[http] 跨域说明

最新推荐文章于 2023-10-17 17:26:24 发布
最新推荐文章于 2023-10-17 17:26:24 发布
阅读量343 收藏
点赞数
分类专栏: 技术学习总结 front-end http 文章标签: front-end http 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qaserfvvbbert/article/details/79298099
版权

只是从http层角度说下跨域的问题,并不提供解决方法,解决方法在以前老的文章里写过

跨域

跨域的请求被拦截有两种可能:
1. 浏览器直接禁止发起跨域,例如在某些浏览器中HTTPS请求HTTP域请求不会发起;
2. 跨域请求发起了,但是返回结果被浏览器拦截,请求失败。

CORS

w3c协议
CORS是一种利用额外HTTP头部来允许用户代理跨域请求的技术,与传统跨域方式不同,CORS使得原本只允许调用同源资源的api(例如XMLHttpRequest与fetch)中进行跨域操作变得可能
XMLHttpRequest与fetch请求跨域资源时会默认使用CORS协议检查

CORS请求分为预检,正式发送两部分。测试库链接

预检

简单请求不发送预检请求
简单请求指:
1. 请求方法仅可为GET,HEAD或POST
2. 请求头部Content-Type仅可为text/plain,multipart/form-data或application/x-www-form-urlencoded

// 不触发预检
fetch(url).then(function(response) {
  console.log(response);
});
// 触发预检
fetch(url, {
  headers: {
    'Content-Type': 'text/json'
  }
}).then(function(response) {
  console.log(response);
});

预检中不会带上触发了预检的请求头部,req.headers['content-type']是无法获取到值的
用户代理(浏览器)在接收到预检请求回复后会根据返回结果判断,主要是根据ACAO等几个字段判断跨域请求是否可发起
因此,需要编写对应的options请求处理接口

router.options('/cors', (req, res) => {
  res.setHeader('Access-Control-Allow-Origin', '*');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type'); // 允许请求头带content-type属性
  res.send();
});

这样就可以通过预检

处理

预检通过后,浏览器会发送实际请求。
在最终的处理接口里也要加上ACAO等几项,否则用户代理也会认为跨域请求失败,不会将结果返回。具体内容参见mdn

router.get('/cors', (req, res, next) => {
    res.setHeader('Access-Control-Allow-Origin', '*');
    res.setHeader('Access-Control-Allow-Credentials', true);
    res.json(data);
  }
});

