一文搞懂跨源请求相关问题

最新推荐文章于 2024-04-06 12:50:47 发布
最新推荐文章于 2024-04-06 12:50:47 发布
阅读量310 收藏
点赞数
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddd2501/article/details/128449899
版权

1.了解什么是跨源?

前端调用的后端接口不属于同一个域,这就是跨域。简单来理解就是协议、域名和端口有任意一个不一样的情况下请求数据,就会被认为是跨域。跨域请求如果没被特殊处理的话,就会报错。

服务器端代码(NodeJS)

import express from 'express';
const app = express();
let port = 7000;
let ip = '127.0.0.1'
let userObj = {
	name :'hzh',
	age : 29,
	sex : '男'
}
app.get('/user',(req,res) => {
	// res.setHeader('Access-Control-Allow-Origin','*');
	res.send(userObj);
})

app.listen(port,() => {
	console.log(`your sever is running at http://${ip}:${port}`)
})

客户端代码

document.querySelector('button').addEventListener('click',() =>{
  let xhr = new XMLHttpRequest();
  xhr.onload = function(){
    if((xhr.status === 200 || xhr.status < 300) || xhr.status === 304){
      console.log(xhr.responseText);
    }else{
      console.log('requset error');
    }
  }
  xhr.open('GET','http://127.0.0.1:7000/user',true);
  xhr.send(null);
})

会出现以下错误,因为没有对请求进行特殊处理,则请求会被跨源政策(同源策略)所拦截并爆出错误

2.什么是同源策略?

同源策略(协议、域名、端口号相同就称为同源)是浏览器的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。同源策略的好处在于,它能帮助阻隔恶意文档,减少可能被攻击的媒介,增强浏览器数据传输的安全性。所以跨域请求之所以会报错,全部来源于浏览器的同源策略。

2.1浏览器的同源策略到底限制了什么?

其实浏览器并不是限制了所有的跨源操作,因为我们在通过浏览器去测试跨域时,我们虽然收到了跨源报错,但是请求状态status依旧显示200,也就是能正常返回,只是我们读取不到返回的数据而已,也就是说浏览器的同源策略限制了在非同源情况下的读数据操作。

3.IE特殊的同源策略是什么? 

Internet Explorer 的同源策略有两个主要的差异点:

  • 授信范围(Trust Zones):两个相互之间高度互信的域名,如公司域名(corporate domains),则不受同源策略限制。

  • 端口:IE 未将端口号纳入到同源策略的检查中,也就是说即使两个域的端口号不一样,协议和域名一样,则也能互相建立连接不会报错。

4.跨源资源共享解决跨域问题

虽然浏览器有同源策略,不支持跨域数据请求,但是浏览器也是可以支持合法的跨源访问的能力,以XHR对象为案例,XHR对象受浏览器的影响只能访问与发起请求的页面在同一个域内的资源。跨源资源共享CORS(Cross-Origin Resource Sharing)定义了浏览器与服务器如何实现跨源通信,也就是说要不要跨源传输资源,要么是刘浏览器通过某种方式告诉服务器可以,要么是服务器通过某种方式告诉浏览器可以。CORS背后的基本逻辑是使用自定义的HTTP头部(这个自定义头部可以是请求上传的也可以是服务器响应的)允许浏览器和服务器进行相互了解,以确实请求的响应是成功还是失败。

注意:

跨域XHR对象可以访问status和statusText属性的值,也允许同步请求,但是出于安全考虑,跨域XHR对象有一些额外的限制

  • 不能使用setRequsetHeader()设置自定义请求头

  • 不能发送或接收cookie

  • getAllResponseHeader()方法始终返回空字符串

4.1几种请求方式

在HTTP1.1 协议中的,请求方法分为GET、POST、PUT、DELETE、HEAD、TRACE、OPTIONS、CONNECT 八种。浏览器根据这些请求方法和请求类型将请求划分为简单请求和非简单请求。

