跨域

最新推荐文章于 2023-10-10 16:32:33 发布
最新推荐文章于 2023-10-10 16:32:33 发布
阅读量137 收藏
点赞数
分类专栏: 前端 网络 文章标签: 网络 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33262202/article/details/90672837
版权
什么是跨域?

所谓跨域,就是网站的协议名(protocol:如http://)、域名(host:如 www.example.com)、端口号(port:例如80,默认端口可以省略)这三者中任意一个不同,网站之间的数据传输或者请求就属于跨域请求了。
这是由于浏览器的同源策略,为了防范跨站脚本的攻击,禁止客户端对不同源的服务器进行跨站调用,但是跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发送,但是返回结果被浏览器拦截了。
如果是非同源,共有三种行为受到限制:

  • cookie、localStorage和IndexedDB无法读取
  • DOM无法获得
  • AJAX请求不能发送

既然我们知道了什么是跨域,在实际的开发过程中我们又会无法避免跨域请求,那么怎么解决这个限制呢,其中有一个方法就是CORS。

CORS 跨域资源共享

CORS (Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。
背后的思想是使用自定义的http头部,让服务器能声明哪些来源可以通过浏览器访问该服务器上的资源,从而决定请求或相应是应该成功还是失败。
接下来我们介绍CORS的内部机制

1. 简介

CORS需要浏览器和服务器同时支持。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与,对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。
实现CORS通信的关键是服务器,只要服务器实现了CORS接口,就可以实现跨域通信。

2. 两种请求

浏览器将CORS分成两类:简单请求(simple request)和非简单请求(not-so-simple request),只要同时满足以下两大条件(日常开发一般只关注这两点,所以这里只说这两点),就属于简单请求

  1. 请求方法是这三种之一:HEADGETPOST
  2. 只使用了如下的安全首部字段,不得人为设置其他首部字段
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type :仅限于text/plainmultipart/form-dataapplication/x-www-form-urlencoded三种
  • HTML 头部 header filed 字段:DPRDownloadSave-DataViewport-WidthWidth

凡是不同时满足以上条件,就属于非简单请求

3.简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。例如:

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

在上面这段头信息中,Origin字段表示本次请求来自哪个源。如果这个源不在服务器许可范围内,会返回一个正常http回应(不包含Access-Control-Allow-Origin字段),浏览器接收后发现没有这个字段,就会抛出错误(这个错误无法通过状态码识别,因为http回应中的状态码有可能是200)。
如果这个源在许可范围内,服务器返回的响应,会多几个头信息字段:

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

在这个头信息中,有三个与CORS请求相关的字段,都以Access-Control-开头。
3.1 Access-Control-Allow-Origin
该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
3.2 Access-Control-Allow-Credentials
该字段可选,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中,如果服务器明确许可客户端发送Cookie,就要把这个值设为true;如果不许可,就不要添加这个字段。(因为这个字段的值只能被设为true)
3.3 Access-Control-Expose-Headers
这个字段可选,这个值表示了XMLHttpRequest对象的getResponseHeader()方法能拿到的某个字段,因为这个方法本来是只能拿到6个基本字段(Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma)。有了上面这个响应值,getResponseHeader('FooBar')可以返回FooBar字段的值。
withCredentials 属性
如果要把cookie发到服务器,除了3.2中的字段值的设置表示服务器许可,还要开发者必须在 AJAX请求中打开withCredentials 属性

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

如果不想要浏览器发送cookie,就要设置这个属性值为false。
注意:
如果要发送cookie,3.1的字段值就不能设置为 * 号,必须指定明确的、与网页请求一致的域。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

4. 非简单请求

4.1 预检请求
非简单请求是那种需要对服务器有特殊要求的请求,比如请求方法是PUTDELETE,或者Content-Type字段的类型是application/json。这种会在正式通信之前,增加一次HTTP查询请求,称为“预检请求(preflight)”。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段
比如对于下面这样一个非简单请求

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

浏览器会自动发出一个预检请求,预检请求必须使用OPTIONS方法,用来询问,例如对应上面这个非简单请求的预检请求:

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

除了Origin字段,"预检"请求的头信息包括两个特殊字段:
(1). Access-Control-Request-Method
必须字段,列出浏览器的CORS请求会用到哪些HTTP方法,这里是PUT
(2). Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,这里是X-Custom-Header

4.2 预检请求的回应
服务器收到请求后,检查了楼上三个字段,确认允许跨域请求,就可以做出回应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

这里面关键是的Access-Control-Allow-Origin字段,同3.1
(1). Access-Control-Allow-Methods
该字段必需,表明服务器支持的所有跨域请求的方法,而不单是浏览器请求的那个方法,这是为了避免多次"预检"请求。
(2). Access-Control-Allow-Headers
如果预检请求中有这个字段,则响应中这个字段是必须的,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。
(3). Access-Control-Allow-Credentials
3.2
(4). Access-Control-Max-Age
可选,用来指定本次预检请求的有效期,单位为秒,在此期间,不用发出另一条预检请求。

