跨域 CORS

最新推荐文章于 2024-06-12 08:52:46 发布
最新推荐文章于 2024-06-12 08:52:46 发布
阅读量190 收藏 1
点赞数
分类专栏: 网络 前端 文章标签: 跨域 cors 会话 spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jdbdh/article/details/89788024
版权

目录

一 介绍

当HTTP请求一个域名协议端口任意之一与当前网页都不同的资源时,即为跨域请求。在浏览器中,为了安全,会限制脚本的跨域请求。CORS(Cross-Origin Resource Sharing)是一个通过HTTP头部实现脚本跨域的机制。

二 原理

当浏览器在域名A的网页内向域名B的资源发起跨域请求时,域名B的服务器会设置响应头部,告诉浏览器,该域资源允许什么域的跨域请求、允许什么头部、允许什么请求方法。如果该域的请求不被B域允许,浏览器则不会暴露响应给脚本代码,即浏览器其实收到了响应。

发起跨域请求时,也会带上CORS相关的请求头部,如Origin,表明跨域来源,等等

跨域请求的过程分两种:

  • 当发起简单的跨域请求时(如GET请求或常用MIME类型的POST请求时),直接发起跨域请求。
  • 当跨域请求复杂时(即非上述情况),会发起预请求(preflight,一个OPTIONS类型请求,也会带上CORS相应头部),查看B域支持的跨域请求。如果不被允许,则结束,否则发起真正的请求。

为什么跨域请求复杂时需要预请求?因为,即使跨域请求不被其他域允许,但该请求实际上是请求成功了,会对其他域服务器的数据造成副作用。因此先发送预请求,不被允许则直接结束。

默认情况下,跨域请求不会携带凭证(credentials,包含cookies和其他HTTP认证数据),并忽略响应的cookie设置。

但浏览器端可设置withCredentials 为true,允许跨域请求时携带凭证。此时服务端必须设置Access-Control-Allow-Credentials字段,允许发起请求,并保存响应消息的cookie设置

注意,携带的cookie和设置的cookie,都是被请求域相关的,因此不能在Devtool工具中的Application栏看到cookie,需要打开对应域名的网页才能看到被设置的cookie。

三 头部字段

这里介绍几个重要的响应头字段,并且一般都是对预请求响应的头字段:

  • Access-Control-Allow-Origin:表示什么域可以请求该域,*表示所有域都可请求该域。
  • Access-Control-Allow-Headers:实际请求可用的头字段
  • Access-Control-Allow-Methods:实际请求可用的请求方法
  • Access-Control-Max-Age:预请求响应结果被缓存的时间,-1表示不缓存。
  • Access-Control-Allow-Credentials:表示是否允许跨域请求携带凭证。当浏览器的凭证模式为 include时,即请求携带凭证,该字段必须为true,此时服务端设置的cookie可以保存在浏览器上。注意,允许发送凭证时,响应头部Access-Control-Allow-Origin不能为*

所有头字段,请见参考。

四 使用

下面来看看具体使用。后端使用spring MVC,使用注解@CrossOrigin产生对应头字段,tomcat运行在80端口,部分代码如下:

@CrossOrigin(value = "http://127.0.0.1:63543",allowCredentials = "true")
@GetMapping("/test")
public Map<String,Object> test(HttpSession session,String name){
    Map<String,Object> status=new HashMap<>();

    String lastName= (String) session.getAttribute("name");
    status.put("msg","you last record name:"+lastName);

    session.setAttribute("name",name);

    return status;
}

这里设置了,只允许http://127.0.0.1:63543下的跨域请求,允许发送凭证。

下面在http://127.0.0.1:63543下(这里使用Node做服务器)发送跨域请求,并携带cookie:
在这里插入图片描述
可以看到,也能跨域使用会话了。