4.2简单请求处理跨源资源共享问题

在以上八种请求中,我们把POST、GET请求理解为简单的请求,简单请求是没有自定义头部的,则想要达到跨域传输资源,则必须通过服务器告诉浏览器可以跨源传输资源,那样才可以达成协议,沟通好使用CORS。服务器发送Access-Control-Allow-Origin头部,值为"*",这样服务器就是在告诉浏览器可以进行跨源请求资源

res.setHeader('Access-Control-Allow-Origin','*'); // 通配符*表名该访问的数据是被共享的

4.3非简单请求处理跨域资源共享问题——预检请求

以上八种请求除了POST、GET请求之外都是非简单请求,也就是允许使用自定义请求头,说白了就是可以通过浏览器来告诉服务器,我们允许跨源请求资源。CORS通过一种叫预检请求(preflighted request)的服务器验证机制,在同源策略关闭的情况下(服务器书写了Access-Control-Allow-Origin等属性),之后再进行敏感操作之前,这个时候浏览器会向同一个URL发出OPTIONS类型的请求,这就是预检请求

CORS规范要求

对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。

满足下面其中一个条件浏览器就会自行触发OPTIONS请求(预检请求)

  • 使用了PUT/DELETE/CONNECT/OPTIONS/TRACE/PATCH任意一个方法

  • 人为设置了除Accept/Accept-Language/Content-Language/Content-Type/DPR/Downlink/Save-Data/Viewport-Width/Width字段的其他字段

  • Content-Type 的值不属于application/x-www-form-urlencoded、multipart/form-data、text/plain其中任何一个

这个请求使用OPTIONS方法发送并包含以下头部:

  • Origin: <origin>

  • Access-Control-Request-Method: 请求希望使用的方法

  • Access-Control-Request-Headers: (可选)要使用的逗号分隔的自定义头部列表

服务器会进行响应发送过来的请求头包含如下:

  • Access-Control-Allow-Origin: <origin> | *

  • Access-Control-Allow-Methods: 允许的方法(多个方法利用逗号分隔)

  • Access-Control-Allow-Headers: 服务器允许的头部(逗号分隔的列表)

  • Access-Control-Max-age: 缓存预检请求的秒数(优化预检请求的方法就是缓存它)

新版本谷歌浏览器怎么看预检请求

注意:(预检请求常常出现的基本错误)

因为浏览器自行进行了预检请求,则服务器端必须对该请求做出响应,如果不对该请求响应,做跨源处理,则浏览器依旧会报跨源错误,这个时候,我们只需要再服务器端先放上Access-Control-Allow-Origin字段,之后给上值,随后放上Access-Control-Allow-Methods字段,并且给上OPTIONS请求类型和其他的你想让其通过跨源请求的请求类型,案例如下,我想发送DELETE请求,并想浏览器认同跨源请求且认同DELETE请求:

服务器端代码(NodeJS)

import express from 'express';
const app = express();
let port = '8080';
let ip = '127.0.0.1'
let userObj = {
	name :'hzh',
	age : 29,
	sex : '男'
}
// 服务器端接收预检请求,OPTIONS请求
app.options('/user',(req,res) => {
	res.setHeader('Access-Control-Allow-Origin','*');
	res.setHeader('Access-Control-Allow-Methods','OPTIONS,DELETE'); // 这里的请求方法必须含有DELETE方法,不然依旧是不通过DELETE请求方法
	console.log('通过了预检请求')
	res.send('通过预检请求');
})

app.delete('/user',(req,res) => { // 服务器端给DELETE请求进行响应
	res.setHeader('Access-Control-Allow-Origin','*');
	console.log('通过delete请求');
	res.send('发送了delete请求');
})

app.listen(port,() => {
	console.log(`your sever is running at http://${ip}:${port}`)
})

客户端代码(XHR对象发送请求)

document.querySelector('button').addEventListener('click',() =>{
  let xhr = new XMLHttpRequest();
  xhr.onload = function(){
    console.log(xhr.status,xhr.statusText)
    if((xhr.status === 200 || xhr.status < 300) || xhr.status === 304){
      console.log(xhr.responseText);
    }else{
      console.log('requset error');
    }
  }
  xhr.open('DELETE','http://localhost:8080/user',true); // 发送DELETE请求
  xhr.send(null); 
})

5.跨源请求是否能携带Cookie?

