CORS——跨域请求那些事儿

最新推荐文章于 2024-09-25 08:55:50 发布
最新推荐文章于 2024-09-25 08:55:50 发布
阅读量682 收藏
点赞数 1
分类专栏: JAVA技术 Web
JAVA技术 同时被 2 个专栏收录
173 篇文章 5 订阅
订阅专栏
Web
61 篇文章 0 订阅
订阅专栏
在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the requested resource.这样的报错。

这样的错误,一般是由于CORS跨域验证机制设置不正确导致的,本文将详细讲解CORS跨域验证机制的原理,让您轻松掌握CORS跨域设置的使用方法,安全、方便的进行前端开发。

什么是CORS

CORS(Cross-Origin Resource Sharing 跨源资源共享),当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。

例如最常见的,在一个域名下的网页中,调用另一个域名中的资源。

相对于上面这种静态的调用方式,还可以通过Ajax技术来动态发起跨域请求。例如如下的方式,利用XMLHttpRequest对象发送一个GET请求,获取另一个域名下的图片内容。

  1. <!DOCTYPE html>
  2. <html>
  3. <head>CORS Test </head>
  4. <body>
  5. <div id="img_Div"> </div>
  6. <script type="text/javascript">
  7. //XmlHttpRequest对象
  8. function createXmlHttpRequest() {
  9. if ( window .ActiveXObject){ //如果是IE浏览器
  10. return new ActiveXObject( "Microsoft.XMLHTTP" );
  11. } else if ( window .XMLHttpRequest){ //非IE浏览器
  12. return new XMLHttpRequest();
  13. }
  14. }
  16. function getFile() {
  17. var img_Container = document .getElementById( "img_Div" );
  18. var xhr = createXmlHttpRequest();
  19. xhr.open( 'GET' , 'http://oss.youkouyang.com/1.jpg' , true );
  20. xhr.setRequestHeader( 'Content-Type' , 'image/jpeg' );
  21. xhr.responseType = "blob" ;
  22. xhr.onload = function() {
  23. if ( this .status == 200 ) {
  24. var blob = this .response;
  25. var img = document .createElement( "img" );
  26. img.onload = function(e) {
  27. window .URL.revokeObjectURL(img.src);
  28. };
  29. img.src = window .URL.createObjectURL(blob);
  30. img_Container.appendChild(img);
  31. }
  32. }
  33. xhr.send( null );
  34. }
  35. </script>
  36. <div class="row">
  37. <input type="button" onclick="getFile()" value="Get" />
  38. </div>
  39. </body>
  40. </html>
  

CORS的作用

为了改善网络应用程序,开发人员要求浏览器供应商允许跨域请求。跨域请求主要用于:

  • 调用XMLHttpRequest或fetchAPI通过跨站点方式访问资源
  • 网络字体,例如Bootstrap(通过CSS使用@font-face 跨域调用字体)
  • 通过canvas标签,绘制图表和视频。

CORS的安全隐患

跨域请求和Ajax技术都会极大地提高页面的体验,但同时也会带来安全的隐患,其中最主要的隐患来自于CSRF(Cross-site request forgery)跨站请求伪造。

CSRF攻击的大致原理是:

  1. 用户通过浏览器,访问正常网站A(例如某银行),通过用户的身份认证(比如用户名/密码)成功A网站。
  2. 网站A产生Cookie信息并返回给用户的浏览器; 
  3. 用户保持A网站页面登录状态,在同一浏览器中,打开一个新的TAB页访问恶意网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码,请求A网站的资源(例如转账请求);
  5. 浏览器执行恶意代码,在用户不知情的情况下携带Cookie信息,向网站A发出请求。
  6. 网站A根据用户的Cookie信息核实用户身份(此时用户在A网站是已登录状态),A网站会处理该请求,导致来自网站B的恶意请求被执行。

CORS验证机制

出于安全原因,浏览器限制从脚本中发起的跨域HTTP请求。默认的安全限制为同源策略, 即JavaScript或Cookie只能访问同域下的内容。
W3C推荐了一种跨域的访问验证的机制,即CORS(Cross-Origin Resource Sharing 跨源资源共享)。
这种机制让Web应用服务器能支持跨站访问控制,使跨站数据传输更加安全,减轻跨域HTTP请求的风险。
CORS验证机制需要客户端和服务端协同处理。

