http协议(一)CORS跨域请求的限制与解决

最新推荐文章于 2024-05-07 20:46:06 发布
最新推荐文章于 2024-05-07 20:46:06 发布
阅读量2.9k 收藏 4
点赞数
分类专栏: 网络协议 文章标签: http javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niall_tonshall/article/details/123557507
版权

1. 什么是跨域?

要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。
同源策略一般又分为两种:
DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的;
XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。
所以跨域是什么?
跨域,是指在请求一个不属于同源的资源时,这种行为就称为跨域,这是浏览器施加的安全限制。

2. 如何解决跨域请求

我们现在搭建两个web服务,一个监听本地8888端口,一个监听本地8887端口,8888端口返回一个html文件,该html文件中访问了8887端口:
server.js:

const http = require('http')
const fs = require('fs')

http.createServer(function (request, response){
  console.log('request url: ', request.url)
  const html = fs.readFileSync('index.html', 'utf-8')
  response.writeHead(200, {
    'Content-Type': 'text/html'
  })
  response.end(html)
}).listen(8888)

console.log('server running on 8888')

server2.js:

const http = require('http')

http.createServer(function (request,response){
  console.log('request url: ', request.url)
  response.end('123')
}).listen(8887)

console.log('server running on 8887')

index.html:

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>
  <div>content</div>
</body>
<script>
  var xhr = new XMLHttpRequest()
  xhr.open('GET', 'http://127.0.0.1:8887/')
  xhr.send()
</script>
</html>

使用node server.jsnode server2.js开启Web服务,访问8888端口:
在这里插入图片描述
我们发现控制台报错:
在这里插入图片描述
这里的异常信息是说,访问8887返回的数据被跨域策略阻止了,因为响应头中没有设置Access-Control-Allow-Origin
我们现在修改server2.js,向返回数据的响应头添加相应内容:

const http = require('http')

http.createServer(function (request,response){
  console.log('request url: ', request.url)
  // 添加以下内容
  response.writeHead(200, {
    'Access-Control-Allow-Origin': '*'
  })
  response.end('123')
}).listen(8887)

console.log('server running on 8887')

重新运行node server2.js,然后刷新127.0.0.1:8888,我们发现控制台没有报错信息了,并且我们从8887拿到了正确的返回信息:
在这里插入图片描述
现在,我们访问8887端口返回的数据响应头中多出来了'Access-Control-Allow-Origin': '*',正是因为有了这一个说明,才能使浏览器接收8887返回的数据。

3. 网络请求从发起到返回

如果我们没有设置'Access-Control-Allow-Origin': '*',浏览器会报错,我们拿不到8887端口返回的内容,但是,这是否说明是8887端口拒绝了我们的访问呢?

其实,即使我们不做任何设置,只要向8887发起请求,8887就会返回其应该返回的内容(这里8887需要返回‘123’),同时,浏览器也能获取到这个返回数据,当浏览器收到这个返回数据时,浏览器会检查这个数据和当前页面是否同源,如果不符合同源策略,浏览器就会舍弃这个数据。

当我们为返回数据设置了'Access-Control-Allow-Origin': '*'之后,浏览器在对资源进行同源判定时,就会根据这个信息来判断资源是否和当前页面同源。

如果我们修改server2.js:

const http = require('http')

http.createServer(function (request,response){
  console.log('request url: ', request.url)
  response.writeHead(200, {
    'Access-Control-Allow-Origin': 'http://127.0.0.1:8886'
  })
  response.end('123')
}).listen(8887)

console.log('server running on 8887')

然后访问127.0.0.1:8888,这时候我们就会发现,返回数据的响应头是'Access-Control-Allow-Origin': '127.0.0.1:8886',当浏览器在进行同源判定时,127.0.0.1:8888127.0.0.1:8886端口号不同,所以不是同源,会报错:
在这里插入图片描述

