013-CORS跨域介绍

最新推荐文章于 2024-05-22 10:43:02 发布
最新推荐文章于 2024-05-22 10:43:02 发布
阅读量855 收藏
点赞数
分类专栏: 人在江湖之SpringMVC 文章标签: http 网络协议 跨域 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/121262907
版权

跨域的同源策略

协议(protocol)、域名(host)、端口号(port),都相同称为同源,其中一个不同都会产生跨域问题。
在跨域情况下,cookie、localStorage等,后端的session等每次请求都不一样,如果你在跨域情况下使用这些对象将会有很多问题。比如无法通过ajax访问后端接口,无法使用session来做接口认证等等。

跨域的解决办法

  1. jsonp:简单适用,兼容性好(可以兼容低版本IE),只支持 get 请求,不支持 post 请求,数据安全性较低。
  2. CORS 跨域资源共享(Cross-Origin Resource Sharing):W3C 标准,目前处理跨域问题的首选方式。
  3. 服务器配置:比如使用nginx的反向代理,将不同源的地址映射为同源的url地址以达到前端js请求接口的同源要求。在很多情况下这也是很多项目解决跨域问题的主要选择。

CORS基本原理简单解释

CORS 是一个 W3C 标准,全称是“跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨域的服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS 请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

简单请求

同时满足以下两大条件,才属于简单请求

  1. 请求方法是以下三种方法之一
    HEAD、GET、 POST
  2. HTTP 的头信息不超出以下几种字段
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

注:也就是说我们最常用的 Content-Type:application/json 不是简单请求。

非简单请求

非简单请求的 CORS 请求,会在正式通信之前,增加一次 HTTP 查询请求,称为“预检”请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 HTTP 动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
“预检”请求就是使用的OPTIONS方法。

CORS跨域的请求头

Origin:请求来源字段
Access-Control-Request-Method:请求用到哪些http方法
Access-Control-Request-Headers:指定浏览器 CORS 请求会额外发送的头信息字段,如X-Token

CORS跨域的几个响应头说明

1. Access-Control-Allow-Origin

跨域是必须设置的,它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。Origin字段是浏览器在请求时会自动添加的,表示本次请求来自哪个域(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

注:如果要发送 Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循同源政策,只有用服务器域名设置的 Cookie 才会上传,其他域名的 Cookie 并不会上传,且(跨域)原网页代码中的document.cookie也无法读取服务器域名下的 Cookie。

Access-Control-Allow-Origin: * 
(为*时就不能发送cookie,也就是Access-Control-Allow-Credentials不能为true)
或者
Access-Control-Allow-Origin: http://localhost:8080

2. Access-Control-Allow-Credentials

CORS 请求默认不包含 Cookie 信息(以及 HTTP 认证信息等)。比如你使用session或者cookie来做用户认证,那么就需要做如下两个配置。

第一步:后端配置Access-Control-Allow-Credentials属性为true

Access-Control-Allow-Credentials: true

第二步:前端配置withCredentials属性为true

注:前端配置withCredentials属性根据你使用的ajax工具来设置

ajax 设置

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

axios

axios.defaults.withCredentials=true
axios.defaults.crossDomain=true

以上至是提供一个设置的实例,axios还有其他地方可以设置withCredentials属性

JQuery

$.ajax({
    url: "http://localhost:8080/aaaa",
     type: "GET",
     xhrFields: {
         withCredentials: true
     },
     crossDomain: true,
     success: function (data) {
         
     }
 });

3. Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。在此有效期内,不用发送“预检”请求。

4. Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在“预检”中请求的字段。

Access-Control-Allow-Headers:Content-Type, X-Requested-With, X-authentication, X-client, X-Token, X_Requested_With

5. Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次“预检”请求。

Access-Control-Allow-Methods: GET,POST,DELETE,PUT,OPTIONS

上一篇:Spring MVC 异常处理源码解析
下一篇:Spring MVC处理CORS跨域

没事儿写两篇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
provider-coustomer-CORS跨域.zip
05-21
provider-coustomer-CORS跨域.zip
DRF跨域后端解决之django-cors-headers的使用
09-19
主要介绍了DRF跨域后端解决之django-cors-headers的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
跨域请求携带cookie需配置Access-Control-Allow-Credentials为true
yihanzhi的博客
12-12 1万+
跨域请求需要携带cookie是,请求头中需要设置Access-Control-Allow-Credentials:true。 Access-Control-Allow-Credentials值为true时,Access-Control-Allow-Origin必须有明确的值,不能是通配符(*) ...
Js设置前端允许跨域请求后端API:Access-Control-Allow-Credentials
盏茶作酒的博客
09-28 4773
跨域报错信息: Console代码 收藏代码 Fetch API cannot load https://xxx.com/api. Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Credentials' header ...
“Access-Control-Allow-Credentials”问题
热门推荐
柯基的博客
05-31 2万+
Access-Control-Allow-Credentials跨域问题 在前端向后端请求接口数据时在控制台报出错误: 解决方法:前端: 在config文件下的index.js中` module.exports = { dev: { // Paths assetsSubDirectory: 'static', assetsPublicPath: '/', proxyTable: { '/api': { target: 'http://l
跨域的解决办法(超详细)
m0_50861631的博客
03-20 3181
同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略来对脚本和请求进行校验,若不同源,则禁止使用。 同源的定义 那如果判断是否同源?主要根据三个维度,域名,协议,端口三个都相同才算同源。 举个 : 网站A网站B结果http://www.zhenai.comhttp://i.z.com不同源,域名不同http://www.zhenai.comhttp://www.z.cn不同源,域名不同http://www.zhenai.comhttp
[Web] Access-Control-Allow-Origin 与 WithCredentials
buildcourage的博客
12-08 3413
Access-Control-Allow-Origin与WithCredentials 遇到的问题 在我们一个商城项目当中,前后端分离,前端使用Ajax(XMLHttpRequest),后台是Spring项目,需要实现跨域访问。 Access-Control-Allow-Origin 我之前从网上找到实现跨域的方法,在后台添加了如下Filter: public class CrossDomainF...
JavaEE - CORS跨域
MinggeQingchun的博客
09-03 670
是一个W3C标准,全称是””(),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。CORS需要浏览器和服务器同时支持。
wordpress 5.2.4-CORS跨域劫持漏洞复现
PANDA墨森的博客
08-22 1122
#001 漏洞简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。通过该标准,可以允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制,进而读取跨域的资源。CORS允许Web服务器通知Web浏览器应该允许哪些其他来源从该Web服务器的回复中访问内容 漏洞产生原因:在Access-Control-Allow-Origin中反射请求的Origin值。该配置可导致任意攻击者网站可以直接跨域读取其资..
node-cors:跨域解析中间件
05-13
您可以将白名单设置为允许跨域。 安装 $ npm install node-cors 或者 $ yarn add node-cors 用法 var express = require('express'); var cors = require('node-cors'); var app = express(); //you can add any ...
allow-cors-access-control插件,解决跨域问题,内含使用教程
10-03
allow-cors-access-control插件,解决跨域问题,内含使用教程
fastify-cors:加速 CORS
07-23
fastify-cors fastify-cors允许在 Fastify 应用程序中使用 。 支持 Fastify 3.x版本。 Fastify ^2.x兼容性请参考及相关版本。 Fastify ^1.x兼容性请参考及相关版本。 安装 npm i fastify-cors 用法 需要fastify-...
用于与 HTTP 服务器通信的函数
安徽锐锋科技-沐雨潇竹
05-21 624
将对在不更改结构的情况下不允许用于 URL 的所有字母进行掩蔽。将指定数据从 Base64 编码解码为原始状态,对传递的 Base64 编码文本中的二进制数据进行转换。decodeQuotedPrintableString 函数取消掩蔽由引用的可打印编码掩蔽的所有字母,将其转换为原始形式的传递文本。对引用的可打印编码中传递的字符串进行编码,其中将掩蔽不允许在 URL 中使用的所有字母,而不更改其结构。字符串数据类型的 FileName 参数用于指定要将解码后的数据保存到其中的文件的名称。
HTTP 协议中 GET 和 POST 有什么区别?分别适用于什么场景?
最新发布
m0_62986746的博客
05-22 448
GET 请求的参数是明文传输的,因为参数在 URL 中,如果涉及敏感信息(如密码),容易被窃取或暴露 在浏览器历史记录、代理服务器日志等地方。2. 参数传递大小不同GET请求参数有大小限制,因为URL⻓度有限制,不同的浏览器和服务器对URL⻓度的限制不同,一般为 2048 个字符。而 POST 请求参数没有大小限制,因为它们是以请求体的形式传递的。因为 POST 请求参数在请求体中传输,相对安全一些,可以提交敏感信息,但是需要注意参数加密和防止 CSRF 攻击等问题。1. 参数传递方式不同。
Nginx的HTTP重写规则:重定向与URL重写
Dxy1239310216的博客
05-20 330
Nginx的rewrite模块允许我们根据请求的URI、HTTP头或请求的其他属性来改变请求的URI。重写可以在请求处理的不同阶段进行,包括serverlocation和if块中。Nginx的rewrite模块为我们提供了强大的URL重写和重定向功能。通过合理的配置,我们可以轻松实现各种复杂的URL处理需求。但请注意,不当的重写规则可能会导致性能下降或意外的行为,因此在实际应用中需要谨慎配置和测试。
推荐——网站地址开头的HTTP怎么升级成HTTPS?
JoySSL230907的博客
05-17 860
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 选择证书颁发机构(CA):首先,你需要一个SSL证书,这是确保HTTPS安全性的关键。- 申请证书:在选定的CA网站上,如JoySSL,注册账户并填写你的域名信息来申请证书。- 更新内部链接:检查并更新你的网站代码和数据库中的所有内部链接,确保它们都指向HTTPS版本,避免“混合内容”问题。- 全面测试:完成上述步骤后,彻底测试你的网站,确保所有页面都能通过HTTPS正常访问,没有页面错误或资源加载失败。1. 选择并获取SSL证书。
HTTP-QUIC协议
pyxllq的博客
05-17 396
参考。
allow-cors-access-control插件下载
08-31
allow-cors-access-control插件是一款用于跨域资源共享(CORS)访问控制的浏览器插件。当网页通过Ajax请求跨域资源时,浏览器会进行安全策略的检查,如果资源服务器不允许跨域访问,浏览器会阻止请求。该插件的作用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值