默认情况下,跨源请求是不允许携带Cookie的,且还不允许携带HTTP认证以及客户端SSL证书,但是我们可以通过将withCredemtials属性值设置为true来表明请求会携带Cookie、HTTP认证以及客户端SSL证书,如果服务器允许携带Cookie、HTTP认证以及客户端SSL证书的请求,那么可以响应中包含如下HTTP头部:

Access-Control-Allow-Credentials: true;

注意:

  • 如果你发送了一个携带Cookie、HTTP认证以及客户端SSL证书的请求,而服务器没有响应以上请求头,则通过JS就获得不到这个响应(responseText是空字符、status是0、onerror()被调用)

  • 服务器也可以通过预检请求的响应中发送这个HTTP请求头,以表明这个源被允许发送携带Cookie、HTTP认证以及客户端SSL证书的请求

执迷原理
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
跨域访问的相关概念及解决方法
oscar999的专栏
03-10 754
跨域访问的概念、原理和解决方案
XML 教程(一文彻底搞懂XML)
热门推荐
m0_58859743的博客
06-03 4万+
帮你一次性彻底搞懂XML
后端解决跨域问题:已拦截跨源请求:同源策略禁止读取位于 http://localhost:8888/user/page?
weixin_46211609的博客
01-16 999
后端解决跨域问题:已拦截跨源请求:同源策略禁止读取位于 http://localhost:8888/user/page?pageNum=1&pageSize=10&username=&email=&address= 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。状态码:200。
web3.js跨源请求解决方案
锐敏博客
09-17 1890
       在基于以太坊进行DAPP开发中,会使用到web3.js与以太坊时行交互,当产品发布时会使用公共以太坊结点,因产品的域名和公共以太坊结点域名不一致,出现浏览器跨域问题,浏览器会出现如下错误信息: 已拦截跨源请求:同源策略禁止读取位于 https://ropsten.infura.io/&lt;your-key&gt;的远程资源。 (原因:CORS 请求未能成功)。 可使用代理进行...
跨域/跨源请求
after_17的博客
02-19 713
跨域/跨源请求目录什么是跨域请求浏览器的同源策略解决方案 目录 什么是跨域请求 跨域请求指:当前发起请求的域与该请求指向的资源所在的域不同时的请求。这里的域指的概念: “协议 + 域名 + 端口号” 均相同,那么就是同域。 现跨域请求常出现在前后端分离项目当中。 浏览器的同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也是最基本的安全功能。出于安全考虑,浏览器限制从JS脚本发起的跨源HTTP请求 因为同源策略的限制,不同协议(http、https)、域名或者端口无法
启用跨源请求 (CORS)
weixin_34038652的博客
10-09 271
https://docs.microsoft.com/zh-cn/aspnet/core/security/cors
跨源请求cors和jsonp
anzhang5248的博客
08-22 63
一、cors(常用简单) 1、http://127.0.0.1:8000 <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset="UTF-8"> <title>Title</title> </head> &lt...
AJAX网络请求 —— Fetch:发送跨域请求(三)
秋天,黄叶坠地,凉风有信。
03-17 5430
文章目录Fetch:跨源请求为什么需要 CORS?跨源请求简史)使用表单使用 script简单的请求用于简单请求的 CORSResponse header“非简单”请求Step 1 预检请求(preflight request)Step 2 预检响应(preflight response)Step 3 实际请求(actual request)Step 4 实际响应(actual response)凭据(Credentials)总结 Fetch:跨源请求 如果我们向另一个网站发送 fetch 请求,则该请求
一文搞懂DHCP协议
极客熊猫
05-05 3785
何为DHCP? DHCP是Dynamic Host Configuration Protocol的首字母缩写,即动态主机配置协议。 任何连接到的互联网的主机或路由器都需要IP地址、子网掩码、默认网关、DNS服务器等配置信息,当一个网络中的主机或路由器数量很多时,采用人工来配置这些信息显然是低效且易错的。DHCP就是解决这个问题的。 DHCP的主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、子网掩码、默认网关、DNS服务器地址等信息,并能够提升IP地址的使用率。 DHCP采用
DaoCloud贾恒:一文搞懂发布现代化
m0_46700908的博客
06-10 3030
发布现代化=云原生微服务体系下的发布