需要说明的是,无论是简单请求还是通过了预检的跨域请求,都会将数据提交到服务器上并进行修改,无论服务器返回值会不会造成用户代理认为这次跨域请求失败

常见错误

  1. 请求带cookie时,回复中的Access-Control-Allow-Origin不能是*且Access-Control-Allow-Credentials必须设置为true
hudk114
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器跨域说明
04-07
整合我在网络世界中跨域交互中发现的所有信息
详解HTTP跨域
summer_fish的专栏
08-06 5920
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
https引起的跨域问题-COE&casestudy
xiexiaojing的博客
12-08 9741
问题很简单,开发一个后台服务。这个服务呢,包含了几个团队的后台服务之间的相互调用。这些后台服务之间的顶级域名(相关概念后面会解释)相同,请求却报错说有跨域问题。经调查,原因是调用方是htt...
Http跨域和处理方案
最新发布
2th
10-17 360
跨域问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、域名和端口的资源。如果一个请求的目标资源的协议、域名或端口与当前页面的不同,就会触发跨域请求。跨域问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
http中解决跨域的几种方法(代码实测)
码农小默
06-01 6821
一、概念 1.什么是跨域跨域是浏览器安全机制,其实就是说你请求访问的域名与ajax请求地址不一致,浏览器会直接无法返回请求结果。 二、跨域的例子展示 1.项目demotesta 1.1.目录结构 1.2.pom.xml <dependency> <groupId>javax.servlet</groupId> <artifa...
HTTP中的跨域请求、HTTP报文结构、状态码
qq_44886213的博客
01-13 7347
对这篇博客的理解及记录:HTTP跨域的原因及解决方法(CORS 和 JSONP) - 简书 一、前驱知识学习 要理解跨区请求的话,需要对HTTP的报文结构、状态码有所了解。 HTTP 有两类报文: (1)请求报文——从客户向服务器发送请求报文。 (2)响应报文——从服务器到客户的回答。 (1)请求报文 命令/方法:常见的有GET、POST、HEAD (2)响应报文 状态码: (1)状态码都是三位数字 1xx 表示通知信息的,如请求收到了或正在进行处理。 2xx 表示成功
Web站点跨域说明
09-18
解决虚拟路径资源跨域问题,亲自测试可以使用。
Webkit的跨域安全问题说明
01-19
这里有个简单的测试页面:IE、火狐弹出”hello world”,而chrome,safari,opera毫无反应。...iframe src=”http://www.nunumick.me/lab/x-domain/webkit-test.html”> </iframe> 2.子页面代码: 代码如
HTML5平台中跨域访问使用说明
12-06
项目开发过程中会遇到一个项目区调取另一个项目的现象,就是所说的跨域问题。跨域问题一开始解决方法时改代码,浪费大量的工作量。后来就是查阅大量资料写的这么个文档
Http访问跨域解决
热门推荐
程序员深夜写bug
03-23 1万+
一、跨域科普跨域,即跨站HTTP请求(Cross-site HTTP request),指发起请求的资源所在域不同于请求指向资源所在域的HTTP请求。二、如何产生跨域当使用前后端分离,后端主导的开发方式进行前后端协作开发时,常常有如下情景:    a、后端开发完毕在服务器上进行部署并给前端API文档。    b、前端在本地进行开发并向远程服务器上部署的后端发送请求。    c、在这种开发过程中,如...
HTTP跨域
low666的博客
03-16 481
HTTP跨域 1.跨域请求 浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域) 2.同源策略 同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同 3.跨域问题的产生 域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产...
Nginx跨域Https配置
zzhongcy的专栏
06-07 4235
一、跨域 1. 什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制(指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的) 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要!!! 广义的跨域: 1.) 资源跳转:A链接、重定向
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6267
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机中,尤其是在网络应用中,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
http跨域详解
weixin_34151004的博客
12-25 650
跨域 为什么会有跨域??由于浏览器的同源策略限制,浏览器会拒绝跨域请求,那么什么是同源呢?如果两个页面的协议,端口,和域名都相同,则两个页面具有相同的源。如果3者有一个不同,则为跨域。 域的更改 页面可能会因某些限制而改变他的源。脚本可以将document.domain的值设置为其当前域或者当前域的超级域。如果将其设置为其当前域的超级域...
使用https和响应头来解决浏览器跨域
coderchenhao的博客
08-21 2944
前言 博主的使用nginx来解决浏览器跨域问题中,已经介绍了什么是浏览器跨域。接下来,博主来介绍一下怎么使用https和响应头来解决浏览器跨域问题。 解决跨域问题 这里介绍一下跨域实践的相关环境: 前端程序:8182端口,部署在本地。 后端程序1:8084端口,部署在本地。 后端程序2:443端口,部署在阿里云服务器,采用域名访问(因为https证书绑定的是域名) 添加跨域响应头 从浏览器给出的跨越提示中,我们只需要在后端的响应中添加上跨域的响应头,博主这里使用的是springboot项目,代码如下:
HTTP请求跨域问题
qq_42765662的博客
07-28 1258
前端开发中经常出现跨域问题,了解跨域的原理及其解决方法
跨域及其解决方案
哆来A梦没有口袋的博客
08-19 1000
不得不说的同源策略 一说跨域,一定会先说同源策略,有时间的可以看一下官方解释的同源策略 https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy 同源策略:同源策略是浏览器的一个安全行为,是指浏览器对不同源的脚本或文本的访问方式进行限制。 那么什么是同源呢? 同源:指两个页面具有相同的协议,域名,端口号 为什么需要同源策略? 浏览器为了保护用户的数据安全,尽可能阻止跨域攻击,浏览器是公共资源,而一个网...
跨域超详解
皮卡丘的情绪
07-06 821
尽管存在跨域请求的限制,但同源策略对于保护用户和维护网络安全至关重要。开发人员可以使用服务器端的代理或通过在服务器上配置 CORS 等方式来解决跨域问题。这样可以确保跨域请求只在受信任的环境下进行,并减少潜在的安全风险
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 2896
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
http跨域 https不跨域
09-07
而引用中的示例也说明跨域的情况,如不同的域名、不同的端口、不同的二级域名都会导致跨域问题的出现。这是由于浏览器对于AJAX请求的安全限制,即同源策略,只允许页面发起与当前页域名相同的路径的AJAX请求,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值