跨域资源共享(CORS)应用案例

最新推荐文章于 2024-08-18 20:34:59 发布
最新推荐文章于 2024-08-18 20:34:59 发布
阅读量2.1k 收藏 2
点赞数 3
分类专栏: java 文章标签: 跨资源共享 cors 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27512271/article/details/90171444
版权

1、跨域资源共享介绍:
       当使用ajax跨域请求时,浏览器报错:XmlHttpRequest error: Origin null is not allowed by Access-Control-Allow-Origin.肯定是跨域的问题,如果用jsonp或者proxy的方式进行修改的话未免需要太大的工程量,所以采用CORS这种比较简单高效的技术。相比JOSP的方式,CORS更为高效。JSONP由于它的原理只能实现GET请求,而CORS支持所有类型的HTTP请求。使用CORS,可以使用普通的ajax实现跨域,这对于前端来说是极大的福音了,这个技术被现在大多数浏览器所普遍支持,因为跨域已经是普遍的要求,浏览器肯定会逐渐流出适当的‘后门’出来专门用以跨域。
2、跨域资源共享实例:
       本实例介绍的是Java语言下跨域资源共享,其他的也与此类似。
2.1、编写过滤器CORSFilter:

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

public class CORSFilter implements Filter {

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		
	}

	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
			throws IOException, ServletException {
		HttpServletResponse response = (HttpServletResponse) servletResponse;  
		//跨域响应会携带该字段,若服务器允许所有uri来访问自己的资源,那么则该字段为*;若要允许http://www.qq.com访问该资源,则为Access-Control-Allow-Origin: http://www.qq.com。
        response.setHeader("Access-Control-Allow-Origin", "*");  
        //Access-Control-Allow-Methods表示服务器访问操作该资源允许哪些方法
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,HEAD,PUT,DELETE");  
        //Access-Control-Max-Age表示预检请求结果请求成功后,多长时间内非简单请求可以不需要再发预检请求,可以继续直接使用跨域请求请求资源
        response.setHeader("Access-Control-Max-Age", "3600");  
        //Access-Control-Allow-Headers表示在访问这个域资源的时候,预检请求响应中哪些header字段可以在跨域请求中使用。
        response.setHeader("Access-Control-Allow-Headers", "Accept,Origin,X-Requested-With,Content-Type,X-Auth-Token");  
        //Access-Control-Allow-Credentials:该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
        response.setHeader("Access-Control-Allow-Credentials", "true");  
		chain.doFilter(servletRequest, servletResponse);
	}

	@Override
	public void destroy() {
		
	}

}

2.2在web.xml中配置上述中的过滤器:

    <filter>
		<filter-name>CorsFilter</filter-name>
		<filter-class>org.framework.core.filter.CORSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CorsFilter</filter-name>
		<url-pattern>/*</url-pattern>
   </filter-mapping>

2.3前端ajax实现跨域资源共享:

$.ajax({
	      async : false,
	      cache : false,
	      type : 'POST',
	      url : url,// 请求的action路径,即跨域请求路径,这个路径必须是被跨域服务允许访问的路径。
	      data :{},
	      crossDomain: true,//默认为false,在跨域的情况下这个值必须设置为true。
	      xhrFields: {
	          withCredentials: true
	      },
	      dataType:"json",
	      timeout : 1000, //超时时间设置,单位毫秒
	      error : function(XMLHttpRequest,textStatus,errorThrown) {// 请求失败处理函数
	    	  alert(XMLHttpRequest.status);
	    	  alert(textStatus);
	    	  alert("访问错误!!!!");
	      },
	      success : function(data) {
	        if (data.success) {
	        	alert("访问成功!!!!");
	       } else {
				alert("访问失败!!!!");
	        }
	      }
	    });