CORS浏览器支持情况

目前主流浏览器都已基本提供对跨域资源共享的支持,移动端浏览器也几乎全部支持。


客户端处理机制

基于上述的CSRF的风险,各主流的浏览器都会对动态的跨域请求进行特殊的验证处理。验证处理分为简单请求验证处理和预先请求验证处理。

简单请求

当请求同时满足下面两个条件时,浏览器会直接发送GET请求,在同一个请求中做跨域权限的验证。

请求方法是下列之一:

  • GET
  • HEAD
  • POST

请求头中的Content-Type请求头的值是下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

简单请求时,浏览器会直接发送跨域请求,并在请求头中携带Origin 的header,表明这是一个跨域的请求。
服务器端接到请求后,会根据自己的跨域规则,通过Access-Control-Allow-Origin和Access-Control-Allow-Methods响应头,来返回验证结果。
如果验证成功,则会直接返回访问的资源内容。


如果验证失败,则返回403的状态码,不会返回跨域请求的资源内容。


可以通过浏览器的Console查看具体的验证失败原因

预先请求

当请求满足下面任意一个条件时,浏览器会先发送一个OPTION请求,用来与目标域名服务器协商决定是否可以发送实际的跨域请求。

请求方法不是下列之一:

  • GET
  • HEAD
  • POST

请求头中的Content-Type请求头的值不是下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

 

浏览器在发现页面中有上述条件的动态跨域请求的时候,并不会立即执行对应的请求代码,而是会先发送Preflighted requests(预先验证请求),Preflighted requests是一个OPTION请求,用于询问要被跨域访问的服务器,是否允许当前域名下的页面发送跨域的请求。 

 

OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers。
服务器收到OPTIONS请求后,设置Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers头部与浏览器沟通来判断是否允许这个请求。
如果Preflighted requests验证通过,浏览器才会发送真正的跨域请求。
  

如果Preflighted requests验证失败,则会返回403状态,浏览器不会发送真正的跨域请求。
 

 可以通过浏览器的Console查看具体的验证失败原因

 

带认证的请求

默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭据。
xhr.withCredentials = true;
如果服务器接收带凭据的请求,会用下面的HTTP头部来响应。
Access-Control-Allow-Credentials: true
服务器还可以在Preflight响应中发送这个HTTP头部,表示允许源发送带凭据的请求。


如果发送的是带凭据的请求,但服务器的响应中没有包含这个头,那么浏览器就不会把响应交给JavaScript(responseText中将是空字符串,size为0)。

注意,当withCredentials属性设置为true,需要response header中的'Access-Control-Allow-Origin'为一个确定的域名,而不能使用'*'这样的通配符。

服务端处理机制

服务器端对于跨域请求的处理流程如下:

  1. 首先查看http头部有无origin字段;
  2. 如果没有,或者不允许,直接当成普通请求处理,结束;
  3. 如果有并且是允许的,那么再看是否是preflight(method=OPTIONS);
  4. 如果不是preflight(简单请求),就返回Allow-Origin、Allow-Credentials等,并返回正常内容。
  5. 如果是preflight(预先请求),就返回Allow-Headers、Allow-Methods等,内容为空;

HTTP Header

Request header

Origin

Origin头在跨域请求或预先请求中,标明发起跨域请求的源域名。

Access-Control-Request-Method

Access-Control-Request-Method头用于表明跨域请求使用的实际HTTP方法

Access-Control-Request-Headers

Access-Control-Request-Headers用于在预先请求时,告知服务器要发起的跨域请求中会携带的请求头信息

Response header

Access-Control-Allow-Origin

Access-Control-Allow-Origin头中携带了服务器端验证后的允许的跨域请求域名,可以是一个具体的域名或是一个*(表示任意域名)。简单请求时,浏览器会根据此响应头的内容决定是否给脚本返回相应内容,预先验证请求时,浏览器会根据此响应头决定是否发送实际的跨域请求。

