关于Ajax跨域启用CORS解决方案的思考

最新推荐文章于 2024-06-03 06:04:08 发布
最新推荐文章于 2024-06-03 06:04:08 发布
阅读量706 收藏
点赞数
 Ajax跨域启用CORS解决已经不用在这里赘述,今天又度娘了一把,无非是在JSP中设置response的响应头:Access-Control-Allow-Origin,为* 或者设置为目标域站点
关于Ajax跨域启用CORS解决方案的思考

或者response.setHeader("Access-Control-Allow-Origin","*");这里是我在自己本地用两tomcat模拟这种情况,但是这两种情况都存在潜在的危险,做为一个严谨的web开发人员来,这两种做法的安全性完成不够,设置成*的同仁们毫不客气地说,是对自己写的程序的不负责,也是对别人的不负责,原因有两点:1,这里设置成*完,表示任何网络请求都可以访问该目标站点,这为黑客的攻击提供了方便,黑客人员完全不需要费什么劲,就可以截获目标站点的数据。2、把这种解决方案的文章发出来后,其它遇到Ajax跨域问题,也采用同样的解决办法后,其开发出来的web站点也同时会存在这样的潜在安全威胁。
第二种当然就是直接在setHeader里设置站点名,这种方式看似要安全些,其实不然,因为黑客同样可以自行模拟正常的请求(只要拼出合法请求站点的正确域名),然后也能截获目标站点的数据。
所以前面提到的两种方式都有存在一定的问题,个人的理解,应该采用如下的方式:
在需要请求的目标站点页面设置Header的Access-Control-Allow-Credentials为true:
response.setHeader("Access-Control-Allow-Credentials","true"); --这里表示需要发送跨域证书,此时Access-Control-Allow-Origin属性设置为*将失效。然后再设置Access-Control-Allow-Origin具体站点值,最后,当发起Ajax请求的JSP页面,需要使用数字证书、签名等技术(防止黑客伪造Ajax请求),被请求的站点通过这些验证后,才继续进行跨域请求动作。
以上说法皆是个人观点,如有不对欢迎讨论,拍砖。
明天还有我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CORS 使用ajax+servlet实现
凡事预则立,不预则废
04-14 2196
主要是针对非IE的CORS实现,因为IE的CO
ajax跨域请求(cors实现),ajax跨域请求(CORS实现)
weixin_42511217的博客
08-05 993
场景:目前有项目A(基于servlet的WEB项目),和项目B(基于spring boot的WEB项目),使用同一CAS提供单点登陆,如今须要两个项目互相调用接口数据,因此涉及到ajax跨域请求java调研:通过调研发现目前的ajax跨域解决方案有两种,jsonp和cors,其中jsonp须要在返回值中携带回调函数,cors则须要在响应头中附加指定参数。比对实现方式和优劣点,决定使用cors来实...
ajax 启用cors,Bottle Py:为jQuery AJAX请求启用CORS
weixin_33685869的博客
08-05 215
小编典典安装一个处理程序而不是一个钩子。我过去有两种互补的方法:装饰器或Bottle插件。我将向您展示两者,您可以决定它们中的一个(或两者)是否满足您的需求。在这两种情况下,通常的想法是:处理程序在将响应发送回客户端之前先对其进行拦截,然后插入CORS标头,然后继续返回响应。方法1:按路线安装(装饰器)当您只想在某些路由上运行处理程序时,最好使用此方法。只需装饰要执行的每条路线即可。这是一个例子:...
Ajax CORS
落枫秋歌
08-26 668
Ajax是Asynchronous JavaScript and XML的缩写,可以达到无需重载整个页面的情况下进行页面内容的局部更新(不更新页面的同时从服务器获取数据);其核心是XMLHttpRequest对象(XHR),最早由微软提出,后来被多家浏览器厂商实现;XHR对象IE5是最早引入了XHR对象的浏览器,其通过ActiveX实现了XHR;目前,IE7+、Chrome、FireFox、Safa
如何解决CORS策略的限制
最新发布
codedadi的博客
06-03 790
根据需要,还可以设置其他CORS相关的响应头,如Access-Control-Allow-Methods(允许的HTTP方法)、Access-Control-Allow-Headers(允许的请求头)等。服务器需要在响应头中添加Access-Control-Allow-Origin字段,并设置允许跨域请求的域名。如果不能直接修改目标服务器的CORS设置,可以使用代理服务器来转发请求。解决CORS(跨来源资源共享)策略的限制通常涉及服务器端和客户端的配置。确保使用的浏览器支持CORS
启用CORS实现Ajax跨域请求
指尖互联科技-刘潇繁
02-10 541
应用场景:想从a.com请求b.com上的资源,由于同源策略不允许请求。 解决办法:在请求的php文件中加入header("Access-Control-Allow-Origin: http://b.com");这种比较安全,如果请求来源比较多,可以这么设置header("Access-Control-Allow-Origin: *");
C# WebApi CORS跨域问题解决方案
08-27
2. 如果需要在特定控制器或操作上启用CORS,可以使用`[EnableCors]`装饰器: ```csharp [EnableCors(origins: "http://localhost:8081", headers: "*", methods: "*")] public class ChargingController : Api...
