跨域资源共享CORS学习笔记

最新推荐文章于 2024-06-12 08:52:46 发布
最新推荐文章于 2024-06-12 08:52:46 发布
阅读量8.1k 收藏 24
点赞数 13
分类专栏: go 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15437667/article/details/78841335
版权

跨域资源共享CORS学习笔记

1、同源政策

含义

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。

协议相同
域名相同
端口相同

举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下。

http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)

目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。

由此可见,”同源政策”是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。

限制范围

随着互联网的发展,”同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制。

(1) Cookie、LocalStorage 和 IndexDB 无法读取。
(2) DOM 无法获得。
(3) AJAX 请求不能发送。

对于跨域问题,可以简单理解为:浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。

对于它通常有三种解决办法:

  1. JSONP:JSONP只支持GET请求
  2. 代理:例如www.123.com/index.html需要调用www.456.com/server.php,可以写一个接口www.123.com/server.cgi,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这就是一个代理的模式。相当于绕过了浏览器端,自然就不存在跨域问题。
  3. SERVER端支持CORS,即增加对Origin等字段判断,返回响应是增加Access-Control-Allow-Origin、Access-Control-Allow-Method等字段

代理方法比较清晰,是直接通过先访问同源后端接口,通过后端接口去访问跨域资源,也就不会存在跨域的问题(跨域的问题仅存在于,浏览器执行javascript脚本时)

但代理模式也有比较明显的缺点,比如如果浏览器访问的页面需要访问的域名的资源是不断变化,那么使用代理模式就要频繁改动代码,扩展性很差,所以并不是一个好的选择。

JSONP:jsonp(json width padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。由于同源策略,一般来说位于service.example.com的网页无法与不是service2.example.com的服务器沟通,而HTML的script元素是一个列外。利用script圆度开放策略,网页可以等到从其他源动态产生的JSON资料,而这种使用模式就是所谓的JSONP。用JSONP抓到的资料并不是JSON,而是任意的Javascript,用javascript直译器执行而不是用JSON解析器解析。

但JSONP有几个问题,一是要求客户必须限制使用JSONP,这个方案并不是后端SERVER支持跨域;二则是JSONP只支持GET方法。

JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

这里总结下上面的内容:如果用户使用不支持跨域的APIGW作为中间件连接后端server,那么是无法通过浏览器访问后端server的,基本就代表着使用qcloud APIGW完成的代码,无法使用浏览器。。包括桌面浏览器、移动浏览器以及APP内置使用的webview均无法使用

CORS与JSONP的使用目的相同,但是比JSONP更强大。这里着重介绍下CORS跨域资源共享

2、跨域资源共享

定义

跨来源资源共享(Cross-Origin Resource Sharing(CORS))是一种使用额外HTTP标头来让目前浏览网站的user agent能获得访问不同来源(网域)服务器特定资源之权限的机制。当user agent请求一个不是目前文件来源——来自于不同网域(domain)、通信协定(protocol)或通信端口(port)的资源时,会建立一个跨来源HTTP请求(cross-origin HTTP request)。

基于安全性考虑,浏览器和WebView发出的HTTP请求会有限制。例如,XMLHttpRequest及Fetch皆遵守同源政策(same-origin policy)。这代表网络应用程序所使用的这些API只能请求来自和应用程序相同网域的HTTP资源,除非使用了CORS标头。

哪些请求会使用到CORS?

