CORS原理(为什么会发OPTIONS方法及问题总结)

最新推荐文章于 2024-04-29 10:43:29 发布
最新推荐文章于 2024-04-29 10:43:29 发布
阅读量944 收藏 4
点赞数
文章标签: http 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haonan_z/article/details/122105620
版权

CORS跨域的原理

跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequestFetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。

而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器需要服务器。通常是有以下几个配置:

  • Access-Control-Allow-Origin
  • Access-Control-Allow-Methods
  • Access-Control-Allow-Headers
  • Access-Control-Allow-Credentials
  • Access-Control-Max-Age

具体可看:跨源资源共享(CORS)

过程分析:

  • 浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。
  • 服务器收到浏览器跨域请求后,根据自身配置返回对应文件头。若未配置过任何允许跨域,则文件头里不包含 Access-Control-Allow-origin 字段,若配置过域名,则返回 Access-Control-Allow-origin + 对应配置规则里的域名的方式
  • 浏览器根据接受到的 响应头里的 Access-Control-Allow-origin 字段做匹配,若无该字段,说明不允许跨域,从而抛出一个错误;若有该字段,则对字段内容和当前域名做比对,如果同源,则说明可以跨域,浏览器接受该响应;若不同源,则说明该域名不可跨域,浏览器不接受该响应,并抛出一个错误。

另外在CORS中有简单请求非简单请求,简单请求是不会触发CORS的预检请求的,而非简单请求会。

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。

CORS的哪些是简单请求?

简单请求不会触发CORS的预检请求,若请求满足所有下述条件,则该请求可视为“简单请求”:

简洁版:

  • 只能使用GET、HEAD、POST方法。使用POST方法向服务器发送数据时,Content-Type只能使用application/x-www-form-urlencodedmultipart/form-data
    text/plain 编码格式。
  • 请求时不能使用自定义的HTTP Headers

完整版:

  • (一) 使用下列方法之一

    GET HEAD POST

  • (二) 只能设置以下集合中的请求头

    Accept Accept-Language Content-Language Content-Type(但是有限制) DPR
    Downlink Save-Data Viewport-Width Width

  • (三) Content-Type的值仅限于下面的三者之一

    text/plain multipart/form-data application/x-www-form-urlencoded

  • 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。

  • 请求中没有使用 ReadableStream 对象。

除了上面这些请求外,都是非简单请求。

CORS的预检请求具体是怎样的?

若是跨域的非简单请求的话,浏览器会首先向服务器发送一个预检请求,以获知服务器是否允许该实际请求。

整个过程大概是:

  • 浏览器给服务器发送一个OPTIONS方法的请求,该请求会携带下面两个首部字段:
    Access-Control-Request-Method: 实际请求要用到的方法
    Access-Control-Request-Headers: 实际请求会携带哪些首部字段
  • 若是服务器接受后续请求,则这次预请求的响应体中会携带下面的一些字段:
    Access-Control-Allow-Methods: 服务器允许使用的方法
    Access-Control-Allow-Origin: 服务器允许访问的域名
    Access-Control-Allow-Headers: 服务器允许的首部字段
    Access-Control-Max-Age: 该响应的有效时间(s),在有效时间内浏览器无需再为同一个请求发送预检请求
  • 预检请求完毕之后,再发送实际请求

这里有两点要注意(注意,注意,注意):

  1. 关于Access-Control-Max-Age,浏览器自身也有维护一个最大有效时间,如果该首部字段的值超过了最大有效时间,将不会生效,而是以最大有效时间为主。
  2. 当你勾选了浏览器的 Disable cache选项时,会导致浏览器每次非简单请求都会发送预检请求
    Disable cache

这里只做记录使用,后续再持续优化,想了解更多,可以参考以下文章:

科普一下 CORS 以及如何节省一次 OPTIONS 请求

10种跨域解决方案(附终极大招)