经过这三步的设置就能实现跨域资源共享。

smile in spring
关注
专栏目录
【SpringBoot笔记20】SpringBoot跨域问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 1781
跨域问题,是指:浏览器发起了一个不在当前域名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、域名、端口下的才能够访问跨域问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现跨域了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,跨域报错如下所示:上面案例是前端【】这个域,通过ajax访问【】域的时候,浏览器抛出的跨域异常信息。
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 1570
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
跨域CORS原理及调用具体示例
navy_xue的专栏
10-12 7962
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。   相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allow
跨域资源共享cors
最新发布
weixin_42564451的博客
08-18 408
浏览器为了安全起见,遵循同源策略(Same-origin policy),即只有当请求的源(协议、域名、端口)与资源所在的源完全相同时,才允许进行交互。是一种机制,用于放宽浏览器的同源策略,使得一个域可以访问另一个域的数据。:对于不符合简单请求条件的请求,浏览器会自动发送一个预检请求(OPTIONS方法),以询问服务器是否允许实际请求。一个简单的GET请求可以直接发送到服务器,而一个包含自定义头部的POST请求则会先发送一个预检请求。的资源,如果没有CORS的支持,浏览器会阻止这个请求。
CORS跨域方法示例
u012392555的博客
05-26 554
Ajax1.0const http=require('http'); let httpServer=http.createServer((req,res)=&gt;{ res.setHeader('Access-Control-Allow-Origin','*'); res.write('aaaa'); res.end(); }); httpServer.listen(8080);Ajax2....
CORS跨域资源共享)——实例介绍
W小哥
12-01 1080
一、什么是CORS CORS是一个w3c标准、全称是"跨域资源共享"(Cross-origin resource sharing) 因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源.,即浏览器的同源策略 但一个请求url的协议、域名、端口三者之间任意一个与当前页面不同即为跨域、它允许阅览器向源服务器发送XMLHttpRequest请求,从而克服AJAX只能同源使用的限制 对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附
跨域资源共享CORS)实战
"CORS in Action 是一本由Monsur Hossain编著,Eric Bidelman作序的书籍,专注于探讨资源共享CORS)技术在创建和消费跨域API中的应用。这本书由Manning Publications出版,并在Shelter Island发行。" CORS...
【Web安全】CORS跨域资源共享漏洞
做自己喜欢的事,并将其发挥到极致!
11-07 1202
跨域资源共享(CORS)是一种浏览器机制,允许网页使用来自其他页面或域的资产和数据。大多数站点需要使用资源和图像来运行它们的脚本。这些嵌入式资产存在安全风险,因为这些资产可能包含病毒或允许服务器访问外部攻击者。如果目标存在CORS跨域资源共享漏洞,并且在管理员没有退出网站的情况下,点击攻击者已经构造好的恶意网站,攻击者可以修改Origin字段为任意指定的值,实现绕过浏览器同源策略的限制,基于CORS漏洞发起恶意请求,实现对目标资源的恶意跨域访问,并读取服务器的响应结果,从而造成服务器的信息泄露。
Flask 跨域资源共享CORS):解决跨域问题
理解跨域资源共享CORS) ### 1.1 什么是跨域资源共享跨域资源共享CORS)是一种机制,使用额外的HTTP头来告诉浏览器,哪些源(origin)之间的资源能够被网页访问。跨域资源共享是为了打破浏览器的同源策略...
资源共享商务例子
11-30
请快快下载,好东西啊,过了这村没这店了。这里面主要是一个小型商务例子
pringBoot全局 配置支持CORS前后端例子
01-03
本资源主要演示了Spring Boot 如何全局配置跨域资源共享。本资源解压后包含2个文件夹:blog2和testFrontEnd。blog2是后端java代码项目,由Maven构建。testFrontEnd是前端项目,测试了能否正常使用跨域的Web API。
关于 CORS跨域案例演示
皮蛋很白的博客
12-04 1312
关于跨域CORS CORS 主要用于解决跨域问题。 跨域就是浏览器的浏览器的同源策略(协议+域名+端口)。 网上有太多的总结介绍文章,例如: 阮一峰老师的 跨域资源共享 CORS 详解 MDN 的 浏览器的同源策略 MDN 的 资源共享CORS跨域解决方案 现在常用的跨域解决方案主要有两个: 代理 Proxy 开发环境需要前端自己配置 web 服务器 生产环境如果不同源,需要运维人员配置 CORS 缺点:低版本浏览器不支持 资源共享CORS) 最下面有介绍,
CORS跨域资源共享实例心得
SmartJdbc的博客
10-08 799
1.ci框架下的this-&amp;amp;amp;gt;output-&amp;amp;amp;gt;setheader 对header 值设置不成功还是改成php原生 header 方法 2.Access-Control-Allow-Methods 这个方法对* 通配符不起作用 3.在option请求中 当浏览器发出post请求为跨域请求时候会自动变为现实options请求, 当预检请求通过时候会发送 第二次请求,这时候是正常的post请...
Cors跨域新场景
Melon的博客
06-15 1304
springboot中一般的Cors问题用CorsFilter配置即可解决 这次的Cors问题不是前端到服务器之间的跨域问题,而是服务器访问另一台服务器,访问失败后面,前端显示了khfa
CORS
QDY5945的博客
10-28 309
CORS IE8中 在IE8中用XDR来实现安全可靠的跨域通信 1. cookies不会随请求发送,也不随响应返回 2. 只能设置请求头的content-type字段 3. 不能访问响应头信...
深入CORS:历史,工作原理和最好的例子
Czuaphe的博客
05-25 338
学习同源策略和CORS(Cross-Origin-Resource-Sharing)(跨域资源共享)的历史的演变,深入理解CORS和不同类型的跨域访问策略以及一些最好的例子。 文章目录你的浏览器控制台报错了起点:第一个子资源标签域与跨域跨域请求的危害同源策略进入CORS跨域写预请求跨域读如何使用好CORS一些好例子所有请求都允许Keeping it in the familyNULL域跳过Cookies,如果你能的话附加阅读 你的浏览器控制台报错了 我确定你在浏览器的控㓡台见过上面的报错或者它们的变体
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值