基于CORS实现WebApi Ajax 跨域请求解决方法
10-19
## 基于CORS实现WebApi Ajax 跨域请求解决方法 在现代Web开发中,API服务常常被多个前端应用调用,这就涉及到跨域请求的问题。由于浏览器的安全策略,JavaScript的同源策略(Same-Origin Policy)禁止了不同源之间...
php版 解决跨域问题CORS ajax+get,post+jsonp例子源代码.zip
01-11
但是,当服务器支持CORS时,我们可以在AJAX请求中设置`withCredentials`为`true`,启用跨域的cookies传递: ```javascript $.ajax({ url: 'http://otherdomain.com/api', type: 'GET', xhrFields: { ...
支持Ajax跨域访问ASP.NET Web Api 2(Cors)的示例教程
10-22
以上便是关于支持Ajax跨域访问*** Web API 2(Cors)的示例教程的详细知识点介绍。通过这些步骤和代码,你可以根据自己的需要为Web API项目配置跨域策略。需要注意的是,虽然CORS策略可以解决跨域问题,但也需要谨慎...
AJAX设置CORS响应头实现跨域
m0_51144154的博客
11-24 331
server.js: //代码片段: app.all("/cors-server",(request,response)=>{ //设置允许所有跨域请求页面 response.setHeader("Access-Control-Allow-Origin","*"); //设置允许所有请求头信息 response.setHeader("Access-Control-Allow-Headers","*"); //设置允许所有请求方法 response.
jQuery-ajax系列用法及JSONP,跨域资源共享CORS
Chad97的博客
10-10 584
jQuery-ajax 基本使用 $.ajax({ url:'json.php', //设置的是请求参数,二者没关系 data:{name:'张三',age:'18'}, //用于设置响应体类型 dataType:'json', type:'get', success:function(res){ console.log(res); } ...
启用 CORS 来解决这个问题(ajax跨域请求)
weixin_33955681的博客
12-30 303
1 <input type="file" name="btn_Upload" value="上传" id="btn_Upload" /> 2 <img src="" alt="" id="img_Upload" /> 3 4 @section Scripts 5 { 6 <link href="../../js/uploadif...
ajax跨域请求错误-CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource
热门推荐
weixin_43391312的博客
03-09 1万+
当我们在本地向服务端发起ajax跨域请求报错: Access to XMLHttpRequest at 'http://localhost://**** from origin ‘null’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested res...
ajax跨域请求错误-CORS policy: No ‘Access-Control-Allow-Origin‘ header is present on the requested resource
weixin_60414376的博客
07-31 595
代码】ajax跨域请求错误-CORSpolicyNo'Access-Control-Allow-Origin'headerispresentontherequestedresource。
ajax跨域 java cors_同源策略与CORSajax跨域
weixin_39925413的博客
02-26 154
跨域问题系列文章1. 同源策略浏览器的安全基石是“同源策略”,目前所有的浏览器都实行这个策略。同源策略限制了:从一个源加载的文档或脚本去另一个源进行资源交互。同源指的是协议://域名:端口 相同,可以理解为一个服务器同源策略主要是对js脚本有限制,主要表现为下面三点:无法使用js脚本获取非同源Cookie,LocalStorage和IndexDB数据。无法使用js获取非同源的DOM。无法使用js发...
ajax通信访问被CORS policy策略阻止
qq_43533520的博客
07-22 754
报错信息:Access to XMLHttpRequest at 'http://localhost:4000/?a=1&b=2' from origin 'http://127.0.0.1:5500' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header has a value 'http://127.0.0.1' that is not equal to the supplied origin.
AJAX请求中通常会遇到跨域资源共享(CORS)的问题
qq_46323758的博客
04-19 454
Access to XMLHttpRequest at 'http://localhost/books' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. GET http://localhost/books net::ERR_FAILED 200解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值