前端跨域之CORS详解

最新推荐文章于 2024-05-02 09:44:28 发布
最新推荐文章于 2024-05-02 09:44:28 发布
阅读量6.3k 收藏 13
点赞数 1
分类专栏: JavaScript 文章标签: 跨域cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24510455/article/details/101014917
版权

CORS:跨源资源分享Cross-Origin Resource Sharing。

它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

跨域分为2种请求:简单请求和预检请求(非简单请求)

简单请求

(1) 请求方法是以下三种方法之一:HEAD、GET、POST

(2)HTTP的头信息不超出以下几种字段:Accept、Accept-Language、Content-Language、Last-Event-ID

  Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求,浏览器会直接发送CORS请求,具体说来就是在header中加入origin请求头字段。同样,在响应头中,返回服务器设置的相关CORS头部字段,Access-Control-Allow-Origin字段为允许跨域请求的源。请求时浏览器在请求头的Origin中说明请求的源,服务器收到后发现允许该源跨域请求,则会成功返回,具体如下:

预检请求 

预检请求发生在实际请求之前,用于检查服务器是否支持 CORS,以判断实际请求发送是否安全。预检请求使用的方式是 options。如果发现服务器支持该请求,则会将真正的请求发送到后端,反之,如果浏览器发现服务端并不支持该请求,则会在控制台抛出错误 

当一个请求不是“简单请求”时,即应该先发送预检请求,比如:

(1)请求方式不是GETHEADPOST

(2)请求设置了自定义的头部字段,比如 X-xxx

(3)请求的 Content-Type 值不是 application/x-www-form-urlencodedmultipart/form-datatext/plain,等等

给一个预检请求设置headers: { 'X-test': 'CORS' } // 增加一个自定义的头部字段,触发预检请求

预检请求报文:

请求首部字段 Access-Control-Request-Method 告知服务器,实际请求将使用 POST 方法。 请求首部字段 Access-Control-Request-Headers 告知服务器,实际请求将携带一个自定义请求首部字段:x-test。服务器据此决定,该实际请求是否被允许。

响应首部字段 Access-Control-Allow-Methods 表明服务器允许客户端使用哪些方法发起请求。 响应首部字段 Access-Control-Allow-Headers 表明服务器允许请求中携带字段 x-test。

实际请求的报文:

实际请求中发送了 X-test 头部字段,响应状态码 200 OK。

可以看到,预检请求中使用了更多的头部字段来完成访问控制。那么,CORS 相关的请求头部字段和响应头部字段共有哪些呢?

1.http请求头部字段

(1)Origin:表示预检请求或实际请求的源站。

(2)Access-Control-Request-Methods :头部字段用于预检请求。其作用是,将实际请求所使用的 HTTP 方法告诉服务器。

(3)Access-Control-Request-Headers: 头部字段用于预检请求。其作用是,将实际请求所携带的首部字段告诉服务器。

注意,以上请求头部字段无须手动设置,当使用 XMLHttpRequest 对象发起跨域请求时,它们已经被设置就绪

2.http响应头部字段

(1)Access-Control-Allow-Origin:表明服务端允许的域名

(2)Access-Control-Allow-Methods:该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

(3)Access-Control-Allow-Headers:如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

(3)Access-Control-Allow-Credentials:需要携带cookie信息时,服务端需要将withCredentials设置为true,否则会报错

(4)Access-Control-Max-Age:该字段可选,用来指定本次预检请求的有效期,单位为秒。表示在第一次预检请求发出后,指定时间内再访问该接口时会直接发送实际请求,而不需要先发预检请求。过了指定时间后,会再要求先发送预检请求

优势

使用CORS简单请求,对于前端来说无需做任何配置,与发送普通ajax请求无异。唯一需要注意的是,需要携带cookie信息时,需要将withCredentials设置为true即可。CORS的配置,完全在后端设置,配置起来也比较容易,目前对于大部分浏览器兼容性也比较好。CORS优势也比较明显,可以实现任何类型的请求。如果不需要兼容IE10以下的浏览器CORS会是一个好的选择