如果你用DevTool查看cookie的话,你是查不到的,它被保存在了http://localhost域下,详细见第二章。

参考

千霜
关注
专栏目录
cors跨域
weixin_57176230的博客
05-17 1855
CORS是一个W3C标准,全称是"跨域共享"(Cross-origin resource sharing)。 它允许浏览器向跨服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同使用的限制。 方法一 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry)
ASP.NET的WebService跨域CORS问题解决方案
zgw555555的专栏
06-10 965
在ASP.NET Web API中配置CORS跨域共享)通常涉及几个步骤,包括安装适当的NuGet包(如果你的Web API项目尚未包含CORS支持的话),并在Web API的配置中启用CORS。如果您的 WebService 是基于 ASP.NET Web API 的,那么可以使用 Microsoft.AspNet.WebApi.Cors NuGet 包来轻松配置 CORS。如果您的 WebService 是基于 ASP.NET Core 的,那么可以使用 CORS 中间件来配置 CORS
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 498
03Web服务器基础-19. HTTP协议请求部分详解
跨域CORS
颠覆我的整个世界,只为摆正你的身影
01-28 683
CORS是W3C标准。全场跨域共享(Cross-origin resourse sharing) 她允许浏览器向跨域服务器放出XMLHttpRequest请求,克服了AJAX只能同使用的限制 1,CORS通信是浏览器自动完成的,不需要用户参与。CORS通信和同的AJAX通信没有差别,代码完全一样,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以通信 Acces...
跨域问题解决方案之CORS
Null的博客
04-04 1090
浏览器安全的基石是"同政策"(1995年,同政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。CORS方案,服务器处理的逻辑就是按照浏览器的这套规范,对相应的头部做出设置即可。
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
跨域cors扩展插件chrome
12-13
标题中的“跨域cors扩展插件chrome”指的是用于解决Web应用程序跨域问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同策略限制,不同的资(比如域名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
Springboot跨域CORS处理实现原理
08-19
Springboot 跨域 CORS 处理实现原理 本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、...
spring4.3 实现跨域CORS的方法
08-28
Spring 4.3 实现跨域 CORS 的方法 Spring 4.3 框架中实现跨域 CORS 的方法是一种常用的解决跨域问题的方法。CORS(Cross-Origin Resource Sharing,跨域共享)是一种机制,它允许服务器指定可以访问其资的...
springboot跨域CORS处理代码解析
08-25
Spring Boot 跨域 CORS 处理代码解析 Spring Boot 跨域 CORS 处理是指在不同之间共享资时,如何解决浏览器的同策略限制的问题。同策略是浏览器的一种安全机制,禁止非同访问,以防止恶意脚本攻击。为了...
跨域CORS原理及调用具体示例
dawuafang
06-20 109
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
跨域问题(CORS / Access-Control-Allow-Origin)
热门推荐
xcbeyond|疯狂源自梦想,技术成就辉煌
11-24 11万+
1、前言 最近在项目中,调用Eureka REST接口时,出现了CORS跨越问题(Cross-origin resource sharing),在此与大家进行分享,避免多走些弯路。 项目前端(http://localhost:9000)通过Ajax方式调用Eureka REST 接口(http://localhost:8761/eureka/apps)时,却没有任何反应...
跨域问题详解:CORS问题+解决办法
weixin_45565886的博客
09-29 1万+
跨域问题详解:CORS问题+解决办法
CORS解决跨域问题
qq_41635401的博客
11-11 4359
跨域问题 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www.jd.com/item www.jd.com/goods 为什么有跨域问题? 跨域不一定会有跨域问题。
跨域共享 CORS 详解
qq_50613938的博客
11-02 112
一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨通信。 二、两种请求 浏览器将CORS请求分成两类:简单请求(simple reques
掌握 CORS 跨域请求,读这篇文章就够了
360技术
11-22 2930
在 Web 前后端分离架构模式下,跨域(跨请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨 HTTP 请求,同没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域、JSONP 请求跨域跨域共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
跨域cors解决跨域
weixin_50769390的博客
11-17 1826
跨域问题及Springboot处理cors跨域
跨域问题(CORS)详细说明和解决
在路上
07-19 3702
跨域问题?一篇即懂!
跨域共享(CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 2311
跨域共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同策略(Same-Origin Policy),该策略用于防止恶意网站从不同来窃取数据。然而,在实际开发中,我们经常需要与不同的资进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
springboot跨域cors
10-12
Spring Boot中实现跨域请求CORS),可以通过以下步骤进行设置: 1. 在Spring Boot的配置类中添加`@Configuration`注解,确保该类会被Spring Boot自动加载。 2. 在配置类中添加一个`@Bean`方法,用于创建一个`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值