使用标签解决跨域

当网站开始执行脚本,会检测这个脚本的来源,如果这个脚本的来源与当前网站不同源的话,就会限制其执行,即受到同源策略的限制。有没有一种方式使其他来源的脚本转化成和当前页面同源的呢?
使用标签来加载非同源资源,当加载完成之后再注入到页面中,浏览器就会将其认为是同源的:

1 <img src=xxx>

2 <link href=xxx>

3 <script src=xxx>

我们修改index.html:

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
</head>
<body>
  <div>content</div>
</body>
<script src="http://127.0.0.1:8887"></script>
</html>

再次访问127.0.0.1:8888,查看8887端口返回的数据:
在这里插入图片描述
在这里插入图片描述
我们发现,即使8887返回数据的响应头中说明Access-Control-Allow-Origin: 127.0.0.1:8886,但是我们依旧可以拿到这个数据,并且控制台没有报错信息。

其实,这就是JSONP的实现机制,JSONP跨域是通过动态创建script标签,然后通过其src属性进行跨域请求的。

多个服务器请求同一个跨域资源

试想,我们现在增加一个server3

const http = require('http')
const fs = require('fs')

http.createServer(function (request, response){
  console.log('request url: ', request.url)

  const html = fs.readFileSync('index.html', 'utf-8')
  response.writeHead(200, {
    'Content-Type': 'text/html'
  })
  response.end(html)
}).listen(8886)

console.log('server running on 8886')

server3.jsserver.js唯一的不同就是监听的端口不一样,server3监听8886端口,现在我们面临一个问题就是:127.0.0.1:8888127.0.0.1:8886都需要向127.0.0.1:8887发送请求,如果我们还像之前那样,'Access-Control-Allow-Origin': 'http://127.0.0.1:8888',始终只能满足其中一个,如果我们使用正则或是通配符,有可能出现安全隐患。

这时候,我们可以设置一个共享资源地址的数组,然后如果来源地址在这个数组中,那么就将
Access-Control-Allow-Origin设置成对应的地址:
修改server2.js:

const http = require('http')

http.createServer(function (request,response){
  console.log('request url: ', request.url)
  const hosts = ['http://127.0.0.1:8888', 'http://127.0.0.1:8886']
  const shareUrl = ['http://127.0.0.1:8888/', 'http://127.0.0.1:8886/']
  let url = shareUrl.findIndex(item => item === request.headers.referer)
  response.writeHead(200, {
    'Access-Control-Allow-Origin': url > -1 ? hosts[url] : hosts[0]
  })
  response.end('123')
}).listen(8887)

