CORS预检

最新推荐文章于 2024-01-11 14:53:18 发布
最新推荐文章于 2024-01-11 14:53:18 发布
阅读量398 收藏
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getTheCheeseOfGod/article/details/104300681
版权

CORS是一种常见的跨域机制,一般由服务端提供一个Access-Control-Allow-Origin头来解决问题,但是这仅对一些“简单请求”有效。那么何谓“简单请求”呢?根据MDN的介绍,一个请求如果同时满足:

  1. 请求方法为GET HEAD POST中任意一种
  2. 请求头仅包含浏览器(代理)添加的头字段(User-Agent, Connection)、描述资源的头字段(Accept, Accept-Encoding, Accept-Language)等
  3. 如果请求头有Content-Type,其值仅为application/x-www-form-urlencoded, multipart/form-data, text/plain其中之一

那么它就是一个“简单请求”。只要有一条不满足,则不是“简单请求”,在CORS请求时需要先进行预检(preflight)。
预检指的是,浏览器先发一个OPTIONS请求到服务器,并使用Access-Control-Request-Method头标识即将发起请求的方法,使用Access-Control-Request-Headers标识不在上文第2条标识范围内的头字段名。服务器接收到预检请求之后,需要返回Access-Control-Allow-OriginAccess-Control-Allow-Methods标识支持预检的方法,Access-Control-Allow-Headers标识能够新增的请求字段名,同时返回Access-Control-Max-Age表明客户端可以缓存预检成功状态多少秒,在有效期内再次发送请求时不需预检。
预检请求成功返回后,浏览器会检验即将发送的请求方法、请求头是否符合服务端需要,如果满足则发送实际的请求,否则会在控制台报一个CORS错误。

下面来模拟一下整个过程:

客户端

客户端代码比较简单,我们构建一个XMLHttpRequest对象,然后发送一个非"简单请求",代码如下:

var req = new XMLHttpRequest()

req.onreadystatechange = function (e) {
    if (req.readyState === 4 && req.status === 200) {
        console.log('请求成功')
    }
}

req.open('GET', 'http://127.0.0.1:3003/static/pic', true)
req.setRequestHeader('X-Pong', 'ping')
req.send()

我们使用GET方法,但是新增了X-Pong头,这不是一个常规的头部,所以浏览器会发预检请求。

服务端

使用koa搭建一个简单的响应服务器

const fs = require('fs')
const path = require('path')
const util = require('util')
const Koa = require('koa2')
const Router = require('koa-router')

const app = new Koa()
const router = new Router()

router
.get('/', (ctx, next) => {
  ctx.body = 'index'
})
.options('/static/pic', (ctx, next) => {
  let reqMethod = ctx.headers['access-control-request-method']
  let origin = ctx.headers['origin'] || '*'
  // 打印预检请求头
  console.log(util.inspect(ctx.headers))

  if (/get/i.test(reqMethod)) {
    ctx.set({
      // 只支持GET方法
      'Access-Control-Allow-Method': 'GET',
      // 支持额外的X-Pong头部字段
      'Access-Control-Allow-Headers': 'X-Pong',
      'Access-Control-Allow-Origin': origin,
      // 预检有效缓存10分钟
      'Access-Control-Max-Age': '600'
    })
    ctx.status = 204
  } else {
    ctx.status = 405
    ctx.body = '<p>This resource can only be preflight by GET.</p>'
  }
})
.get('/static/pic', (ctx, next) => {
  // 这是正常的跨域CORS发送文件
  let origin = ctx.headers['origin'] || '*'
  let filePath = path.resolve(__dirname, '../mime/pic.jpg')
  ctx.set('Access-Control-Allow-Origin', origin)
  ctx.type = path.extname(filePath)
  ctx.body = fs.createReadStream(filePath)
})

app.use(router.routes())
app.use(router.allowedMethods())

app.listen(3003, function () {
  console.log('server running on port 3003...')
})
实验结果

启动服务器,然后在Chrome浏览器的Sources-Snippets面板中运行客户端代码,即可在node控制台看到浏览器发送的预检请求头:
在这里插入图片描述
打开浏览器的NetWork面板可以发现请求发送了两次,第一次是OPTIONS预检请求,第二次是GET方法获取图片。通过检视我们发现了预检响应头。
在这里插入图片描述
当然这个预检是满足要求的。我们有一些方法使得预检不能被满足:

  1. Access-Control-Allow-Headers中的X-Pong去掉,此时客户端要发送X-Pong但不被预检允许;
  2. Access-Control-Allow-Method改成其他方法,此时客户端发送GET请求获取资源不被允许;

这两种情况下浏览器控制台都会报错,感兴趣的不妨试下。

最后Access-Control-Max-Age表示预检成功结果缓存的时间,它受浏览器缓存控制。如果浏览器运行在disable cache模式,请求头默认携带cache-control: no-cachecache-control: max-age=0,此时预检缓存也将失效,OPTIONS请求会重新发送。