Henry_楠
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么会有OPTIONS请求
世上本没有路,走的人多了,也便成了路
04-17 702
本文介绍了OPTIONS请求出现的原因及CORS相关的概念,最后说明了什么情况下会或者不会发CORS预检请求。
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
总结来说,CORS是解决Web API跨域问题的有效方法,它允许服务器通过设置响应头来控制哪些源可以访问资源,并支持多种HTTP请求方法和自定义头部。在ASP.NET Web API中,可以通过自定义处理器来轻松实现CORS支持,以...
CORS原理及应用
dianyi3179的博客
07-09 278
CORS原理及应用 CORS是跨站资源共享,同样是解决浏览器的同源策略 其本质是设置响应头,使得浏览器允许跨域请求。 第三方网站返回数据的时候在浏览器的响应头中添加允许的域名,允许所有的用* 1 简单请求 简单请求是只发一次请求 ajax请求不变,第三方后台修改 s4的后台,在返回值中添加允许的域名和端口,注意不同后面写具体的域名,自己出错是在后面加上了cors 允许所有的,用* d...
OPTIONS 预检请求是什么?
最新发布
stay hungry, stay foolish
04-29 519
OPTIONS 请求是 HTTP 协议中的一种请求方法。它是 HTTP/1.1 规范中引入的,属于“预检请求”(preflight request)的一部分,主要用于跨域资源共享(CORS, Cross-Origin Resource Sharing)的场景中,但也适用于其他需要了解服务器功能的场合。
cors原理
qq_40409143的博客
12-01 1295
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
原理分析CORS——我们到底是怎么跨域的
weixin_34254823的博客
10-06 126
同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好: URL 说明 是否允许 http://www.a.com/a.js/ http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js / http://www.a.com/script/b.js...
跨域CORS原理及调用具体示例
dawuafang
06-20 101
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
跨域请求两种方法 jsonp和cors的实现
12-02
客户端发起CORS请求与常规Ajax请求基本一致,但浏览器会在实际请求之前发送一个预检请求(OPTIONS),检查服务器是否允许跨域请求。例如: ```javascript $('.get_service1').click(function () { $.ajax({ url: ...
SpringBoot跨域Jsonp和Cors方法
10-16
总结,SpringBoot中解决跨域问题可以通过JSONP或CORS。JSONP适用于简单的GET请求和广泛的浏览器支持,而CORS则是更现代、更安全的选择,支持多种HTTP方法和更复杂的跨域场景。在实际项目中,应根据应用的需求和目标...
C# WebApi CORS跨域问题解决方案
08-27
在生产环境中,为了安全性,通常会替换为特定的源、方法和请求头列表。 2. 如果需要在特定控制器或操作上启用CORS,可以使用`[EnableCors]`装饰器: ```csharp [EnableCors(origins: "http://localhost:8081", ...
CORS:了解CORS
02-16
总结来说,CORS机制为Web应用程序提供了跨域数据交互的能力,但同时也需要开发者充分理解其工作原理和潜在风险,以保证应用的安全性和可用性。正确地配置和使用CORS,能够使Web应用更灵活,用户体验更佳。
CORS跨域的原理
yan的秘密基地
05-04 1956
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Control-
OPTIONS 方法在跨域请求(CORS)中的应用
热门推荐
明天回火星
05-04 4万+
原文  http://stylechen.com/options-cors.html OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式
跨域 CORS/OPTIONS
MXqihang的博客
06-21 476
跨域问题的细节,和处理
CORSOptions相关
csdn_girl的博客
06-26 715
关于跨域 跨域概念 同域(同源)策略:相同协议、域名、端口号的url属于同源的,反之属于跨源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。 所有不同域之间的访问都要解决跨域问题;无论简单请求还...
CORS解决跨域
JAVA大猩猩的博客
05-30 330
1. 什么是corsCORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 浏览器端: 目前,所有浏览器都支持该功能(IE10以下不行)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。 服务端: CORS通信与AJAX没有任何差别
CORS解决跨域问题
qq_45750715的博客
04-12 359
CORS解决跨域问题
通过options探测服务器信息,OPTIONS 方法在跨域请求(CORS)中的应用
weixin_39872624的博客
08-10 2273
OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式。既然比较少见,什么情况下会使用这个方法呢?采用Ajax跨域调用接口的时候,浏览器会自动发起一个 OPT...
JSONP跨域和CORS跨域
weixin_34125592的博客
05-31 97
什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会检查这个脚本属于那个页面,如果不是同源页面,就不会被执行。 JSONP跨域 只支持GET请求,不支持POST等其它请求,也不支持复杂请求,只支持简单请求。 CORS跨域 支持所有的请求,包含...
CORS具体是什么原理以及如何实现
04-26
CORS是跨源资源共享的缩写,它是一种浏览器端的安全机制。CORS允许服务器在响应请求时,在响应头中指定哪些域名可以访问该服务器的资源,从而限制了跨域访问的范围。CORS的实现涉及到两个关键步骤: 1. 服务器端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值