CORS原理及详细使用(转载)

最新推荐文章于 2024-08-28 08:49:24 发布
最新推荐文章于 2024-08-28 08:49:24 发布
阅读量6.4k 收藏 45
点赞数 2
分类专栏: JavaScript

CORS:全称"跨域资源共享"(Cross-origin resource sharing)。

CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。

请求类型:
CORS分为简单请求和非简单请求(需预检请求)两类

符合以下条件的,为简单请求

请求方式使用下列方法之一:

  • GET
  • HEAD
  • POST

Content-Type 的值仅限于下列三者之一:

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded

对于简单请求,浏览器会直接发送CORS请求,具体说来就是在header中加入origin请求头字段。同样,在响应头中,返回服务器设置的相关CORS头部字段,Access-Control-Allow-Origin字段为允许跨域请求的源。请求时浏览器在请求头的Origin中说明请求的源,服务器收到后发现允许该源跨域请求,则会成功返回。

非简单请求(预检请求)

使用了下面任一 HTTP 方法:

  • PUT
  • DELETE
  • CONNECT
  • OPTIONS
  • TRACE
  • PATCH

 
Content-Type 的值不属于下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

当发生符合非简单请求(预检请求)的条件时,浏览器会自动先发送一个options请求,如果发现服务器支持该请求,则会将真正的请求发送到后端,反之,如果浏览器发现服务端并不支持该请求,则会在控制台抛出错误。

前端代码与发送普通Ajax请求没有差异,我们只需在服务端设置即可

以node做服务端为例:

var express = require('express');
var app = express();
var allowCrossDomain = function (req, res, next) {
  res.header('Access-Control-Allow-Origin', 'http://localhost:3001');
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
}
app.use(allowCrossDomain);

接下来,http://localhost:3001下的GET,PUT,POST,DELETE请求,自定义首部字段为Content-Type的非简单请求则会被正常访问,当然,你也可以将Access-control-Allow-Methods和Access-Control-Allow-Headers这两个配置删掉,删掉之后,将仅支持简单请求进行跨域。
--------------------- 

CORS字段介绍:
(1)Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

(2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

(3)Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

(4)Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。

总结:
总的来说,使用CORS简单请求,非常容易,对于前端来说无需做任何配置,与发送普通ajax请求无异。唯一需要注意的是,需要携带cookie信息时,需要将withCredentials设置为true即可。CORS的配置,完全在后端设置,配置起来也比较容易,目前对于大部分浏览器兼容性也比较好。CORS优势也比较明显,可以实现任何类型的请求,相较于JSONP跨域只能使用get请求来说,也更加便于我们使用。


