跨域时(cross-origin) Access-Control-Allow-Credentials对 CORS-actual request的response 的影响

最新推荐文章于 2024-04-19 20:10:37 发布
最新推荐文章于 2024-04-19 20:10:37 发布
阅读量3.1k 收藏
点赞数 1
分类专栏: JavaScript 文章标签: CORS preflight Access-Control-Allow-Credentia
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iceman1952/article/details/88016583
版权

本文参考了:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials

 

概述

Access-Control-Allow-Credentials

唯一的合法值是小写的true(大小写敏感)。如果不需要credentials,直接不设置该header,不要设置false。

 

当XMLHttpRequest.withCredentials=true或Request.credential=include时,只有当CORS-actual request的response 中的Access-Control-Allow-Credentials为true时,browser才允许前端JavaScript代码读取response。

我们分各种情况看下跨域时Access-Control-Allow-Credentials对 CORS-actual request的response 的影响

跨域且不存在CORS-preflight request时

1. CORS-actual request 设置了credentials,则

    a. CORS-actual request的response 设置了Access-Control-Allow-Credentials,则,browser正常读取该response

    b. CORS-actual request的response 未设置Access-Control-Allow-Credentials,则,browser忽略掉该response

 

2. CORS-actual request 未设置credentials,则

    a. CORS-actual request的response 是否设置Access-Control-Allow-Credentials并没有任何影响

 

跨域且存在CORS-preflight request时

一. CORS-preflight request的response 设置了Access-Control-Allow-Credentials,则

    1. CORS-actual request 设置了credentials,则

        a. CORS-actual request的response 设置了Access-Control-Allow-Credentials,则,browser正常读取该response

        b. CORS-actual request的response 未设置Access-Control-Allow-Credentials,则,browser忽略掉该response

 

    2. CORS-actual request 未设置credentials,则

        a. CORS-actual request的response 是否设置Access-Control-Allow-Credentials并没有任何影响

 

二. CORS-preflight request的response 未设置Access-Control-Allow-Credentials,则

    1. CORS-actual request 设置了credentials,则

        a. CORS-actual request 直接无法请求,此时,根本就不存在CORS-actual request的response

       

    2. CORS-actual request 未设置credentials,则

        a. CORS-actual request的response 是否设置Access-Control-Allow-Credentials并没有任何影响

 

