CORS(跨域资源共享)

最新推荐文章于 2022-11-16 10:40:08 发布
最新推荐文章于 2022-11-16 10:40:08 发布
阅读量417 收藏
点赞数
分类专栏: Vue 文章标签: Access-Control-Allow-Origin 403

问题说明:通过vue构建了一个项目,访问自己写的接口。下面问题:

Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present 
on the requested resource. Origin 'http://**.**.**.115:8081' is therefore not allowed access. The response had 
HTTP status code 403.

1, 简介
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

2, 基本流程
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
浏览器发出CORS简单请求,只需要在头信息之中增加一个Origin字段。
浏览器发出CORS非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

只要同时满足以下两大条件,就属于简单请求。
1) 请求方法是以下三种方法之一:
HEAD
GET
POST
2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

3, 具体实现(spring boot)

package com.pactera.unilever.kanban.api.web.config;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import javax.ws.rs.HttpMethod;

/**
 * CORS请求发送Cookie时,Access-Control-Allow-Origin只能是与请求网页一致的域名。同时,Cookie依然遵循同源政策,
 * 只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie
 * 也无法读取服务器域名下的Cookie。
 */
@Configuration
public class CorsConfig {
    public static final Logger LOGGER = LoggerFactory.getLogger(CorsConfig.class);
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
//        if (CollectionUtils.isNotEmpty(cors.getAllowedOrigins())) {
        LOGGER.info("Registering Cors Filter...");
        source.registerCorsConfiguration("/**", buildConfig()); // 4
//        }
        return new CorsFilter(source);
    }

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();

        /*
         * 允许跨域访问的域名
         * Access-Control-Allow-Origin
         * 该字段必填。它的值要么是请求时Origin字段的具体值,要么是一个*,表示接受任意域名的请求。
         */
        corsConfiguration.addAllowedOrigin("*");
        /* 请求头
         * Access-Control-Expose-Headers
         * 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:
         * Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿
         * 到其他字段,就必须在Access-Control-Expose-Headers里面指定。
         */
        corsConfiguration.addAllowedHeader("*");
        /* 请求方法
         * Access-Control-Allow-Methods
         * 该字段必填。它的值是逗号分隔的一个具体的字符串或者*,表明服务器支持的所有跨域请求的方法。
         * 注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。
         */
        corsConfiguration.addAllowedMethod(HttpMethod.DELETE);
        corsConfiguration.addAllowedMethod(HttpMethod.POST);
        corsConfiguration.addAllowedMethod(HttpMethod.GET);
        corsConfiguration.addAllowedMethod(HttpMethod.PUT);
        corsConfiguration.addAllowedMethod(HttpMethod.DELETE);
        corsConfiguration.addAllowedMethod(HttpMethod.OPTIONS);
        /* 预检请求的有效期,单位为秒。
         * Access-Control-Max-Age
         * 该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另一条预检请求。
         */
        corsConfiguration.setMaxAge(3600L);
        /* 是否支持安全证书
         * Access-Control-Allow-Credentials
         * 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie.默认情况下,不发生Cookie,即:false。
         * 对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,
         * 这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。
         */
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }
}

 

4, 配置项解释
4.1 Access-Control-Allow-Origin
该字段必填。它的值要么是请求时Origin字段的具体值,要么是一个*,表示接受任意域名的请求。

 

4.2 Access-Control-Allow-Methods
该字段必填。它的值是逗号分隔的一个具体的字符串或者*,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

 

4.3 Access-Control-Expose-Headers
4.3 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

 

4.4 Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie.默认情况下,不发生Cookie,即:false。对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。

 

4.5 Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另一条预检请求。

 

注意: CORS请求发送Cookie时,Access-Control-Allow-Origin只能是与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

