Http的CORS

最新推荐文章于 2022-08-07 21:37:24 发布
最新推荐文章于 2022-08-07 21:37:24 发布
阅读量933 收藏
点赞数
分类专栏: JavaScript 前端 文章标签: HTTP CORS 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjc256/article/details/89173850
版权

文章目录

浏览器的同源策略

所谓同源策略,就是指浏览器会限制从一个源加载的网页和脚本与其他源的资源交互。这是一种用于隔离潜在恶意软件的机制

可能有人会奇怪,明明网页是自己写的,自己怎么会请求含有恶意程序的URL呢?话虽如此, 可是我们在开发中经常会引入第三方的库,当我们通过script标签将它们引入的时候是没有限制的。而它们之中就可能含有对恶意URL的请求。

所谓同源,就是指两个URL的协议、主机、端口要一致。这就能看出同源策略的思路–“信任自家人”。因为同源的两个URL一般都是来自同一个企业或者个人,自己人不会坑自己人。

例如对http://store.company.com/dir/page.html的同源检测:

在这里插入图片描述

注:上面说“限制”,既指浏览器限制脚本发起跨域请求,也指浏览器允许发起跨域请求,但是响应被浏览器拦截

CORS

同源策略默认阻止跨域获取资源。但是CORS给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。

CORS,即Corss-Orgin Resource Sharing,跨域资源共享。这是一个由一系列HTTP首部字段组成的系统,这些首部字段决定了浏览器是否阻止脚本中代码发起的跨域请求。

例子

假设当前页面的URL为http://www.a.com,现在我想对http://www.b.com发起请求。

那么请求头中会包含一个Origin字段,值即为http://www.a.com

响应头中则会包含Access-Control-Allow-Origin字段,该字段表示服务器允许哪些源发起的访问。若该字段的值为*http://www.a.com,则跨域访问成功,若都不是,则跨域请求被浏览器拦截。

预检请求

对于一些“也许会对服务器造成影响”的请求(例如PUT、带有参数的POSTDELETE等),浏览器会首先使用OPTIONS发起一个预检请求,以便提前获知服务器是否可以允许后续将要发出的正式请求。

预检请求的首部中会包含两个字段Access-Control-Request-MethodAccess-Control-Request-Headers

例如,Access-Control-Request-Method: POSTAccess-Control-Request-Headers:Content-Type
就是告知服务器我将使用POST方法发起请求,并且请求首部字段中会包含一个Content-type

而在服务器的响应中会包含Access-Control-Allow-MethodsAccess-Control-Allow-HeadersAccess-Control-Max-Age

