CORS解决前后端跨域问题

已于 2022-06-24 13:24:39 修改
阅读量942 收藏 2
点赞数
分类专栏: 面试高频 文章标签: 前端
于 2022-05-31 14:29:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65912225/article/details/125061321
版权

CORS跨域:跨域资源共享 cross-origin resource sharing

跨域资源共享——CORS

浏览器同源策略下的跨域访问解决方案:

如果站点A允许站点B的脚本访问其资源,必须在http响应中显示的告知浏览器:站点B是被允许的

访问站点A的请求,浏览器应告知该请求来自站点B;

站点A的响应中,应明确哪些跨域请求是被允许的。

简单请求:

get / post / head 方法之一;

仅能使用cors安全的头部:Accept / Accept-Language / Content-Language / Content-Type (这些头部为内容协商式的头部,可以设置 Forbidden header name 中的头部字段,如 Connection 、Accept-Encoding等,但是设置无效,设置其他头部则为复杂请求)

Content-Type值(访问的媒体类型)只能是:text/plain,multipart/form-data,application/x-www-form-urlencoded三者其中之一(除此之外的请求都为复杂请求,复杂请求和简单请求的跨域是完全不同的)

简单请求之外的复杂请求

访问资源前,需要先发起prefight预检请求(方法为options)询问何种请求是被允许的

简单请求的跨域访问

请求头中携带origin头部告知来自哪个域

响应中携带Access-Control-Allow-Origin头部表示允许哪些域

浏览器放行

通过Origin来告诉来自哪个域(在此处来自于Server-b),发送给Serve=>Serve回一个Access-Control-Allow-Origin允许哪些域进行访问

其实限制能不能进行同源访问全部在于Client,Serve不做任何限制的,即使不传入头部Serve也不会有问题的,也是会进行响应的,也就是说浏览器一定接收到了响应,但是如果Access-Control-Allow-Origin中指定的域名不是当前页面所匹配的域名的话,浏览器就不会去渲染相应的请求   

复杂请求的跨域访问

复杂请求进行跨域请求的时候需要进行两步

第一步:Client => Server 预检请求

第二部:实际请求

 预检请求

  • 预检请求的头部

Access-Control-Request-Method:后面实际发送请求的方法

Access-Control-Request-Headers:接下来将要发起实际复杂请求跨域访问时会使用到哪些头部

整个预检请求的方法必须是option方法

  • 预检请求响应

Access-Control-Allow-Methods:允许哪些方法去访问站点

Access-Control-Allow-Headers:允许哪些头部在后续的请求中去访问跨域请求

Access-Control-Max-Age:允许缓存的最长时间

跨域访问资源:Http请求头部字段

  • Origin(RFC6454):一个页面的资源可能来自于多个域名,在ajax等子请求中表明来源于某个域名下的脚本,以通过服务器的安全校验。头部字段表示预检请求的源站

origin = "Origin:"OWS origin-list-or-null OWS

origin-list-or-null = %x6E %s75 %x6c %x6c / origin-list 可以表示多个域

origin-list = serialized-origin *(SP serialized-origin)

serialized-origin = scheme "://" host [":"port] 域中可以含有scheme信息和host端口

  • Access-Control-Request-Method

在preflight预检请求中,告知服务器接下来的请求会使用哪些方法

  • Access-Control-Request-Headers

在preflight预检请求中,告知服务器接下来的请求会使用哪些头部

跨域访问资源:Http响应头部字段

  • Access-Control-Allow-Methods

在preflight预检请求的响应中,告知客户端后续请求允许使用的方法

  • Access-Control-Allow-Headers

在preflight预检请求的响应中,告知客户端后续请求允许携带的头部

  • Access-Control-Max-Age

在preflight预检请求的响应中,告知客户端响应的信息可以缓存多久

  • Access-Control-Expose-Headers

告知浏览器哪些响应头部可以共客户端使用,默认情况下只有Cache-Control,Content-Language,Content-Type,Expires,Last-Modified,pragma可供使用。

