如:"http://localhost:8080,http://localhost:8081",用逗号进行隔开。

但此处因为有允许进行认证(授权cookie),即Origin不支持 * 也不支持多个域名配置,仅支持单项域名配置。

Access-Control-Allow-Methods 允许GET,POST,OPTIONS请求访问,如果想要支持其他请求将其加入其中。OPTIONS是预检请求,跨域中必须要将其开放。

Access-Control-Allow-Headers 允许客户端传递的header参数,如果客户端传递的header不在其中,则请求会失败。如需通过Authorization进行校验用户身份,则将Authorization配置到请求头。

同样,服务端如要返回其他响应头给客户端,也需指定,通过Access-Control-Expose-Headers配置,支持逗号隔开多个参数。

Access-Control-Allow-Credentials 允许授权cookie,允许必须为true,否则其它即禁用。

		add_header Access-Control-Allow-Origin "http://localhost:8080";
		add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
		add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
		add_header Access-Control-Expose-Headers 'Authorization';
		add_header Access-Control-Allow-Credentials 'true';

 

允许任何域名带cookie访问

此操作安全极低,如需要可如下配置。

set $origin $http_origin;
if ( $origin = '' ) {
	set $origin "$scheme://$host:$server_port";
}
add_header Access-Control-Allow-Origin "$origin";