易-水寒
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析CORS请求
大菜鸟的博客
12-22 5066
Cross-Origin Resource Sharing(简称CORS),是W3C制定的网络资源请求的一个“正式”技术。网上相关介绍有很多,但是基本上都停留于理论层面。当你很想知道具体怎么实现一个CORS的时候很难一下子找到靠谱的参考资料。那么这里简单介绍一下前后端CORS的实现机制。 对于前端(JavaScript)而言,做一个CORS和普通ajax请求并没有什么区别(前提是浏览器平台支...
前端CORS原理详细分析
qq_41968486的博客
04-18 2657
JSONP并不是一个好的解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的解决方案。 概述 CORS是基于http1.1的一种解决方案,它的全称是Cross-Origin Resource Sharing,资源共享。 针对不同的请求
前端工程师须知的CORS知识
weixin_34297704的博客
04-20 274
背景 前端和后台请求交互,若请求者(Client)和资源者响应者(Server)处在不同的名,会发生请求,不同是指HTTP协议、名、端口有一个或全都不相同。出于安全考虑浏览器限制了从脚本内发起的资源请求,CORS是解决请求的一种机制。 一、什么CORS CORS全称“资源共享”,它是一种机制通过添加额外的HTTP头部告诉浏览器,允许origin上的web应用访问不同源服务器资...
前端解决方案——CORS
最新发布
2301_79644036的博客
05-02 104
预检请求包含了一些额外的头信息,比如请求的方法、请求的头信息等,服务器需要根据这些信息来判断是否允许访问。在上面的例子中,客户端使用 fetch 发送一个 GET 请求到 http://CORS.com/api/data ,通过设置 mode 为 cors ,告诉浏览器需要使用 CORS 方案来解决问题。1. 请求的额外消耗:在使用 CORS 解决请求时,需要发送预检请求,这会增加请求的时间和带宽消耗。1. 使用方便:CORS 只需要在服务器端设置响应头,就可以实现访问,使用方便。
CROS 前后端交互,不可不知的问题及其解决方案详解
FeelTouch Labs
10-19 1705
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是而导致的问题!对于前后端分离时,而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决问题之前,我们先来了解一下何为问题,怎么产生的问题,怎么解决这个问题。CORS是一个W3C标准,全称是。
前端和后端之间的CORS 和解决办法
0
01-19 1461
源资源共享CORS,或通俗地译为资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他源(、协议或端口),使得浏览器允许这些源访问加载自己的资源。源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。是指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
前端问题(CORS
yzc_sky的博客
08-17 1163
前端问题(CORS) 文章目录前端问题(CORS定义怎么才算? 主要是总结浏览器CORS处理方式,其他处理方式的认为是伪处理方式,如iframe、window.name、window.postMessage。 定义 站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在不同于该请求所指向资源所在的的 HTTP 请求。 站 HTTP正常请求,但是结果被浏览器拦截了,就是问题。 问题只有在浏览器才会出现,javascript等
解决前端问题方案汇总
09-01
前端问题是指浏览器实施的一种安全策略,即同源策略,它限制了来自不同源的“文档”或脚本相互交互。同源策略是为了防止恶意网站通过脚本获取其他网站的数据,从而保护用户的信息安全。同源策略的基本规则包括:...
vue+springboot实现项目的CORS请求
12-09
关于CORS的详细解读,可参考阮一峰大神的博客:资源共享CORS详解。本文为通过一个小demo对该博客中分析内容的一些验证。 1.springboot+vue项目的构建和启动 细节不在此赘述,任何简单的springboot项目就可以,而...
django解决请求的问题详解
09-19
Django是一个流行的Python Web框架,当它作为后端服务器时,可能会遇到前端请求的问题。以下是对Django解决请求问题的详细讲解。 ### 解决方案1:使用`django-cors-headers`库 `django-cors-headers`是一...
详解AngularJS如何实现请求
11-25
前端开发中经常遇到的问题,AngularJS实现方式类似于Ajax,使用CORS机制。 下面阐述一下AngularJS中使用$http实现请求数据。 AngularJS XMLHttpRequest:$http用于读取远程服务器的数据 $http.post...
请求】【前端】什么是CORS,教你解决问题
08-31
请求】【前端】什么是CORS,教你解决问题
Spring boot 和Vue开发中CORS问题解决
12-11
关于CORS的详细解读,可参考阮一峰大神的博客:资源共享CORS详解。 1. 遇到的问题: 我用spring-boot 做Rest服务,Vue做前端框架,用了element-admin-ui这个框架做后台管理。在调试的过程中遇到了如下错误: ...
CORS——请求那些事儿
weixin_33730836的博客
02-08 650
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行操作,而在实际进行请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
前端角度解决的三种方法(CORS、JSONP、接口代理)
火腿肠的博客
11-02 3083
的概念: 同源策略是由 Netscape 提出的一个安全策略,它是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能可能都会受到影响,现在所有支持JavaScript的浏览器 都会使用这个策略。 所谓同源指的是: 协议、名、端口号都相同,只要有一个不相同,那么都是非同源。 ①、http://www.123.com/index.html 调用 http://www.123.com/welcome.jsp 协议、名、端口号都相同,同源。 ②、https://www.123.com/i
前端CORS请求接口问题解决方案 (古月)
知识改变命运!
08-26 2674
先配置Nginx 先举例 以下是我们常用的nginx站点配置(PHP网站为例) server { listen 舰艇端口; server_name 名部分; set $root_path 目录部分; root $root_path; index index.php index.html; location / { if ...
什么是CORS,它是如何解决前端
Neekky的博客
03-22 2081
CORS是一个W3C标准,全称是“资源共享”,它允许浏览器向源服务器,发出XHR请求,克服了AJAX的同源限制。 实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以源通信。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 浏览器将CORS...
前端和后端分析(两种方法jsonp和cors)
一个半程序猿
01-14 3147
为什么会产生?           是因为浏览器的安全策略:同源策略。服务器是没有做限制的           请求的url地址,必须与浏览器上的url地址处于同上,也就是名,端口,协议相同  如下图 jsonp方式 原理:有三个标签是不限制同源的分别是<script type="text/javascript" src=""资源地址></script&gt...
后端已经配置 前端还是报cors错误怎么回事_来,看看 (CORS)
weixin_39608526的博客
12-04 5588
CORS资源共享,是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的 Web 应用被准许访问来自不同源服务器上的指定的资源。 简单来说,出于安全原因,浏览器会限制从脚本内发起的请求,如 XMLHttpRequest 和 Fetch。也就是说,在 Javascript 中,当我们想发起一个的 Ajax 请求,会受到浏览器的限制导致请求...
CORS解决前端问题
07-27
CORS源资源共享)是一种机制,用于解决前端问题。前端问题指的是浏览器限制了从不同源(、协议或端口)加载的资源之间的交互。 要解决前端问题,有几种方法可以使用: 1. 服务器端设置响应头:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值