  • Access-Control-Allow-Origin

告知浏览器允许哪些域访问当前资源,*表示允许所有域。为避免响应错乱,响应中需要携带Vary:Origin

  • Access-Control-Credentials

告知浏览器是否可以将Credentials暴露给客户端使用,Credentials包含cokkie、authorization类头部、TLS证书等。 

卷心菜007
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot实现前后端分离的跨域访问(CORS
01-27
简单来说,CORS是一种访问机制,英文全称是Cross-OriginResourceSharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin即可。CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个”预检”请求,待服务器批准后才能真正发起跨域访问请求。根据官方文档W3C规范-CORS的描述,目前CORS使用了如下头部信息
vue+springboot前后端分离实现单点登录跨域问题解决方法
08-28
Vue+SpringBoot前后端分离实现单点登录跨域问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
解决前后端分离架构中跨域问题
name_sakura的博客
04-06 4347
前后端分离架构中,前端调用后端提供的API接口来获取数据。由于浏览器的,而前端服务与后端服务往往会被部署到不同的机器,不同端口上,因此会产生跨域问题
彻底理解前端安全面试题(3)—— CORS跨域资源共享,解决跨域问题,建议收藏(含源码)
最新发布
Karka_的博客
04-23 1049
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 +一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第三篇文章,内容就是 CORS 同源策略。
前端后端之间的CORS 跨域和解决办法
0
01-19 1458
跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他源(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。跨域是指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1701
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题
解决跨域问题的方法(后端
m0_68497879的博客
07-29 355
后端遇到跨域问题解决方法
SpringBoot跨域问题解决的两种后端方法
浩浩的博客
10-23 129
SpringBoot跨域问题解决的两种后端方法
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序中跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 后端 springboot2.0 ip地址:192.168.1.217 主要开发后端。 问题: ...后续请求取出的用户都为null。 解决过程: ...后台添加过滤器,因为前后端分离,不可能每个方
nginx解决跨域问题的实例方法
09-29
跨域问题在现代Web开发中是一个常见的挑战,尤其是在前后端分离的架构中。浏览器的同源策略限制了JavaScript从一个源获取另一个源的数据,而Nginx作为一个强大的反向代理服务器,可以有效地解决这个问题。本篇文章将...
后端项目开发:关于跨域的解决CORS
晓风残月淡的博客
08-24 217
这样,每当客户端发送请求都会在头部附上跨域信息,支持跨域访问了。为解决浏览器跨域问题,W3C提出了CORS(跨资源共享方案)。
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested
LIUXIAOYIN_CAIJI的博客
11-20 1375
解决方法 直接复制就ok了 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfig= new CorsConfiguration(); corsConfig.addAllowedOrigin(...
后端解决跨域--大白话解释cors
weixin_45629623的博客
06-17 1177
跨域科普 这里的域指的是协议+域名+端口号,当目标url的协议、域名、端口号三者都和我们网站本身的url一样时,被认为同域,不一样则认为跨域,浏览器会对跨域的请求进行限制,出于安全方面的考虑。因此只有浏览器会遇到限制,而在node环境发起同样的请求不会受限制。 什么是cors 目前cors是最常用解决方案,其他的可以不要学了(大佬忽略),这是由后端解决跨域的方案。 在这之前,为了安全不需要跨域访问。在这之后推出一种验证模式,你可以设置一些地址可以访问 分简单请求和复杂请求,复杂请求之前会有个option请
(六)CorsConfig前后端数据跨域连接---基于SpringBoot+MySQL+Vue+ElementUI+Mybatis前后端分离面向小白管理系统搭建
wdyan297的博客
01-19 5620
本次任务,我们来到激动人心的时刻,实现前后端跨域连接,把我们查询到的数据在前端进行展示,并且实现分页查询功能。
后端解决跨域问题
秋风渡人
11-29 151
springboot解决跨域问题
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 1704
前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题CORS是一个W3C标准,全称是。
cors跨域_跨域,不止CORS
weixin_39831705的博客
11-24 149
我们通常提到跨域问题的时候,相信大家首先会想到的是CORS(跨源资源共享),其实CORS只是众多跨域访问场景中安全策略的一种,类似的策略还有:COEP: Cross Origin Embedder Policy:跨源嵌入程序策略COOP: Cross Origin Opener Policy:跨源开放者政策CORP: Cross Origin Resource Policy:跨源资...
跨域问题
keep12moving的博客
09-11 407
跨域:浏览器对于javascript的同源策略的限制 。 以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同...
cors 前后端分离跨域问题_解决前后端分离的 CORS 跨域资源共享问题
06-02
好的,针对你的问题,我可以为你提供以下解决前后端分离的 CORS 跨域资源共享问题的方法: 1. 通过设置后端 API 的响应头来解决跨域问题,可以在后端代码中设置 Access-Control-Allow-Origin 头部,指定允许跨域请求的源地址。 2. 使用反向代理服务器(如 Nginx)进行跨域请求转发,代理服务器可以在请求头中添加 Access-Control-Allow-Origin 头部,从而允许跨域请求。 3. 在前端代码中使用 JSONP 跨域请求,但这种方式只适用于 GET 请求。 4. 使用 WebSocket 协议进行通信,WebSocket 是基于 HTTP 协议的,但是它可以在客户端和服务端之间建立持久连接,避免跨域问题。 5. 使用 CORS 跨域资源共享机制,CORS 是一种标准化的跨域解决方案,通过在服务端设置一些特定的响应头,允许资源可以被指定的域名访问。 以上是一些解决前后端分离的 CORS 跨域资源共享问题的方法,你可以根据自己的具体情况选择适合自己的方式来解决跨域问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值