HTTP跨域

HTTP跨域

1.跨域请求

浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域)

2.同源策略

同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同

3.跨域问题的产生

域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产生跨域问题。在某个网页下使用ajax访问非同源资源,就会产生跨域问题.
跨域问题只出现在浏览器访问的页面,因为这是浏览器为了保户用户安全而制造的策略。假如没有这层保护,网站就很容易受到跨站伪造请求(CSRF)的攻击。

例如: 浏览器在访问http://www.sun.com/index.html页面,访问以下网页:

  1. http://www.sun.com/index.html:8081/login.html 违反浏览器同源策略,端口不一致,使用ajax访问该资源时产生跨域问题

  2. http://www.testsun.com/index.html/test.html   违反浏览器同源策略,域名不一致,会产生跨域问题

  3. http://www.sun.com/test.html 不违反同源策略,协议,域名,端口一致,不会产生跨域问题

CORS解决跨域请求

CORS(跨资源共享- Cross-origin resource sharing)
CORS 是W3C推荐的一种官方方案,能使服务器支持XmlHttpRequest的跨域请求。CORS只需要添加一些HTTP头,让服务器声明允许的访问来源。
使用CORS时,异步请求会被分为简单请求和非简单请求。

CORS简单请求

请求方法是以下三种之一:

HEAD
GET
POST

HTTP 的头信息不超出以下几种字段:

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-type:只限于3个值application/x-www-from-urlencoded、multipart/from-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。

基本流程

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值