Access-Control-Expose-Headers

Access-Control-Expose-Headers头用于允许返回给跨域请求的响应头列表,在列表中的响应头的内容,才可以被浏览器访问。

Access-Control-Max-Age

Access-Control-Max-Age用于告知浏览器可以将预先检查请求返回结果缓存的时间,在缓存有效期内,浏览器会使用缓存的预先检查结果判断是否发送跨域请求。

Access-Control-Allow-Credentials

Access-Control-Allow-Credentials用于告知浏览器当withCredentials属性设置为true时,是否可以显示跨域请求返回的内容。简单请求时,浏览器会根据此响应头决定是否显示响应的内容。预先验证请求时,浏览器会根据此响应头决定在发送实际跨域请求时,是否携带认证信息。

Access-Control-Allow-Methods

Access-Control-Allow-Methods用于告知浏览器可以在实际发送跨域请求时,可以支持的请求方法,可以是一个具体的方法列表或是一个*(表示任意方法)。简单请求时,浏览器会根据此响应头的内容决定是否给脚本返回相应内容,预先验证请求时,浏览器会根据此响应头决定是否发送实际的跨域请求。

Access-Control-Allow-Headers

Access-Control-Allow-Headers用于告知浏览器可以在实际发送跨域请求时,可以支持的请求头,可以是一个具体的请求头列表或是一个*(表示任意请求头)。简单请求时,浏览器会根据此响应头的内容决定是否给脚本返回相应内容,预先验证请求时,浏览器会根据此响应头决定是否发送实际的跨域请求。 