转载于:https://my.oschina.net/u/2366984/blog/3102337

chouyidang1008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js逆向案例-Access-Control-Allow-Origin跨域解决与hHmacSHA512
十一姐的博客
01-14 1605
难点一 案例打开调试有多个文件有无限debugger,每个文件有上百个debugger 解决方案,将5个js文件全部保存到本地并替换debugger 为 return,然后用fiddler替换,然后清空浏览器缓存刷新网页 难点二 刷新网页替换文件后控制台报错has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource 解决方案: ..
JavaScript如何实现跨域请求
12-10
跨域请求在JavaScript中是一个重要的概念,涉及到浏览器的同源策略和Web开发中的安全性问题。同源策略是一种安全机制,它规定JavaScript只能访问与当前页面同源(即相同的域名、协议和端口)的资源,以防止恶意脚本...
JS中的跨域问题
u014712365的博客
05-13 639
一、什么是跨域? 1.定义:跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 所谓同源是指,域名,协议,端口均相同。这里说的js跨域是...
js中如何解决跨域问题
qq_57205669的博客
03-12 6538
首先介绍一下js的同源策略 同源策略是浏览器的一项安全策略,浏览器只允许js 代码请求和当前所在服务器域名,端口,协议相同的数据接口上的数据,这就是同源策略. 也就是说,当协议、域名、端口任意一个不相同时,都会产生跨域问题,所以又应该如何解决跨域问题呢? 以下是三种解决跨域问题的方法: Jsonp--- 只能处理get请求,且不是ajax请求 jsonp跨域的原理是什么? 动态在页面中创建一个script标签,使其src属性指向后端数据接口,也就是说,script会发送一个get请求到sr.
浏览器跨域跨域访问接口浏览器怎么设置?
朱远辉的博客
03-29 2643
浏览器跨域跨域访问接口浏览器怎么设置?
已拦截跨域请求 浏览器_浏览器拦截跨域请求处理方法
weixin_28727943的博客
02-05 2487
引用在浏览器请求中,出现跨域访问资源的问题,我们肯定会遇到。如果跨域请求被阻止,有可能导致css、js 、ajax请求、font字体等资源出现无法正常访问的问题。接下来,就介绍下解决同源策略不允许读取远程资源的问题。解决此类问题,最直接的方法就是,就是给被请求的服务器,添加HTTP头响应头,这里提供两种添加HTTP头的方法:第一种,就是在程序中添加HTTP头:如: Response.Headers...
js跨域请求数据的3种常用的方法
11-24
以上就是JavaScript跨域请求数据的三种常见方法。在实际开发中,选择哪种方法取决于项目需求、兼容性考虑以及服务器端的配合程度。对于需要复杂交互或安全性要求较高的场景,CORS可能是更好的选择;而对于简单的GET...
Javascript 跨域访问解决方案
10-30
JavaScript跨域访问解决方案详解 由于浏览器的同源策略(Same-Origin Policy),JavaScript通常只能访问与当前页面同源(协议、域名、端口均相同)的资源,以防止恶意脚本跨域窃取数据。然而,在实际开发中,我们...
JSONP跨域GET请求解决Ajax跨域访问问题
10-24
JSONP(JSON with Padding)是一种跨域数据交互协议,它利用了HTML中`<script>`标签可以跨域加载JavaScript资源的特性,来绕过浏览器的同源策略限制,从而实现Ajax跨域请求。同源策略是浏览器为了保障安全,限制...
js跨域访问后台
08-29
根据提供的文件信息,本文将详细解释“JS跨域访问后台”的相关知识点,包括跨域的基本概念、实现方式以及具体的代码示例。 ### 跨域基本概念 在浏览器中,为了安全考虑,存在一种称为“同源策略”的机制。简单来说...
Apollo使用(3):分布式docker部署
游王子的博客
07-24 608
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
使用易备数据备份软件,践行虚拟机最佳备份方案
sanyuan7783的博客
07-26 882
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
AccessLog| 一款开源的日志分析系统
ClkLog的博客
07-26 383
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
DNS反向解析、多域名解析、时间服务器相关配置
qq_74793290的博客
07-24 471
DNS反向解析、多域名解析、时间服务器
Linux 普通用户启动Nginx使用80端口,小于1024的端口
最新发布
y393016244的博客
07-26 98
在root用户下执行。
k8s学习--k8s集群部署kubesphere的详细过程
lwxvgdv的博客
07-26 1242
KubeSphere 是在 Kubernetes 之上构建的面向云原生应用的分布式操作系统,完全开源,支持多云与多集群管理,提供全栈的 IT 自动化运维能力,简化企业的 DevOps 工作流。它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用 (plug-and-play) 的集成。作为全栈的多租户容器平台,KubeSphere 提供了运维友好的向导式操作界面,帮助企业快速构建一个强大和功能丰富的容器云平台。
续DNS服务(逆向解析、多域名、时间服务、主从DNS服务)
qq_69920145的博客
07-24 742
DNS 逆向解析(Reverse DNS Lookup)是通过 IP 地址来查找对应的域名。通常情况下,我们通过域名来获取对应的 IP 地址,这被称为正向解析。而逆向解析则是反过来,根据已知的 IP 地址获取其对应的域名。然而,逆向解析的配置和维护相对复杂,并且不是所有的 IP 地址都有对应的有效的逆向解析记录。
gitee设置ssh公钥密码避免频繁密码验证
xu.hyj
07-23 378
公钥则可以解决该问题,将私钥放在本地,公钥放在gitee上,当对项目进行操作时带有的私钥会在gitee和公钥进行验证,避免了手动输入密码的过程。gitee中可以创建私有项目,但是在clone或者push都需要输入密码, 比较繁琐。
docker配置上网代理获取镜像
beck_li的博客
07-25 474
一、添docker子配置档设置 1 1、 创建目录 1 2、 创建http-proxy.conf文件,增加以下内容 1 3、 Daemon重新reload 并重启docker 1 4、 检查变量是否加载 1 5、 取消代理 1 二、 修改docker.service配置设置 1 1、 编辑docker.service 1 2、 重启docker.service服务 1 3、 最后测试docker是否可以联网 2
JS跨域访问解决方案总结与应用
JS跨域访问解决方案总结是指在Web开发中,如何解决JavaScript跨域访问的问题。跨域访问是指一个站点中的资源访问另外一个不同域名站点上的资源,例如通过style标签加载外部样式表文件、通过img标签加载外部图片、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值