getTheCheeseOfGod
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP访问控制(CORS)——预检请求问题的解决
qq_44891295的博客
07-08 8874
文章目录1:CORS介绍2:什么情况下需要 CORS3:跨域资源共享机制功能概述3.1 若干访问控制场景案例演示 1:CORS介绍 CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 同源安全策略 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。 CORS 头 Access
解决vue axios跨域 Request Method: OPTIONS问题(预检请求)
01-19
这是因为CORS跨域分为 简单跨域请求和复杂跨域请求; 简单跨域不会发送options请求,复杂跨域会发送一个预检请求options。 1.简单跨域满足的条件 1.请求方式是以下三种之一: HEAD GET POST 2.HTTP的头信息不超出...
跨源资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 932
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
CORS简单请求和预检请求
最新发布
weixin_49115633的博客
01-11 1154
只要符合以下任何一个条件的请求,都需要进行预检请求:请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
kkfileview阿里云安全扫描:威胁类型敏感信息回显 (Sensitive Information Response)
weixin_43866043的博客
03-30 1822
kkfileview
kkFileView代码分析(二)——文件控制分析
m0_55503427的博客
10-17 1393
2021SC@SDUSC
Apache中配置支持CORS(跨域资源共享)实例
09-15
前端JavaScript在发送CORS请求时,会先进行一次预检(Preflight)请求,即OPTIONS请求,以询问服务器是否允许跨域。如果预检请求成功,浏览器才会发送实际的请求。在示例中,`createCORSRequest`函数创建了一个...
Spring Boot 通过CORS实现跨域问题
09-07
- **缓存控制**:通过设置`Access-Control-Max-Age`,可以让浏览器缓存CORS预检结果,减少不必要的预检请求。 总的来说,Spring Boot结合CORS为开发人员提供了一个强大且灵活的工具,以处理跨域访问的限制,从而在...
Flask配置Cors跨域的实现
09-19
- CORS分为简单请求(Simple Request)和预检请求(Preflighted Request)。简单请求满足特定条件,如只使用GET、HEAD或POST方法,并且没有自定义请求头。预检请求则涉及更复杂的请求配置,浏览器会先发送一个...
.NET Core API CORS的实现
10-18
总结起来,.NET Core API CORS的实现主要是通过配置服务和中间件来设定允许的源,并处理预检请求,以确保跨域请求的安全和正确性。在实际开发中,需要根据项目需求来调整CORS策略,平衡安全性和功能需求。
http协议中,“get”和“post”的区别是什么
weixin_33804990的博客
08-23 715
GET在浏览器回退时是无害的,而POST会再次提交请求。GET产生的URL地址可以被Bookmark,而POST不可以。GET请求会被浏览器主动cache,而POST不会,除非手动设置。GET请求只能进行url编码,而POST支持多种编码方式。GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。GET请求在URL中传送的参数是有长度限制的,而POST么有。对参数的数据类型,...
关于CORS预检
weixin_33881041的博客
03-15 210
  最近公司要求去掉所有请求的代理,于是发现了一个很奇妙的问题,请求一个服务时,使用$.GET()返回的是正确的,但是使用openlayers.request.GET则会返回500, 于是打开控制台看看两个请求之间的区别:   心思缜密的我一下子就发现了问题:openlayers.request.GET发出的竟然是options请求,服务对options请求报错,于是便产生了这...
kkFileView getCorsFile 任意文件读取漏洞(CVE-2021-43734)
weixin_44304678的博客
11-09 1136
Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件。
kkFileView任意读取漏洞思考
qq_82303224_的博客
04-26 3046
urlPath=file:///etc/passwd //突破限制目录。urlPath=file:///etc/passwd直接可以读文件和。urlPath=file:///etc/passwd 成功读取到内容,urlPath=file:///etc/passwd 提示限制目录预览。.思路7:..|/..|/..|/..|/..|/..|/..|/..|etc/passwd。file:///etc/passwd 也是 500。
前端 | 浅谈预检请求
u012496505的博客
09-17 5921
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求,预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
get和post的区别,预检请求
m0_59070120的博客
02-13 761
get一般用来获取信息,post一般用来提交更新数据get参数放在在url那里,可见,因为url有长度限制,所以参数也有长度限制,而且直接暴露在外面,相对来说不太安全post的参数放置在request body里面,无长度限制部分浏览器会对get请求进行主动缓存,并且其参数路径会保留在浏览器的历史记录上,post不会进行主动缓存,需要手动设置get只允许ASCII字符,post无限制。
CORS预检
weixin_45609659的博客
02-18 511
在跨域请求中,下列请求头中哪种content-type一定会触发cors预检查 A. text/plain B. multipart/form-data C. application/x-www-form-unlencoded D. application/json √ CORS概念 CORS(Cross-origin resource sharing):跨域资源共享,是W3C标准。 它允许浏览器向跨源服务器,发出XMLHTTPRequest请求,从而克服AJAX只能同源使用的限制。 CORS请求.
CORS 预检请求
yiyueqinghui的博客
04-04 973
1. 原因 一般是请求前修改了以下几个 HTTP 请求首部的 OPTIONS默认 请求: Access-Control-Request-Method Access-Control-Request-Header Origin 此时,浏览器会自动发出一个预检请求,判断是否可以发送请求。 比如说,用put,delete请求方法。 跨域也会发送预检请求,判断是否可以连接。 通常的get.post请...
cors跨域之简单请求与预检请求(发送请求头带令牌token)
weixin_34360651的博客
06-29 1092
引子 自从从JAVA伪全栈转前端以来,学习的路上就充满了荆棘(奇葩问题),而涉及前后端分离这个问题,对cors的应用不断增多,暴露出的问题也接踵而至。这两天动手实践基于Token的WEB后台认证机制,看过诸多理论(较好一篇推荐),正所谓虑一千次,不如去做一次。 犹豫一万次,不如实践一次,所以就有了下文,关于token的生成,另外一篇文章会...
CORS 预检响应的 'Access-Control-Allow-Headers',不允许使用头 'mema-token'
06-16
预检请求是CORS中的一种机制,它在实际请求之前发送一个OPTIONS请求,以确定实际请求是否安全。在预检请求中,服务器可以发送一个响应头 'Access-Control-Allow-Headers',指定允许的请求头。 如果你收到了这样的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值