CORS跨域原理

最新推荐文章于 2024-08-19 15:13:57 发布
最新推荐文章于 2024-08-19 15:13:57 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: http 文章标签: http请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/millions_02/article/details/78813755
版权

CORS跨域

  • 环境:IE10以上及其他浏览器
    1. 整个CORS通信过程,都是浏览器自动完成,客户端不用设置,服务器段需要设置Access-Control-Allow-Origin
请求
GET /cors HTTP/1.1
Origin: http://xxx.xxx.com
Host: api.millions.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
响应
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:https://xxx.xxx.com
  1. 对于非简单请求putdeleteContent-Type为application/json,浏览器会先发送options的预检(preflight)请求
  2. 预捡请求
Request Method:OPTIONS
Accept-Language:zh-CN,en;q=0.8,zh;q=0.6
Access-Control-Request-Method:GET
Origin:https://xxx.xxx.com
预捡响应
Request Method:OPTIONS
Status Code:204 No Content
Access-Control-Allow-Credentials:true
Access-Control-Allow-Methods:GET,HEAD,PUT,PATCH,POST,DELETE
Access-Control-Allow-Origin:https://xxx-xxx.com
  1. 服务器短设置允许跨域后,response中会返回Access-Control-Allow-Origin,否则会报错,可用XMLHttpRequestonerror捕获
    • 几个注意的字段
  2. Origin 请求源,浏览器自动添加
  3. Access-Control-Allow-Credentials 布尔值,请求中是否包含cookie

与JSONP的比较

JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
- 对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://yoo.example,则请求将成功执行。

HTTP 响应首部字段

  • 允许客户端访问更多的响应头信息:Access-Control-Expose-Headers
    在跨域访问时,XMLHttpRequest对象的getResponseHeader()方法只能拿到一些最基本的响应头,Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma,如果要访问其他头,则需要服务器设置本响应头。
    Access-Control-Expose-Headers 头让服务器把允许浏览器访问的头放入白名单,例如:
    Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header
    这样浏览器就能够通过getResponseHeader访问X-My-Custom-HeaderX-Another-Custom-Header 响应头了。
  • 指定了preflight请求的结果能够被缓存多久
- Access-Control-Max-Age: 86400
  • 允许浏览器读取 response
    Access-Control-Allow-Credentials 头指定了当浏览器的credentials设置为true时是允许浏览器读取response的内容。
  • 实际请求中允许携带的首部字段。
    Access-Control-Allow-Headers首部字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段。

