CORS跨域浅谈

最新推荐文章于 2023-06-30 10:38:21 发布
最新推荐文章于 2023-06-30 10:38:21 发布
阅读量292 收藏 1
点赞数
分类专栏: javascript 杂谈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h1234561234561/article/details/103066167
版权

cors(全程:跨域资源共享cross-origin-resource-shaw)
实质就是在服务器后台程序中设置允许不同域发送过来的请求。cors存在两种请求方式,简单请求和非简单请求。

一、判断请求是否为跨域请求,当为跨域请求时,判断是否为简单请求或者是非简单请求
1、判断是否为跨域请求
当我们发送请求时,浏览器会检测我们页面所在域名是否与请求链接所在域名为同一域名。若校验为同源,则直接发送请求;若校验为非同源,则会为请求头部添加字段Origin,值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com

2、判断是为简单请求还是非简单请求
当检测为跨域请求时,浏览器就会判断此请求时简单请求还是非简单请求。主要根据两大点。请求方式为head、get、post;请求头部字段不超过Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain标注:这点不太懂?何为不超过,有哪些字段算是超过,cookie,User-Agent、Host等算吗?)。肯定答案为简单请求,否定答案为非简单请求。

二、简单请求
注意:只发送正式通信请求,请求次数为一次。

1、请求方式:head、get、put

2、请求过程:服务器就会根据Origin这个字段获取请求所在域名。当服务器发现此域名不在可允许域名列表内部,则会返回一个正常的http回应,但是浏览器发现响应请求头部没有Access-Control-Allow-Origin字段,则会发现服务器禁止本域请求,因此会抛出异常;当服务器发现此域名在可允许域名列表内部,也会返回一个正常的http回应,但是服务器会为响应请求头部添加字段Access-Control-Allow-Origin字段,指明服务器可允许域名列表。

3、请求头部:
字段Origin:值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com

4、响应头部:
字段Access-Control-Allow-Origin:值为请求字段Origin或则星号(*),代表服务器可接受域名;字段Access-Control-Allow-Credentials:值为布尔型,代表服务器是否接受cookie;字段Access-Control-Request-Headers:值为自定义字段名,代表服务器会额外发送字段供前端利用getResponseHeader获取。(getResponseHeader(‘selfField’))

三、非简单请求
注意:第一次发送预检请求,第二次发送正式通信请求,请求次数为两次。

预检请求
1、请求方式:options

2、请求过程:浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段(服务器可能存在某些的特殊要求)。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

3、请求头部
字段Origin:值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com);字段Access-Control-Request-Method:值为GET、POST等请求方式,代表浏览器可接受的请求方式;字段Access-Control-Request-Headers:值为自定义字段名,代表浏览器CORS请求会额外发送的头信息字段。

4、响应头部
字段Access-Control-Allow-Origin:值为请求字段Origin或则星号(*),代表服务器可接受域名;字段Access-Control-Request-Method:值为GET、POST等请求方式,代表服务器可接受的请求方式;字段Access-Control-Request-Headers:值为自定义字段名,代表服务器可接受CORS请求额外发送的头信息字段。

正式通信
排除请求方式与简单请求不同以外,其余部分雷同

1、请求方式:根据服务器要求(字段Access-Control-Request-Method)而定,可能为PUT,又可能为DELETE

四、跨域cookie存储
我们都知道cookie遵循同源策略,那么在cors请求中怎么实现不同域间的cookie通信?

withCredentials 属性
除了在服务器后台中设定字段Access-Control-Allow-Credentials为true外,我们还要在前端发送请求时打开withCredentials属性,设置为true。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