console.log('server running on 8887')
慌张的唐同学
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS(跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 4655
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
HTTP----跨域解决方式
m0_58794378的博客
03-10 1749
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
HTTP访问控制(CORS)一文讲解透彻http跨域的来龙去脉
ailiandeziwei的专栏
04-16 820
跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
http协议(二)CORS跨域限制以及预请求验证
Niall_Tonshall的博客
03-18 3651
1. Request.mode Request 接口的 mode 只读属性包含请求的模式(例如:cors 、 no-corscors-with-forced-preflight 、 same-origin 或 navigate 。)这用于确定跨域请求是否能得到有效的响应,以及响应的哪些属性是可读的。 属性值 作用 same-origin 如果使用此模式向另外一个源发送请求,显而易见,结果会是一个错误。你可以设置该模式以确保请求总是向当前的源发起的。 no-cors 保证请求对应的
网络协议之HTTP-CORS
分享各种技术
11-12 352
什么是CORS CORS是通常所说跨域请求的英文简称,全称Cross-Origin Resource Sharing。浏览器出于安全考虑会禁止使用跨域请求,而使用CORS技术可以突破 该限制。 注意:浏览器限制仅限于脚本请求不能跨域,例如在js中用ajax请求,如果跨域会被拦截,但是对于标签是可以跨域的,例如使用img标签来跨域请求一个 图片资源,用script标签来跨域请求一个脚本资源。JS...
react中fetch之cors跨域请求的实现方法
08-27
本篇文章主要介绍了react中fetch之cors跨域请求的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot Web应用开发 CORS 跨域请求支持
08-30
本篇文章主要介绍了Spring Boot Web应用开发 CORS 跨域请求支持,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Springboot处理CORS跨域请求的三种方法
08-19
主要介绍了Springboot处理CORS跨域请求的三种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
django基于cors解决跨域请求问题详解
09-18
主要介绍了django基于cors解决跨域请求问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
HTTP系列之跨域资源共享机制(CORS)介绍
clyss1234的博客
08-07 525
CORSHTTP,跨域,跨域资源共享
HTTP之神秘的CORS
程序员三木的博客
03-30 186
文章目录1、CORS1、为什么会出现?2、CORS是什么?观察一下浏览器的请求头观察一下响应头2、CORS相关的部分首部字段1、请求首部1、Origin2、Access-Control-Request-Method2、响应首部1、Access-Control-Allow-Origin2、Access-Control-Max-Age3、Access-Control-Allow-Credentials 1、CORS 1、为什么会出现? 因为XHR以及Fetch遵循同源策略,意味着只用这些API进行异步加载时,只
Django之跨域-CORS策略阻止解决方法
weixin_47454485的博客
07-29 5771
一、问题描述 前端请求时由于id不一致或者端口不一致,会出现请求被阻止的情况,如下图: 二、解决方法 1.安装django-cors-headers pip install -i https://pypi.douban.com/simple django-cors-headers 2.将corsheaders添加到全局配置文件的INSTALLED_APPS中,尽量放在前面 INSTALLED_APPS = [ 'corsheaders', 'django.contrib.admin',
跨源资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 909
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 2937
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
Cordova 12 Android 不支持 http 原因探索
白鹤的博客
05-07 212
开始去查找 config.xml 文件,此时花费了比较多的实际无果。然后就去查代码,在 Android 中查到源码。从代码可以看出从配置项中获取配置,如果没有就默认为 https。这样解决方案就简单了,直接给一个配置项就可以了。最近在升级 Cordova 到最新版本,升级完成后发现无法请求网络,研究了两次最终发现解决方案。发现控制台中有日志输出,提示当前是 https ,无法直接访问 http。不得不感慨,Cordova 的资料越来越少了,自己看源码可能还快一些~
web 基础之 HTTP 请求
最新发布
weixin_52943021的博客
05-07 760
二、URL# 访问一张郭达的照片静态网页的特点:开发人员写了什么样,用户看到的就是固定的什么样,显示器就是什么样,一旦静态网页编写完成,就不会有在任何改变。静态网页一般主要适用于更新较少的展示型网页功能,例如(比如卖古董,它只展示一些常年不怎么动的古董图片)比如家具,酒水,水果宣传站点,适合中小型网站适合的搭建方式get 向服务器获取资源,等等post 向服务器提交数据,比如 登录,注册,head 获取 URL 的响应头信息,不要响应体信息(只要脑袋,不要身体)
eNSP-抓包解析HTTP、FTP、DNS协议
小橙子的博客
05-03 539
非加密、基于TCP、会用到arp、三次握手、四次挥手。
http 协议跨域请求
06-09
HTTP 协议跨域请求指的是在浏览器中,通过 JavaScript 发起的 HTTP 请求,请求的目标地址与当前页面的地址不在同一个域下。浏览器在安全方面的考虑,会对这种跨域请求进行限制,具体表现为发送的请求被浏览器拦截,无法得到服务器的响应。 为了解决这个问题,可以通过设置 CORS(跨域资源共享) 或者 JSONP(JSON with Padding) 等方式来实现跨域请求。其中,CORS 是一种官方标准的跨域解决方案,而 JSONP 则是一种比较老旧的跨域方式,现在已经不太常用了。在使用 CORS 进行跨域请求时,需要在服务器端设置相应的响应头,以允许跨域请求的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值