前两个字段分别表示服务器允许请求的方法服务器允许请求首部包含的字段

而第三个字段表示在字段值所指定的时间内不必再次预检。

Meskjei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http-cors:Amp的http服务器的中间件,用于处理CORS请求
01-28
拉布拉多HTTP CORS 一个PHP 7+库旨在为上运行的项目提供符合规范的CORS中间件。 尽管此库位于Labrador名称空间下,但它仅具有一个依赖项amphp/http-server ,并且不依赖于任何其他Labrador包。 安装 是安装Labrador软件包的唯一受支持的方法。 composer require cspray/labrador-http-cors 文献资料 Labrador软件包在docs/目录中有完整的文档内购。 您也可以在在线查看文档。 管治 所有拉布拉多软件包都遵守规定的规则。
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 4588
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
http跨域问题处理之CORS
jeffrey11223的博客
02-23 371
如何算跨域 首先,跨域属于浏览器的行为,服务与服务之间不会产生跨域问题。当一个请求url的协议、域名、端口三者之间任意一个与当前页面的不同即为跨域。 在CORS之前的解决方法是在同域内做一个代理,或者使用JSON-P等。随着跨域请求的应用越来越多,W3C提供了跨域请求的标准方案--- CORS模型(Cross-Origin Resource Sharing)。目前主流浏览器均支持CORS。 ...
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2172
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
HTTP访问控制(CORS
JavaEdge全是干货的技术号
05-02 2181
跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 2896
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
Http 通信】CORS 跨域资源共享
おうせき碩の博客
07-22 346
Ajax前端请求代码发送带有自定义请求头的PUT请求。ajaxurl{//数据注意内容必须为字典executeTimenow//字典里内容前面key可以不加"",默认会加上""变成字符串但是不会当成变量},//字典后面value有""为字符串,没有为变量beforeSendalert("跨域请求失败。");}});}服务器代码使用CORS跨域访问需要服务器的支持,也就是需要实现CORS接口。。......
HTTP学习——跨域资源共享(CORS)
Hoorus的窝
08-07 887
http学习
cors跨域
01-19
可解决WEB跨域问题,使用方法,访问博客:http://blog.csdn.net/sunhuwh/article/details/79106171
System.Web.Cors.dll
05-30
C#开发web网页,当从A网站使用AJAX请求B网站时,就会...跨域请求一般可以用C#提供的CORS方法解决,这里就要引用到这个库文件。具体使用方法可以参考https://www.cnblogs.com/xbblogs/archive/2017/05/26/6909230.html
cors:Go的CORS nethttp中间件
05-03
CORS net / http中间件 是一个叉提供一个net/http为在服务器侧执行预检检查CORS兼容中间件。 使用浏览器的本地需要这些标头。 该中间件旨在用作路由器上的顶级中间件。 如果未添加与OPTIONS匹配的路由,则在r.Group...
cors跨域Tomcat文件
04-21
cors跨域Tomcat http://blog.csdn.net/itas109/article/details/70285802
React—useRef
热门推荐
Meskjei的博客
10-16 11万+
相信有过React使用经验的人对ref都会熟悉,它可以用来获取组件实例对象或者是DOM对象。 而useRef这个hooks函数,除了传统的用法之外,它还可以“跨渲染周期”保存数据。 首先来看一下它传统的用法: import React, { useState, useEffect, useMemo, useRef } from 'react'; export default function A...
insertBefore的用法
Meskjei的博客
04-09 3万+
文章目录简介用法参数注意的地方 简介 inserBefore,顾名思义就知道是“在某个节点之前插入”。而MDN文档的说法是: Node.insertBefore() 方法在参考节点之前插入一个拥有指定父节点的子节点 而所谓的“拥有指定父节点”,就是指被参照的节点的父节点就是调用insertBefore方法的节点。 如果给定的子节点是对文档中现有节点的引用,insertBefore()会将其从当...
HTML5--拖放事件与dataTransfer对象
Meskjei的博客
04-04 1万+
文章目录简介拖放事件dataTransfer对象方法例子 简介 若不使用HTML5的拖放事件,我们仍可以通过mousedown、mousemove、mouseup这三个事件来实现页面元素被鼠标拖拽的效果。 然而这样实现的拖拽仅仅是交互上的,即只是显示上的变化,并没有什么实质性的功能。而HTML5中直接提供了拖放的API,只要通过监听元素的拖放事件就能实现各种拖放功能。 若要拖放某个元素,则必须将其...
Viewport详解
Meskjei的博客
10-16 7779
移动端与桌面端最明显的区别就在于屏幕的大小。在比桌面端屏幕小不少的手机移动端上做web开发,网页的布局将会是一个全新的课题。因此首先我们需要了解的就是一个与屏幕大小息息相关的属性–Viewport。 Viewport Viewport翻译成中文可以叫“视窗”或者是“视口”,它表示的是用户网页的可视范围(指页面能够被浏览的范围)。一个针对移动端优化过的网页的meta标签如下: &lt;meta na...
webpack-dev-server的代理(proxy)
Meskjei的博客
09-06 6700
文章目录引入proxy 引入 先看一个例子: import React, { Component } from 'react'; import ReactDOM from 'react-dom'; import axios from 'axios'; class App extends Component { componentDidMount(){ axios.get(...
Canvas绘制曲线
Meskjei的博客
07-04 5634
文章目录圆弧贝塞尔曲线 圆弧 圆弧使用arc方法绘制,画圆的时候画的弧度是从0到2π,而想要画圆弧就调整参数只画出部分圆即可。 const canvas = document.getElementById("canvas"); const ctx = canvas.getContext("2d"); ctx.arc(100, 100, 100, 0, Math.PI / 2); ctx.strok...
cors
最新发布
06-02
CORS机制通过HTTP头部来告诉浏览器,当前域名上的Web应用程序可以访问位于其他域名上的资源。具体来说,服务器在响应请求时,会在HTTP头部中加入Access-Control-Allow-Origin字段,指定可以访问该资源的域名列表,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值