原文地址:https://blog.csdn.net/badmoonc/article/details/82706246 

相关链接:AJAX详解-廖雪峰官网 

友人C君~
关注
专栏目录
使用CORS解决跨域问题
12-31 1097
1 跨域问题是什么 先说跨域,跨域是指跨域名(通信协议+域名+端口)的访问;而跨域不一定会产生跨域问题,跨域问题的产生是浏览器对于ajax请求的一种安全限制,一个页面发起的请求必须是与当前域名一样,否则,会产生跨域问题。 1.1 发生跨域问题时,浏览器的console会报出什么错 Access to XMLHttpRequest at 'http://localhost:80...
(转载)构建public APIs与CORS
Ryan Miao的博客
09-20 392
from: https://segmentfault.com/a/1190000000709909 理由:在操作层面详细的讲解了跨域的操作。尤其是对于option请求的详解。收藏。   在构建Public APIs的过程中,首先要解决的第一个问题就是跨域请求的问题。 网络应用安全模型中很重要的一个概念是“同源准则”(same-origin policy)。该准则要求一个网站(由协议+主
CORS原理及应用
dianyi3179的博客
07-09 289
CORS原理及应用 CORS是跨站资源共享,同样是解决浏览器的同源策略 其本质是设置响应头,使得浏览器允许跨域请求。 第三方网站返回数据的时候在浏览器的响应头中添加允许的域名,允许所有的用* 1 简单请求 简单请求是只发一次请求 ajax请求不变,第三方后台修改 s4的后台,在返回值中添加允许的域名和端口,注意不同后面写具体的域名,自己出错是在后面加上了cors 允许所有的,用* d...
什么是 CORS ?一文搞懂 CORS 跨域原理!零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-28 2287
CORS,全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。
CORS原理
weixin_34192816的博客
02-19 352
http://blog.csdn.net/renfufei/article/details/51675148 https://html.spec.whatwg.org/multipage/infrastructure.html#cors-settings-attribute http://www.ruanyifeng.com/blog/2016/04/cors.html http://www...
跨域访问方法介绍(7)--使用 CORS
chinaherolts2008的博客
07-05 600
CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。本文主要介绍 CORS 的基本使用,文中所使用到的软件版本:Chrome90.0.4430.212、jquery 1.12.4,Spring Boot2.4.4、jdk1.8.0_181。 1、CORS 简介 CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能..
cors原理
qq_40409143的博客
12-01 1330
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
极简修复CORS跨域问题,亲测有效
一只小鹰
08-15 7017
原文地址:https://www.jeremyjone.com/456/ ,转载请注明。 在前后端分离开发、远程调用等过程中,总能碰到跨域问题,其报错大体长这个鸟样: 对于这个bug,前端同学可以使用简单的方法处理,这里推荐两个方案: 方案一,安装一个名为Allow-Control-Allow-Origin的插件 你没有听错,前端同学最方便的方式其实是安装一个插件,安装后,在浏览器中打开它,使图...
【全栈修炼】CORS和CSRF修炼宝典
pingan8787
11-17 559
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。 一、CORS 和 CSRF 区别 先看下图: 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery...
GNSS《GPS测量原理及应用》复习题集
热门推荐
包子丶
04-04 1万+
个人博客:https://jmbaozi.top/ 第一章 绪论 1.简述全球定位系统的组成部分及各部分的作用? 卫星部分(空间)作用:发送用于导航定位的信号其他特殊用途,如通讯、监测核暴等。 监控部分(地面)作用:监测和控制卫星运行,编算卫星星历(导航电文),保持系统时间。 接收部分(用户)作用:接收、跟踪、变换和测量GPS信号。 2.简述全球定位系统的特点? (1)全天候;(2) 全球...
php 检测是否跨域,CORS(跨域)请求总结和测试
weixin_36170641的博客
04-04 1104
一、简单请求与非简单请求跨域请求分为简单与非简单请求,同时满足以下两种条件的可以确定为简单请求。 简单请求的请求方法请求方法说明head发送头部信息getpost简单请求的HTTP头信息http头信息说明accept指定客户端可以接受哪类信息,eg: image/gitaccept-language指定客户端可以接受的自然语言,如果没有指定,认为各语言都可以。eg:accept-language:...
CORS中继站操作说明
01-14
在GPS架设基站作业时,常常会由于电台信号距离有限,内置电台一般三四公里,通过架设中继站,可以有效增强传输距离
CORS原理详解
qq_44197554的博客
05-31 4916
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
cors使用
m0_72231852的博客
12-31 561
CORS是一种机制,它使得浏览器可以向不同域名的服务器发送XMLHttpRequest请求。在默认情况下,浏览器会阻止这种跨域请求,以保护用户的安全。但是,如果服务器允许跨域请求,那么浏览器就可以正常发送请求并接收响应。当浏览器遇到跨域请求时,它会先发送一个预检请求(OPTIONS请求),以确定服务器是否允许该请求。如果服务器返回的响应中没有包含正确的CORS配置信息,那么浏览器就会抛出一个错误。CORS(跨域资源共享)是一种Web标准,它允许浏览器向跨源服务器发送XMLHttpRequest请求。
原理分析CORS——我们到底是怎么跨域的
weixin_34254823的博客
10-06 133
同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好: URL 说明 是否允许 http://www.a.com/a.js/ http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js / http://www.a.com/script/b.js...
CORS正确使用姿势
jlin991的博客
02-25 1万+
CORS用法首先要知道的是对于CORS,我们要用到XHR2,然后IE的话是XDomainRequest Object,它从IE10开始才是XHR2. IE 8 9都是XDomainRequest首先需要写一个处理兼容性的函数,确定是哪个浏览器上运行function createCORSRequest(method,url){ var xhr=new XMLHttpRequest();
cors跨域资源共享的原理和简单应用
龙游浅滩的博客
09-22 504
一.CORSCORS(Cross-Origin Resourse Sharing),跨源资源共享,是一份浏览器技术的规范,提供了Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是JSONP模式的现代版。二. CORS原理CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务
cors的实现原理
weixin_34296641的博客
01-11 320
  如何辨认一个请求的源domain?   如何发送和处理cors请求?   优势 和 弱点   cookie 和 伪装     1. http://www.staticapps.org/articles/cross-domain-requests-with-cors 2. wikipedia 3....
跨域CORS原理及调用具体示例
dawuafang
06-20 118
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
理解CORS原理与解决跨域问题
"本文主要介绍了CORS(Cross-Origin Resource Sharing,跨源资源共享)的概念、原因、工作原理以及解决方法CORS是现代浏览器为保障数据安全而实施的一种策略,限制了网页只能访问同源(协议、域名、端口均相同)的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值