CORS跨域浅谈

最新推荐文章于 2023-06-30 10:38:21 发布
最新推荐文章于 2023-06-30 10:38:21 发布
阅读量292 收藏 1
点赞数
分类专栏: javascript 杂谈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h1234561234561/article/details/103066167
版权

cors(全程:跨域资源共享cross-origin-resource-shaw)
实质就是在服务器后台程序中设置允许不同域发送过来的请求。cors存在两种请求方式,简单请求和非简单请求。

一、判断请求是否为跨域请求,当为跨域请求时,判断是否为简单请求或者是非简单请求
1、判断是否为跨域请求
当我们发送请求时,浏览器会检测我们页面所在域名是否与请求链接所在域名为同一域名。若校验为同源,则直接发送请求;若校验为非同源,则会为请求头部添加字段Origin,值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com

2、判断是为简单请求还是非简单请求
当检测为跨域请求时,浏览器就会判断此请求时简单请求还是非简单请求。主要根据两大点。请求方式为head、get、post;请求头部字段不超过Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain标注:这点不太懂?何为不超过,有哪些字段算是超过,cookie,User-Agent、Host等算吗?)。肯定答案为简单请求,否定答案为非简单请求。

二、简单请求
注意:只发送正式通信请求,请求次数为一次。

1、请求方式:head、get、put

2、请求过程:服务器就会根据Origin这个字段获取请求所在域名。当服务器发现此域名不在可允许域名列表内部,则会返回一个正常的http回应,但是浏览器发现响应请求头部没有Access-Control-Allow-Origin字段,则会发现服务器禁止本域请求,因此会抛出异常;当服务器发现此域名在可允许域名列表内部,也会返回一个正常的http回应,但是服务器会为响应请求头部添加字段Access-Control-Allow-Origin字段,指明服务器可允许域名列表。

3、请求头部:
字段Origin:值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com

4、响应头部:
字段Access-Control-Allow-Origin:值为请求字段Origin或则星号(*),代表服务器可接受域名;字段Access-Control-Allow-Credentials:值为布尔型,代表服务器是否接受cookie;字段Access-Control-Request-Headers:值为自定义字段名,代表服务器会额外发送字段供前端利用getResponseHeader获取。(getResponseHeader(‘selfField’))

三、非简单请求
注意:第一次发送预检请求,第二次发送正式通信请求,请求次数为两次。

预检请求
1、请求方式:options

2、请求过程:浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段(服务器可能存在某些的特殊要求)。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

3、请求头部
字段Origin:值类型为安全协议(http/https)+ 域名(www.baidu.com)代表着自身所在的域名。(即:Origin:http://www.baidu.com);字段Access-Control-Request-Method:值为GET、POST等请求方式,代表浏览器可接受的请求方式;字段Access-Control-Request-Headers:值为自定义字段名,代表浏览器CORS请求会额外发送的头信息字段。

4、响应头部
字段Access-Control-Allow-Origin:值为请求字段Origin或则星号(*),代表服务器可接受域名;字段Access-Control-Request-Method:值为GET、POST等请求方式,代表服务器可接受的请求方式;字段Access-Control-Request-Headers:值为自定义字段名,代表服务器可接受CORS请求额外发送的头信息字段。

正式通信
排除请求方式与简单请求不同以外,其余部分雷同

1、请求方式:根据服务器要求(字段Access-Control-Request-Method)而定,可能为PUT,又可能为DELETE

四、跨域cookie存储
我们都知道cookie遵循同源策略,那么在cors请求中怎么实现不同域间的cookie通信?

withCredentials 属性
除了在服务器后台中设定字段Access-Control-Allow-Credentials为true外,我们还要在前端发送请求时打开withCredentials属性,设置为true。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