配置CORS规则

nginx上的CORS配置

OSS上的CORS配置 

CDN上的CORS配置

注意:由于CDN的缓存特性,CDN配合OSS时,需要在CDN中设置CORS配置。

colie_li
关注
专栏目录
axios跨域请求——无情415、403
weixin_44868854的博客
07-19 1220
人生流流长,没遇到几个跨域请求的问题都不好意思说自己被程序毒打过。
CORS跨域:FLask下如何解决跨域问题?RESTful-api下如何使用CORS
雪月的博客
01-15 2413
参考文章:https://zhuanlan.zhihu.com/p/75738155 什么是跨域? 要了解跨域,先要说说同源策略。同源策略是由 Netscape 公司提出的一个著名的安全策略,所有支持 JavaScript 的浏览器都会使用这个策略。所谓同源是指:域名,协议,端口相同。当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提...
Nginx解决跨域代理 | 简单总结
小巧r的博客
02-02 3729
1.开启Nginx C:\Users\huangqiao>cd ../../ C:\>cd nginx-1.12.2 C:\nginx-1.12.2>nginx.exe 1.5重启Nginx:nginx -s reload 2.修改 域名和端口后需要进行的Nginx处理,到Nginx根目录 3.将nginx.conf文件用notpad++打开,修改服务器域名地址,重新启动Ngi
如何解决跨域请求中的 CORS 错误
最新发布
官方推荐
09-25 1万+
如何解决跨域请求中的 CORS 错误
跨域之cors--简单请求、复杂请求
qq_36582776的博客
03-22 2107
1.简单请求: 1、使用下列方法之一: GET、 POST、 HEAD。 2、不得人为设置该集合之外的其他首部字段。该集合为: Accept Accept-Language Content-Language Content-Type 3、Content-Type 的值仅限于下列三者之一: text/plain multipart/form-data application/x-www-form-urlencoded 4、请求中的任意XMLHttpRequestUpload 对象均
允许跨域资源共享(CORS)携带 Cookie
pure_light's Blog
04-08 2833
转载自:https://my.oschina.net/tridays/blog/758994摘要: `Access-Control-Allow-Credentials` 响应头会使浏览器允许在 Ajax 访问时携带 Cookie,但我们仍然需要对 XMLHttpRequest 设置其 `withCredentials` 参数,才能实现携带 Cookie 的目标。CORS 是一个 W3C 标准,全称...
浅谈CORS跨域
技术杠精的博客
10-31 4832
跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
CORS跨域请求
economics3的博客
04-09 671
什么是CORS 首先得知道什么是浏览器的同源策略?从浏览器获取html页面开始,我们从一台服务器(ip+端口+http协议)中获取了html文档 在html文档中使用ajax技术,通过xhr对象发送网络请求,那么这个xhr的源即是这个HTML文档的归属服务器,如果有条件可以在orgin:xxx看到 浏览器拒绝不同源的内容相互发送请求,但是有时候为了需要还是想要实现跨域请求,这就有了cors Cors实现 如何实现cors?实现跨域也就是同另一台服务器(准确来说是另一个源,毕竟还有端口号的限制)进行交流,服务
面试那些事儿——SpringCloud
陌上人如玉,公子世无双
08-10 199
七夕要到了,给你的小可爱准备礼物了吗
【前端计算机基础】计算机网络知识总结
weixin_73136678的博客
08-10 373
从工作方式看:边缘部分(所有连接在互联网上的主机组成,用户直接使用)和核心部分(大量网络和链接这些网络的路由器组成,为边缘部分提供服务)运输层向应用层提供通信服务,运输层为应用进程之间提供端到端的逻辑通信应用层是应用进程间的通信和交互规则,应用层交互的数据单元称为报文。实现网络设备名字到IP地址映射的网络服务,DNS监听的是TCP和UDP的53端口。【区域传输数据用TCP,查询用UDP】...
乐优、青橙商城相关技术总结
lph-China的博客
05-26 4694
乐优、青橙商城相关技术总结 文章目录乐优、青橙商城相关技术总结SSMSpringSpringMVCmybatis通用MapperzookeeperElementUIES6OSSVue黑马架构师DubboSpringBootSpringCloudSpringDataSpring SecurityEurekaRibbonHystrix简介雪崩问题FeignZuulVuetifyNginxnginx作为web服务器nginx作为反向代理CORSFastDFSElasticsearchElasticElastics
CORS 跨域问题解决&&预检(OPTIONS)请求解释
weixin_42118323的博客
04-15 5749
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该跨域请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决跨域问题,只使用一种解决问题即可,不要同时配置多个。
移动端跨域 CORS html5
weixin_33940102的博客
08-19 548
2019独角兽企业重金招聘Python工程师标准>>> ...
解决跨域问题:No ‘Access-Control-Allow-Originheader is present on the requested resource.
一起加油吧!
12-10 8431
CORS,全称Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求
cors预检响应 不能header传值_生存指南之 CORS + API Gateway
weixin_28953819的博客
12-09 1764
本文介绍了跨域资源共享的基本知识,以及如何避免云函数上 Serverless web API 的问题构建 Web API 是 Serverless 应用中最流行的用例之一,您能在不增加其他操作开销的情况下,获得简单、可扩展的后端优势。然而,如果您的网页正在调用后端 API,那么必须处理 跨域资源共享 (CORS) 的问题 ,如果您的网页向与您当前所在域的不同域发出 HTTP 请求,则它必须是 CO...
cors解决跨域请求的问题
某某人的博客
01-03 341
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // TODO Auto-generated method stub // TODO Auto-g
跨域资源共享CORS详解及常见错误解决方案
ZTao-z的博客
06-29 3965
cors详解与常见错误解决方案介绍
解决跨域的方式?
欣欣酱博客
04-08 4992
Ajax解决跨域方案一:(jsonp) jsonp:jsonp是json的一种使用模式,可以让网页从别的域名那里获取数据。 Ajax解决跨域方案二:(cors) 当Ajax发送请求时,服务器会返回一个响应头,相当于服务器指定了可以访问该接口的白名单。 Ajax解决跨域方案三:(服务器转发) 服务器端向第三方服务器发送请求,得到数据并返回给客户端。 扩展:和跨域有关的cors几个响应头和请求头。(九个) 请求头三个:origin access-control-request-headers
详解JSONP与CORS跨域请求的区别与实现
跨域请求资源是Web开发中的一个重要概念,主要针对JavaScript的同源策略限制,即出于安全原因,浏览器不允许来自不同源(协议、域名或端口号)的脚本访问或操作其他网站的资源。JSONP和CORS是两种常用的跨域解决方案...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值