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
Fatter$hday的博客
05-24 3439
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
内含面试|一文搞懂HBase的基本原理
lt_xiaodou的博客
08-30 437
在HBase中,一个表可以有多个列族,一个列族在物理上是存储在一起的,一个列族会对应一个store,在store的内部会存在一个MemStore,其作用并不是为了提升读写速度,而是为了对RowKey进行排序。我们知道,HBase的数据是存储在HDFS上的,而HDFS是不支持修改的,HBase为了按RowKey进行排序,首先会将数据写入MemStore,数据会先在Memstore中整理成LSM树,最后再刷写到HFile上。总之一句话: Memstore的实现目的不是加速数据写入或读取,而是维持数据结构。...
什么是跨域请求、什么是同源策略、借助script标记发送跨域请求
小屁鸿的博客
08-19 325
跨域(跨源)1.相关概念2.一个跨域请求的例子 1.相关概念 ①什么是同源: 看上面例子 ②同源策略: 同源策略指的就是,不同源地址之间,默认不能相互发送AJAX请求 ③跨域请求跨源请求): 不同源地址之间的请求 2.一个跨域请求的例子 ...
rest framework之跨源请求失败,资源访问受限
qq_36579455的博客
10-30 276
跨原请求失败结果 第一步 在项目对应的虚拟环境下安装插件django-cors-headers pip install django-cors-headers 第二步 配置settings.py 下面是settings中所要配的 代码片. // An highlighted block INSTALLED_APPS = [ ...... 'corsheaders', ] CORS...
JS 跨源请求
weixin_30603633的博客
12-25 154
一个 URL 大概包含的部分:scheme://host:port/path?#hash 比如一个 URL 为 http://www.xxx.com:8888/school/student.html, 那么 http就是 scheme,www.xxx.com 就是 host,8888 就是 port, 什么是同源?   如果两个 URL 的 “scheme://host:port” 内容...
【学习笔记】跨源访问和同源策略解读
chualam的博客
08-23 401
同源策略含义:没有被授权,不能读写对方资源 同源:要协议相同,域名相同(包含www.属于二级域名),端口相同 常见允许跨源访问的例子: JSONP:跨源的对方给你一段JS执行,而SCRIPT中的SRC属性是允许跨源的,所以达到了目的。 CORS:修改HTTP响应,例给ACCESS-CONTROL-ALLOW-ORGIN添加相关信息。游览器放行,请求方拿到数据。 WEBSOCKS:通信协议,使用WS://(非加密)WSS://(加密)作为前缀,该协议不支持同源协议,可跨源通信。 ...
跨源Jsonp
qq_36031452的博客
09-09 259
下面给大家说一下跨源请求的一些方式: 1,当正常在跨域请求数据时,会弹出 ''Access-Control-Allow-Origin'',原因是没有允许远距离访问的权利,须在跨域请求的页面中加上一下代码: header("Access-Control-Allow-Origin:*"); * 号是代表是可以被允许访问的,这里不建议使用该方法,不安全 2,可以使用 iframe这个标签来跨域请
非同源域名axios无法携带cookie,基于问题我们深挖axios
JIANYMN的博客
03-21 3178
axios 无法携带cookie,原因竟然是withCredentials配置,重温ajax的创建步骤,并利用class类和promise特性去封装我么自己的axios
javascript基础从小白到高手系列四百四十三:跨源资源共享
最新发布
wanmeijuhao的博客
04-06 348
注意,服务器也可以在预检请求的。如果服务器决定响应请求,那么应该发送Access-Control-Allow-Origin 头部,包含相同的源;在这个请求发送后,服务器可以确定是否允许这种类型的请求。 Access-Control-Request-Headers:(可选)要使用的逗号分隔的自定义头部列表。对于简单的请求,比如GET 或POST 请求,没有自定义头部,而且请求体是text/plain 类型, Access-Control-Allow-Headers:服务器允许的头部(逗号分隔的列表)。
面试必备:一文读懂DNS:网络知识扫盲
网络知识扫盲,一文搞懂DNS,是求职面试中不容忽视的基础考察内容。DNS(Domain Name System),即域名解析系统,是互联网通信的核心组成部分,它将人类易于记忆的域名转换为机器可理解的IP地址,使得我们在浏览器中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

执迷原理

感谢支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值