推荐日志:阮一峰CORS详解

燃情雪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot如何解决跨域问题(CORS
程序猿小龙的博客
08-13 631
    在前后端分离的项目中,通常会遇到跨域的问题。什么是跨域呢?就是两个域的协议号、主机号、端口号有其中一个不相同时,此时需要他们之间进行数据交换,这时候就涉及跨域问题。通常网站请求是不允许跨域的,因为跨域是不安全的。     那当需要跨域的时候,怎么去解决这个问题呢?     有三种方案可以参考:     1、使用JSONP的方式进行数据请求;     2、使用Nginx的方式进行反向代理;     3、使用CORS的方式进行跨域资源共享;     下面我们就介绍一下在SpringBoot如何使用COR
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
检查是否存在跨域问题
hlonelier的博客
06-30 3749
跨域请求的响应头通常包括 "Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"、"Access-Control-Allow-Headers" 等字段,它们指示了允许跨域请求的源、方法和头部。如果请求的状态是 "Blocked"(被阻止)或响应头中包含 "Access-Control-Allow-Origin"(允许跨域请求的源)相关的字段,就表示存在跨域问题。需要注意的是,由于浏览器的同源策略限制,跨域请求受到一些安全限制。
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 458
03Web服务器基础-19. HTTP协议请求部分详解
浅谈跨域CORS
Mr_RedStar的博客
03-28 1446
CORS简介 CORS是全称是Cross-Origin Resource Sharing(跨域资源共享),是基于http1.1的一种跨域解决方案。值得注意的是,CORS对不同请求模式有不同的处理规范,我们将之分成简单请求、需要预检的请求、携带身份凭证的请求。 简单请求 问题:如何定义一个简单请求? 请求方法仅限于get、post、head; 请求头仅包含安全的字段,常见的安全字段大概是Accept、Accept-Language、Content-Language、Content-Type、DPR、Down
浅谈CORS跨域
巴卡巴卡哇的博客
10-31 4616
跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
浅谈Cors 跨域
lucky_iboy的博客
08-13 301
CORS需要浏览器和服务器同时支持,通俗来说CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉.Cors跨域分为简单请求与非简单请求两种。(示例代码使用fetch发送请求,koa2建立服务) 1.简单请求 满足以下条件的为简单请求 (1)请求方法是以下三种方法之一: 头 得到 ...
CORS - 跨域 浅谈preflight request
BigManing的博客
12-17 841
文章目录背景一. 为什么要发预检请求二. 什么时候发预检请求1\. 简单请求2.需预检的请求 背景 不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的 图一.png 其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求,预检请求都做了什么 一. 为什么要发预检请求 我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策
浅谈CORS跨域问题
小小郭
11-24 986
前言 在web开发中,有时会遇到如下错误: Access to XMLHttpRequest has been blocked by cors policy 这个错误经常出现在新项目刚开始的时候,处理的方式一般有两种: 1. 在浏览器上装个跨域插件或跑个本地代理,适用于本地调试。 2. 调整服务端配置,从根本上解决。 这是个老生常谈的跨域问题,今天我们来重新认识一下。 什么是跨域 一个URL的组成可以简化为四部分:协议,域名,端口号,路径。 格式为:协议://域名:端口号/路径。 比如地址: http
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
cors跨域问题对应的jar包.zip
08-19
在Tomcat中web.xml配置了跨域过滤后,发现Tomcat启动失败,最终发现是需要cors-filter和java-property-utils这两个jar包
cors跨域Tomcat文件
04-21
cors跨域Tomcat http://blog.csdn.net/itas109/article/details/70285802
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
Pygments-1.2-py2.6.egg
06-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
大数据可视化大屏页面-广西矿产资源大数据监管平台+源代码+演示地址
06-19
1、资源内容地址: https://blog.csdn.net/2301_78627004/article/details/136655536 2、代码特点:内含运行结果,不会运行可私信,参数化编程、参数可方便更改、代码编程思路清晰、注释明细,都经过测试运行成功,功能ok的情况下才上传的。 3、适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
大数据可视化大屏页面-双数智慧公卫-传染病督导平台+源代码+演示地址
06-19
1、资源内容地址: https://blog.csdn.net/2301_78627004/article/details/136655536 2、代码特点:内含运行结果,不会运行可私信,参数化编程、参数可方便更改、代码编程思路清晰、注释明细,都经过测试运行成功,功能ok的情况下才上传的。 3、适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
小程序版python语言pytorch框架训练识别非机动车辆-不含数据集图片-含逐行注释和说明文档.zip
06-19
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,
艺术ppt-素材 010.pptx
最新发布
06-19
【ppt素材】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
cors跨域漏洞概述
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些...为了防止 CORS 跨域漏洞,服务器需要对来自非法域名的跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值