推荐日志:阮一峰CORS详解

燃情雪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot如何解决跨域问题(CORS
程序猿小龙的博客
08-13 631
    在前后端分离的项目中,通常会遇到跨域的问题。什么是跨域呢?就是两个域的协议号、主机号、端口号有其中一个不相同时,此时需要他们之间进行数据交换,这时候就涉及跨域问题。通常网站请求是不允许跨域的,因为跨域是不安全的。     那当需要跨域的时候,怎么去解决这个问题呢?     有三种方案可以参考:     1、使用JSONP的方式进行数据请求;     2、使用Nginx的方式进行反向代理;     3、使用CORS的方式进行跨域资源共享;     下面我们就介绍一下在SpringBoot如何使用COR
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
检查是否存在跨域问题
hlonelier的博客
06-30 3779
跨域请求的响应头通常包括 "Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"、"Access-Control-Allow-Headers" 等字段,它们指示了允许跨域请求的源、方法和头部。如果请求的状态是 "Blocked"(被阻止)或响应头中包含 "Access-Control-Allow-Origin"(允许跨域请求的源)相关的字段,就表示存在跨域问题。需要注意的是,由于浏览器的同源策略限制,跨域请求受到一些安全限制。
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 458
03Web服务器基础-19. HTTP协议请求部分详解
浅谈跨域CORS
Mr_RedStar的博客
03-28 1446
CORS简介 CORS是全称是Cross-Origin Resource Sharing(跨域资源共享),是基于http1.1的一种跨域解决方案。值得注意的是,CORS对不同请求模式有不同的处理规范,我们将之分成简单请求、需要预检的请求、携带身份凭证的请求。 简单请求 问题:如何定义一个简单请求? 请求方法仅限于get、post、head; 请求头仅包含安全的字段,常见的安全字段大概是Accept、Accept-Language、Content-Language、Content-Type、DPR、Down
浅谈CORS跨域
巴卡巴卡哇的博客
10-31 4621
跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
浅谈Cors 跨域
lucky_iboy的博客
08-13 302
CORS需要浏览器和服务器同时支持,通俗来说CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉.Cors跨域分为简单请求与非简单请求两种。(示例代码使用fetch发送请求,koa2建立服务) 1.简单请求 满足以下条件的为简单请求 (1)请求方法是以下三种方法之一: 头 得到 ...
CORS - 跨域 浅谈preflight request
BigManing的博客
12-17 842
文章目录背景一. 为什么要发预检请求二. 什么时候发预检请求1\. 简单请求2.需预检的请求 背景 不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的 图一.png 其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求,预检请求都做了什么 一. 为什么要发预检请求 我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策
浅谈CORS跨域问题
小小郭
11-24 988
前言 在web开发中,有时会遇到如下错误: Access to XMLHttpRequest has been blocked by cors policy 这个错误经常出现在新项目刚开始的时候,处理的方式一般有两种: 1. 在浏览器上装个跨域插件或跑个本地代理,适用于本地调试。 2. 调整服务端配置,从根本上解决。 这是个老生常谈的跨域问题,今天我们来重新认识一下。 什么是跨域 一个URL的组成可以简化为四部分:协议,域名,端口号,路径。 格式为:协议://域名:端口号/路径。 比如地址: http
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
cors跨域问题对应的jar包.zip
08-19
在Tomcat中web.xml配置了跨域过滤后,发现Tomcat启动失败,最终发现是需要cors-filter和java-property-utils这两个jar包
cors跨域Tomcat文件
04-21
cors跨域Tomcat http://blog.csdn.net/itas109/article/details/70285802
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
正弦波信号发生器设计教程.docx
06-22
正弦波信号发生器设计 本教程详细介绍了如何设计和实现一个正弦波信号发生器,涵盖了硬件实现和软件实现两种方法。通过硬件方法,我们使用函数发生器和示波器生成和观察正弦波信号;通过软件方法,我们使用Python和MATLAB生成和绘制正弦波信号。此外,教程还提供了一些扩展功能,以提高信号发生器的实用性和灵活性。无论您是电子工程师还是编程爱好者,都能从本教程中获得实用的技能和知识。
芯晞微 CSM2042 40V,低辍学,250 mA线性调节器 深圳市可芯电子有限公司.pdf
06-22
芯晞微 CSM2042 40V,低辍学,250 mA线性调节器 深圳市可芯电子有限公司.pdf
gaodetianqi.txt
06-22
gaodetianqi.txt
编程项目实战:基于JAVA的文件压缩与解压缩实践(源代码+论文)
06-22
文件的压缩与解压缩,要能方便地进行,要完成的功能包括压缩功能,解压缩功能,选择文件路径,选择操作方案,选择新文件保存路径。此程序还要在压缩成功后显示被压缩文件的大小,并对非法操作给出提示。 用户可以选择文件进行压缩或解压缩操作,并选择生成保存路径,默认的保存路径为原文件目录,压缩的生成文件以原文件加.gzip后缀命名,在解压缩操作中,若输入文件不是gzip格式的压缩文件,则提示gzip文件格式不对。 程序的基本设计原则有:方便性原则、功能实用性原则和开放性原则等。程序设计时采用较好的压缩技术,能保证文件压缩的压缩比和可恢复性,确保程序有较长的生命周期。 本程序的总体目标是实现文件压缩与解压缩的便捷操作,因此需要有便捷的操作界面。 2.2使用的算法理论 2.2.1LZ77算法简介 这一算法是由Jacob Ziv和Abraham Lempel于 1977 年提出,所以命名为LZ77。这种算法模型也被称为“滑动字典”模型或“滑动窗口”模型。 压缩的模型如图1:     图1 压缩中的LZ77算法模型图 在最远匹配位置和当前处理位置之间是可以用来查找匹配的“字典”区域,随着压缩的进行,“
TPS2HB35 Altium Designer PCB库
最新发布
06-22
TPS2HB35 AltiumDesigner 原理图库
cors跨域漏洞概述
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些...为了防止 CORS 跨域漏洞,服务器需要对来自非法域名的跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值