如果预检请求被否定,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段,浏览器就知道预检请求被否定了。

4.3 浏览器的正常请求和回应
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

5.完整请求流程

在这里插入图片描述
http://www.ruanyifeng.com/blog/2016/04/cors.html

xxxxxxxx.yy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是跨域? 出现原因及解决方法
别来沾边儿
12-26 645
同源策略(Same Orgin Policy)是一种约定,它是浏览器核心也最基本的安全功能,它阻止一个域的js脚本和另外一个域的内容进行交互,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。通常为了减轻web服务器的负载,我们把js、css、图片等静态资源分离到另一台独立域名的服务器上,在html页面中再通过相应的标签从不同域名下加载静态资源,而被浏览器允许。浏览器可以访问a,而服务器之间不存在跨域问题,浏览器先访问a的服务器c,让c服务器作为代理去访问b服务器,拿到之后再返回数据给a。
关于跨域问题(包括端口和域名跨域)
weixin_30952103的博客
09-07 913
关于跨域问题(包括端口和域名跨域)   1、C#语言跨域 我估计任何语言在返回头加这个都可以解决跨域问题     //完全跨域设置 包括跨域名和端口 HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*"); //跨域名 HttpContext.Current.Response.A...
跨域知识点
bintown的博客
08-10 207
跨域
跨域问题
xunrenbuyu的博客
07-19 1833
跨域指:跨域名访问 包括:域名不同 域名相同,端口不同 二级域名不同 不包括:域名端口相同,路径不同 起因: 浏览器对于ajax请求的一种限制,一个网站的ajax请求,只能用于同域名的路径,这能有效阻止跨站攻击 跨域问题只针对ajax 触决方案:三种 jsonp 最早的,利用script标签可以跨域的原理(限制:需要服务支持,只能是get请求) nginx反向代理:利用反向代理...
什么是跨域
最新发布
weixin_56670311的博客
10-10 98
浏览器出于安全考虑实施了同源策略(Same-Origin Policy),即网页只能访问自身源相同的资源,而不能直接访问其他源的资源。跨域(Cross-Origin)指的是在浏览器环境下,当一个网页的源(origin)与正在访问的资源的源不一致时,就出现跨域问题。需要注意的是,跨域访问是一种潜在的安全风险,因此在开发中需要谨慎处理跨域请求,并确保合适的安全措施已被实施。3.反向代理:通过在同源服务端进行请求转发,绕过浏览器的同源策略。1.来源不同的域名:例如,从。3.协议不同:例如,从。
ArcGIS Server 10.2跨域jar包
09-25
在这个场景中,我们关注的是"跨域jar包",这涉及到网络应用中的跨域资源共享(CORS)策略。 跨域是Web应用程序的基本安全机制,它防止了一个源(如浏览器中的JavaScript)访问另一个源(如不同域名的服务器)的数据...
geoserver跨域问题jar包
06-25
标题中的“geoserver跨域问题jar包”指的是在使用GeoServer时遇到的跨域(Cross-Origin)限制问题。GeoServer是一款开源的地理信息系统(GIS)服务器,它允许用户发布地图服务并与其他Web应用程序交互。当不同的源...
pdf.js 跨域版本
04-16
这个"pdf.js 跨域版本"是基于 PDF.js 的 2.9.8 版本进行了一定的修改,其主要特点是去掉了原本的跨域限制,使得在不同域名下可以正常加载和展示 PDF 文件。这对于开发者来说,尤其在处理来自不同源的 PDF 内容时,是...
Vue中跨域及打包部署到nginx跨域设置方法
01-19
众所周知,我们在做前后端分离项目的时候,经常需要在本地起前端工程,接口希望拉取服务端的实际数据而不是本地的mock数据,而如果本地程序直接访问远程接口, 肯定遇到跨域问题。 什么是跨域?实现跨域的多种方式? ...
什么是什么是跨域
qq_51763473的博客
12-19 2125
跨域是指跨域名的访问 域名不同,域名相同,端口不同。二级域名不同都属于跨域。 如果域名和端口都相同但是请求路径不同不属于跨域跨域不一定有跨域问题,跨域问题是针对ajax的一种限制 解决跨域问题方案 1.jsonp 利用script标签可以跨域的原理实现 限制:需要服务的支持 只能发起GET请求 2.nginx 反向代理 利用nginx反向代理把跨域为不跨域,支持各种请求方式 缺点:需要在nginx进行额外配置,语义不清晰 3.CORS 规范化的跨域请求解决方案,安全可靠。 优势:在服务端进行控制是
什么是跨域以及为什么出现跨域以及跨域的解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都产生跨域跨域举例: 2.为什么出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
网络协议——跨域
GoodLuck_wu5的博客
08-25 342
什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,域名,协议,端口均相同。 不明白没关系,举个例子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域) http://abc.123.c
什么是跨域?怎么解决跨域问题?
热门推荐
L瑜
06-15 27万+
什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com
关于跨域端口问题
weixin_42174815的博客
08-01 3518
写在文章之前 ​ nginx相信大家并不陌生,但nginx到底有什么用,和tomcat有什么区别,笔者最近遇到了这些问题,在此总结下。还有关于跨域和前后端交互不清楚的,相信有所收获。 环境: 开发工具:Intellij IDEA 2019.3 jdk:1.8.0_181 springboot: 2.1.11 springcloud:Finchley.RC1 一、端口问题 1.1 nginx解决端口问题 域名问题解决了,但是现在要访问后台页面,还得自己加上端口:http://manage.ta
关于服务器header部分解释
sjpeter的专栏
01-31 426
消息头 描述 示例 Accept 用户代理期望的MIME 类型列表 Accept:application/json;charset=utf-8 Accept-CH 列出配置数据,服务器可据此来选择适当的响应。 Accept-CH: DPR, Width,Viewport-Width Accept-Encoding 列出用户代理...
用CSS实现三角形、等腰梯形等根本原理以及编码实现
qq_33262202的博客
04-17 1870
实现原理 关键实现因素在于border的top right left bottom属性,看下面这样一段css样式: .triangle { height: 0px; width: 0px; border-top: 50px solid gold; border-right: 50px solid gray; border-bottom: 50px solid...
Jquery跨域请求解决方法
"这篇资源主要讲述了在jQuery中如何解决跨域请求的问题,作者在本地测试时可以直接获取到远程服务器的数据,但在项目中遇到无响应的情况,初步判断为跨域问题。尝试使用$.getJSON方法未果后,作者转向服务器端解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值