iceman1952
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2235
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置跨域请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的跨域行为。...
allowCredentials跨域问题
miss_na的博客
12-31 1万+
间起源- 前段间,需要弄个简单的网站出来,访问远程的api服务。 我是这么做的。首先是在搭建一个nodejs服务来运行前端页面。在我请求登录的候,能成功返回相应的成功信息。然后,当我再次请求读取别的接口的候,返回的信息确实提示我尚未登录。此此刻,我一脸蒙逼。明明我已经登陆了啊。后来偶然得知这是因为浏览器的机制问题。 -初步解决- 大概的意思是,默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的。所以,当你再次访问远程api的候,cookie是不会被带上的,于是乎,服务器理所当然地认
php accesscontrolallowcredentials,CORSAccess-Control-Allow-Header如何工作?
weixin_42196667的博客
04-01 244
我正在尝试使CORS请求从domain.com发送到a.domain.com。我的JavaScript看起来像这样$('#fileupload').fileupload({xhrFields: {withCredentials: true},dataType: 'json',url: $('#fileupload').data('path'),singleFileUploads: true,add...
百度amis CORS No Allow Credentials 踩坑处理
最新发布
oMaFei的博客
04-19 773
这两天试了下 百度的低代码平台amis,号称不需要懂前端就可以写的框架,第一个demo就碰到CORS No Allow Credentials 错误,有一种说法是后端需要配置下允许*访问,但我试了下不是这个原因,需要改前端代码,最后附上后端修改代码问题现象:问题原因:按照官网给的demo,用的sdk模式,按大佬解释是 ...
Python flask跨域支持(Access-Control-Allow-OriginCORS跨域资源共享(访问控制允许来源:允许指定的来源进行跨域请求)浏览器同源策略、OPTIONS预检请求
Dontla的博客
07-05 1万+
此外,还可以使用CORS跨域资源共享)机制来明确指定允许跨域请求的规则,以减少潜在的安全风险。要检测一个Flask接口是否支持跨域请求,可以使用浏览器的开发者工具来查看请求和响应的相关信息。,那么只有GET请求会进入到对应的视图函数中,而跨域请求则不受影响,仍然可以使用POST方法。如果该字段的值为具体的来源,表示只允许该来源的跨域请求。装饰器中指定了请求方法,那么只有匹配该请求方法的请求才会进入到对应的视图函数中。装饰器中指定的请求方法只会影响跨域请求的处理,不会影响到接口的请求方法。
CORS跨域属性
u011649691的博客
05-30 435
CORS全称叫跨域资源共享(Cross-origin resource sharing),原理是在正式的跨域请求之前,先发送了一个OPTIONS请求去询问服务器是否允许接下来的跨域请求 OPTIONS请求里新增了几个字段: Origin:发起请求原来的域 Access-Control-Request-Method:将要发起的跨域请求方式(GET/PUT/POST/DELETE/······) Access-Control-Request-Headers:将要发起的跨域请求中包含的请求头字段 服务器在响应字
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
标题“TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter”提及的是在Tomcat服务器上实现CORS策略的一种方式,主要涉及到`Access-Control-Allow-Origin`这个关键的响应头。 `Access-Control-Allow-Origin`...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
然而,有在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现跨域请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 描述: 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin...
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9533
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
解决cors 跨域请求
qq_44090577的博客
07-12 466
CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请求类型: C...
JS跨域请求处理
CDHong.it的技术分享博客
05-23 709
文章目录JS跨域请求处理解决方案CORS代码提现SpringMVC跨越处理 JS跨域请求处理 无法跨域调用,错误如下 解决方案CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 它允许浏览器向跨源服务器,发出XMLHttpReque...
CORS跨域资源共享问题及解决方法
NQ31
11-19 1464
一、同源策略 同源策略:是浏览器最核心最基本的安全功能,即请求的url地址必须跟浏览器上的url地址处于同域上(域名、端口、协议都相同) 二、CORS(跨域资源共享)简介 CORS需要浏览器和服务器同支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码...
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1718
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源,就会发出跨域请求。如果此另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。
Chrome 重大更新,CORS 增加了两个新的请求头?
Benxiaohai_311的博客
08-26 1960
这个版本,对私有网络的限制正式生效啦,主要目的是保护用户免受针对私有网络上的路由器和其他设备的。地址比发起请求的网址更私密,私有网络的预检请求也会针对同源请求发送。能问出这俩问题,一定没好好看我的公众号,其实之前在多篇文章里都提到过相关的策略解读,注意:无论请求方法和模式如何,都会为所有私有网络请求发送预检请求。同源请求的预检请求还可防止。开始,如上面我们介绍的预检请求失败,请求依然会成功,但会在。,也是可以请求成功的,不过这个风险较大,不建议设置。)会限制网站向私有网络上的服务器发送请求的能力。...
CORS跨域问题原因和解决方案
蔚然成风
06-21 1万+
Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求必须遵守同源策略,否则就是跨域的HTT
【HTTP header】【Access-Control-Allow-Credentials跨域Ajax请求是否带Cookie的设置
热门推荐
行成于思毁于随
06-13 2万+
1. 无关Cookie跨域Ajax请求 客户端 以 jQuery 的 ajax 为例: $.ajax({ url : 'http://remote.domain.com/corsrequest', data : data, dataType: 'json', type : 'POST', crossDomain...
CORS跨域Access-Control-Allow-Origin头部信息的作用是什么?
12-07
Access-Control-Allow-Origin头部信息是CORS跨域资源共享)中的一个重要组成部分,它的作用是指定哪些源站点有权限访问当前网站的资源。如果没有设置该头部信息,浏览器将会阻止跨域请求。例如,如果当前网站的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值