转自:https://www.cnblogs.com/cityspace/p/6858969.html

屈想顺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AJAX-请求
weixin_34220179的博客
06-18 421
1、什么是请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
CORS访问漏洞
m0_73896875的博客
07-13 5480
全称是“资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决资源访问限制的机制。它允许在浏览器中进行请求,并控制请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的名、协议和端口必须与资源所在的名、协议和端口完全匹配。如果两个资源名、协议和端口不匹配,浏览器会限制请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的请求。
CORS资源共享)——实例介绍
W小哥
12-01 1042
一、什么是CORS CORS是一个w3c标准、全称是"资源共享"(Cross-origin resource sharing) 因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源.,即浏览器的同源策略 但一个请求url的协议、名、端口三者之间任意一个与当前页面不同即为、它允许阅览器向源服务器发送XMLHttpRequest请求,从而克服AJAX只能同源使用的限制 对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附
HTTP学习——资源共享(CORS)
Hoorus的窝
08-07 919
http学习
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 2990
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
你可能不知道的CORS资源共享
10-17
CORS资源共享)是Web开发中解决访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
CORS资源共享及解决方案.docx
10-26
CORS资源共享及解决方案.docx
CORS 资源共享
weixin_51446342的博客
11-16 161
CORS 资源共享
使用 Express 写接口
weixin_43563864的博客
10-27 1378
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
Cors资源请求详解
1
03-20 5265
介绍 Cors全称为“资源共享”(Cross-origin resource sharing),是一个W3C标准,一种浏览器机制,可实现对位于应用程序之外的资源的受控访问,对你的应用来源()之外的资源(比如图像或字体)的请求称为请求。那么为什么会出现Cors呢,首先要了解到同源策略,同源策略(Sameoriginpolicy)简称SOP,是一种约定,同源策略限制了网站与源(来源)以外的资源进行交互的能力,每当不同来源 ()发出请求而没有来源配置时,服务器将报告错误。而Cors就是通过特
资源共享CORS
weixin_45678402的博客
08-07 1444
CORS是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他origin(、协议和端口),这样浏览器可以访问加载这些资源资源共享通过一种机制来检查服务器是否会允许要发送的真实请求;该机制通过浏览器发起一个到服务器托管的资源的**“预检”请求**; 在预检中,浏览器发送的头中标示有HTTP方法和真实请求中用到的头; CORS请求中分为简单请求和非简单请求: 简单请求: 不会触发CORS预检请求; 简单请求的条件: GET、HEAD、POST方法 Content-Type
CORS资源共享) 的配置
精益求精
04-12 803
nginx兼容上传 兼容情况: 各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和android浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现发送请求,需要服务端配置 nginx增加类似如下配置: [html] v
vue2-开发环境CORS问题解决(配置代理proxy)
qq_39111074的博客
04-15 3627
开发时,如果 API接口没有开启CORS资源共享,前端请求接口地址时就会报错, 解决方法:配置 proxy 代理
cors实现请求
热门推荐
badmoonc的博客
09-14 6万+
简介 CORS:全称"资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现通信。 请...
HTTP访问控制 - CORS(资源共享)
(o゚v゚)ノOutOfMemory
02-08 366
参考网址 资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该请求...
如何用CORS解决api接口问题
YouyuZhao的博客
03-29 1505
首先我们要了解产生的原因: 名、协议、端口有一个不同就会产生,是浏览器的同源策略引起的 (所谓同源是指:名、协议、端口相同。) 解决的方式 解决的方式有很多:JSONP、CORS、服务器代理、document.domain、window.name、location.hash、postMessage 主要说一下市面上常见的方式:jsonp、cors、代理这三种 jsonp 过...
一篇文章搞明白CORS
weixin_33767813的博客
11-26 165
面试问到数据交互的时候,经常会问如何处理。大部分人都会回答JSONP,然后面试官紧接着就会问:“JSONP缺点是什么啊?”这个时候坑就来了,如果面试者说它支持GET方式,然后面试官就会追问,那如果POST方式发送请求怎么办?基础扎实一些的面试者会说,使用CORS,不扎实的可能就摇摇头了。 这还没结束,如果公司比较正规或者很在乎技术...
cors资源共享
最新发布
07-28
CORS(Cross-Origin Resource Sharing)是一种机制,用于允许在一个名下的Web应用程序访问另一个名下的资源。默认情况下,浏览器会...希望这能解答你关于CORS资源共享的问题!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值