HTTP 请求首部字段(这些首部字段无须手动设置

  • Origin 首部字段表明预检请求或实际请求的源站。它不包含任何路径信息,只是服务器名称。注意,不管是否为跨域请求,ORIGIN 字段总是被发送。
    Origin: <origin>
  • Access-Control-Request-Method
    Access-Control-Request-Method 首部字段用于预检请求。其作用是,将实际请求所使用的 HTTP 方法告诉服务器。
  • Access-Control-Request-Headers
    Access-Control-Request-Headers 首部字段用于预检请求。其作用是,将实际请求所携带的首部字段告诉服务器。
Access-Control-Request-Headers: <field-name>[, <field-name>]
懒猫慵阳
关注
专栏目录
Springboot跨域CORS处理实现原理
08-19
Springboot 跨域 CORS 处理实现原理 本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源...
彻底解决Asp.netCore WebApi 3.1 跨域时的预检查204 options重复请求的问题
qq_18932003的博客
08-30 2521
Asp.netCore WebApi 3.1 跨域的预检查options问题 1:我们直接使用core跨域的中间件 ,注入跨域服务, services.AddCors(options => { // CorsPolicy 是自訂的 Policy 名稱 options.AddPolicy("CorsPolicy", policy => {
谷歌浏览器H5页面请求,后台CORS错误解决方法
Sunshine_Jessica的博客
12-12 3821
谷歌浏览器H5页面请求,后台CORS错误解决方法
CORS 跨域原理解析
最新发布
三两肉的博客
08-19 1104
CORS,全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。预检请求(Preflight Request):对于某些类型的请求(如使用 HTTP 方法PUT、DELETE,或者请求带有非简单头部),浏览器会首先发送一个OPTIONS请求,这个请求称为“预检请求”。
解析 HTTP 204 No Content 状态码:一种无响应响应
博客
08-12 7230
HTTP状态码是服务器对请求的响应结果的数字代码表示。它们帮助客户端了解请求的处理情况,包括成功、失败和重定向等。HTTP 204 No Content状态码表示服务器成功处理了请求,但没有返回任何响应内容。它是2xx成功状态码中的一种特殊情况。与其他成功状态码不同,204 No Content不返回实际的响应数据,仅表示请求已成功处理。HTTP 204 No Content 状态码是一种表示请求已成功处理,但没有返回实际的响应内容的特殊状态码。
掌握 CORS 跨域请求,读这篇文章就够了
360技术
11-22 2929
在 Web 前后端分离架构模式下,跨域(跨源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨源 HTTP 请求,同源没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域、JSONP 请求跨域跨域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
http请求 状态码204
热门推荐
柠檬不萌只是酸i
02-02 4万+
今天在调试接口的时候遇到个问题: 一个请求走了两次,一次204,一次200。 且,请求204的 Request Method 是 OPTIONS 在网上查看资料后得知,是因为跨域而引起的,OPTIONS是一种“预检请求”, 浏览器在处理跨域访问的请求时如果判断请求为复杂请求,则会先向服务器发送一条预检请求(这就是为什么第一次请求接口是204),根据服务器返回的内容浏览器判断服务器...
cors跨域
01-19
标题中的"CORS跨域包"指的是在Web开发中用于处理跨域资源共享(CORS)问题的一个工具或库。跨域是浏览器的一种安全策略,限制了JavaScript只能与同一源(协议+域名+端口)的服务器进行通信。然而,有时我们需要在...
geoserver cors跨域
08-25
标题“geoserver cors跨域”指的是在尝试通过Web应用程序访问GeoServer服务时,由于浏览器的同源策略限制,可能会遇到跨域访问的问题。同源策略是浏览器为了保护用户安全而实施的一种安全措施,它规定JavaScript只能...
SpringMVC CORS跨域测试包
02-10
1. **CORS原理**:CORS是通过浏览器和服务器之间交互特定的HTTP头来实现的。当浏览器向服务器发送跨域请求时,会添加`Origin`头来表明请求来源。服务器响应时,通过设置`Access-Control-Allow-Origin`头来指定允许的...
cors实现的跨域
06-27
**一、CORS的基本原理** CORS通过在HTTP头部添加特定的字段来实现跨域请求。主要有两种类型:简单请求(Simple Request)和预检请求(Preflight Request)。 1. **简单请求**:如果请求满足以下条件,则被认为是...
跨域问题详解:CORS问题+解决办法
weixin_45565886的博客
09-29 1万+
跨域问题详解:CORS问题+解决办法
Cors跨域资源请求详解
1
03-20 5304
介绍 Cors全称为“跨域资源共享”(Cross-origin resource sharing),是一个W3C标准,一种浏览器机制,可实现对位于应用程序域之外的资源的受控访问,对你的应用来源(域)之外的资源(比如图像或字体)的请求称为跨域请求。那么为什么会出现Cors呢,首先要了解到同源策略,同源策略(Sameoriginpolicy)简称SOP,是一种约定,同源策略限制了网站与源域(来源)以外的资源进行交互的能力,每当跨不同来源 (域)发出请求而没有跨来源配置时,服务器将报告错误。而Cors就是通过特
使用CORS解决跨域问题
weixin_34163553的博客
05-02 1289
1.跨域问题 1.1 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨...
跨域原理及解决方案
Insist_bin的博客
08-02 1088
前言 跨域是什么,为什么会有跨域跨域的解决方法是什么?常用的是什么?原理是什么? 什么是跨域 跨域是指从一个域名去请求另一个域名的资源。 严格来说,只要域名,协议,端口任何一个不同,就视为跨域跨域场景 以下这种看上去再相似也没有用,都是跨域。 主域不同 http://www.chrome.cn/index.html http://www.chomper.cn/server.php 子域名不同 http://abc.chomper.cn/index.html http:/.
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 2239
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
九种跨域方式实现原理(完整版)
DannyIsCoder的博客
02-22 652
九种跨域方式实现原理(完整版) 前言 前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。 本文完整的源代码请猛戳GitHub博客,纸上得来终觉浅,建议动手敲敲代码 一、什么是跨域? 1. 什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略限制内容有: ...
处理 CORS 跨域请求
weixin_45816407的博客
07-07 421
CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。
CORS跨域原理
路人贾!
07-15 376
CORS跨域原理
cors解决跨域原理
08-25
CORS跨域资源共享)是一种浏览器机制,用于解决在同源策略限制下的跨域访问问题。同源策略是浏览器的一种安全策略,它要求网页只能从同一个域名、协议和端口加载资源。 CORS工作原理如下: 1. 客户端发起跨域请求:当客户端发送一个跨域请求时,浏览器会在请求头中添加一个Origin字段,表示请求的来源。 2. 服务器响应预检请求(可选):对于某些需要特殊处理的请求(如带有自定义的头信息、使用特殊HTTP方法等),浏览器会先发送一个预检请求(OPTIONS请求),询问服务器是否允许该跨域请求。预检请求携带了一些额外的信息,如请求方法、自定义头部等。 3. 服务器处理预检请求并返回响应:服务器接收到预检请求后,根据请求的信息判断是否允许该跨域请求。如果允许,服务器会在响应头中添加一些字段,如Access-Control-Allow-Origin(指定允许的源)、Access-Control-Allow-Methods(指定允许的方法)等。 4. 浏览器根据响应决定是否发送真正的请求:浏览器接收到服务器的响应后,会进行判断。如果响应中包含了正确的CORS头信息,并且服务器允许该跨域请求,浏览器会发送真正的请求。否则,浏览器会阻止真正的请求,并抛出一个错误。 需要注意的是,CORS只在浏览器中起作用,不同浏览器对CORS的支持程度可能有所不同。另外,服务器端也需要进行相应的配置,以允许跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值