  1. 使用XMLHttpRequest或Fetch API进行跨站请求,如前所述。
  2. 网页字体(跨网域CSS的@font-face的字体用途),所以服务器可以
最低0.47元/天 解锁文章
绯浅yousa
关注
  • 13
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
guide-cors:有关如何在Open Liberty中启用跨域资源共享CORS)的指南
04-02
启用跨域资源共享CORS笔记该存储库包含指南文档源。 要以已发布的形式查看该指南,请在上进行查看。 了解如何在Open Liberty中启用跨源资源共享CORS),而无需编写Java代码。您将学到什么您将学习如何添加两...
AJax 学习笔记一(XMLHTTPRequest对象)
12-10
但在现代浏览器中,可以通过CORS(跨源资源共享)进行跨域访问。 - 错误处理:确保在处理服务器响应时考虑到可能的错误情况,如网络故障、服务器错误等。 - JSON的广泛使用:尽管名称中包含XML,但现代的AJAX请求...
KONG (API网关) 用CORS处理跨域,针对:非简单请求
debug一生的博客
05-21 5069
研究了挺久的,从不知道什么是跨域到最终解决问题。 简单说,会产生跨域的异常主要是当前页面域名与页面内直接请求的域名不是同一个域,浏览器就是拦截这种它认为不安全的操作 首先必须明确一点:跨域有两种(1、简单请求,2非简单请求) 这里怎么判定,我直接引用阮老师的分析了: 这里在我的请求中是GET,但是定义了自定义的请求头,Authorization,这里浏览器就会判定为非简单请求。 简单请求按照常规处理就好了。 重点是非简单请求 浏览器会先发送一个method为OPTIONS的请求,这里称之为
浏览器跨域访问控制(CORS)
weixin_39805244的博客
12-23 1146
出于安全考虑,浏览器限制页面脚木发起跨域请求,所以XMLHttpRequest和fetch API是遵循**同源策略的。
跨域资源共享CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 1100
跨域资源共享CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
CORS跨域资源共享
路虽远,行将至。事虽难,做必达。
05-16 715
跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出请求XMLHttpRequest(XHR),从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据。则是在使用设定的请求方式请求数据前,先发送一个OPTIONS预检请求,验证请求源是否为服务端允许源,只有验证为允许后才会再次发送一次请求用于数据传输。:在浏览器进行请求时,自动在请求头中添加Origin字段信息,服务端通过验证Origin字段来判断请求是否被允许,从而实现浏览器跨域资源访问。
关于renren-fast跨域部分
NerfmePlz的博客
11-09 1110
浏览器——》发送预检请求给服务如localhost:8000——服务检测到跨域请求,根据如上代码的配置处理请求并响应——》浏览器收到服务允许跨域,发送真正请求。浏览器——》发送预检请求到网关——》网关配置跨域,filter处理请求头,增加允许跨域部分——》服务发现跨域,处理允许跨域部分——》返回浏览器,renren-fast在io.renren.config.CorsConfig中配置了跨域请求的处理配置类。浏览器——》发送预检请求到网关——》网关没有配置跨域,不允许跨域请求——》服务器不发送真正请求。
开源syslog服务器_开源API网关Kong基本介绍和安装验证
weixin_39753260的博客
12-01 802
今天准备介绍下开源API网关Kong,在Gtihub搜索API网关类的开源产品,可以看到Kong网关常年都是排第一的位置,而且当前很多都有一定研发能力的企业在API网关产品选型的时候基本也会选择Kong网关,并基于Kong网关进行二次开发和定制。API网关概述简单来说API网关就是将所有的微服务提供的API接口服务能力全部汇聚进来,统一接入进行管理,也正是通过统一拦截,就可以通过网关实现对API接...
ajax学习笔记代码
03-19
3. **跨域请求**:了解CORS(跨源资源共享)和JSONP,解决Ajax的同源策略限制。 4. **异步加载与进度条**:实现文件上传时的进度条功能,展示Ajax请求的进度。 通过以上四天的学习,你将能够熟练掌握Ajax的基本...
openscales学习笔记8.24
03-25
6. **跨域资源共享CORS)配置**:压缩包中的`crossdomain.xml`文件是服务器端用于设置跨域访问策略的文件。在OpenScales中,它可能用于允许从不同源请求地图资源,这对于开发多服务器环境的地图应用至关重要。 在...
Ajax 学习笔记,超详细的噢!不看后悔
05-29
解决跨域问题的方法有JSONP、CORS(跨源资源共享)等。 7. **Ajax与jQuery**:jQuery库简化了Ajax操作,提供了如`$.ajax()`, `$.get()`, `$.post()`等便捷函数,使得代码更加简洁。 8. **Promise和Fetch API**:...
DWR学习笔记(下载)
03-01
4. **跨域问题**:由于同源策略的限制,DWR可能需要配置CORS(跨源资源共享)来处理跨域请求。 5. **集成到现有应用**:将DWR集成到已有的Spring、Struts或其他MVC框架中,实现前后端分离。 6. **调试技巧**:掌握...
安全知识 补天&斗鱼-跨域资源那些事 - macos.zip
11-06
根据提供的文件名“补天&斗鱼-跨域资源那些事.pdf”,我们可以预期文档将详细讨论跨域资源共享CORS)与网络安全的关系,可能包含以下知识点: 1. **CORS原理**:解释CORS的工作机制,包括预检请求(OPTIONS)、...
ajax学习笔记资料
08-15
- **跨域问题**:Ajax请求受到同源策略限制,需要通过CORS(跨源资源共享)或JSONP等机制解决。 - **兼容性**:不同浏览器对Ajax的支持程度不同,需要确保代码具有良好的兼容性。 - **用户体验**:使用Ajax时,应...
韩顺平 ajax 课堂笔记
09-20
CORS(跨源资源共享) 当Ajax请求的源与目标服务器不同,需要开启CORS来允许跨域请求。服务器端需要设置适当的响应头,客户端也需要相应的处理。 ### 8. JSONP(JSON with Padding) 对于不支持CORS的旧浏览器,...
H5笔记.zip
01-29
笔记可能详细介绍了异步请求的原理、HTTP方法、状态码以及错误处理策略,同时也可能提到了JSON格式的数据交换和跨域资源共享CORS)问题。 【HTML5高级API学习笔记】 HTML5引入了许多新的API,如Geolocation获取...
使用 Express 写接口
weixin_43563864的博客
10-27 1389
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
解决跨域的方式?
欣欣酱博客
04-08 4915
Ajax解决跨域方案一:(jsonp) jsonp:jsonp是json的一种使用模式,可以让网页从别的域名那里获取数据。 Ajax解决跨域方案二:(cors) 当Ajax发送请求时,服务器会返回一个响应头,相当于服务器指定了可以访问该接口的白名单。 Ajax解决跨域方案三:(服务器转发) 服务器端向第三方服务器发送请求,得到数据并返回给客户端。 扩展:和跨域有关的cors几个响应头和请求头。(九个) 请求头三个:origin access-control-request-headers
跨域资源共享(CORS)详解
duzm200542901104的专栏
12-26 3127
一、跨域请求: 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 二、跨域资源共享CORS): 出于安全原因,浏览器限制从脚本内发起的跨域HTTP请求。 例如,XMLHttpRequest遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值