header('Access-Control-Allow-Origin:*'),理解跨域

最新推荐文章于 2024-01-08 10:34:05 发布
原创 最新推荐文章于 2024-01-08 10:34:05 发布 · 5.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了跨域问题的本质,即浏览器的同源策略导致的限制,并提供了两种常见解决方案:一是通过设置代理绕过浏览器限制;二是利用PHP接口,通过添加特定的HTTP头部允许跨域请求,适用于第三方调用的情况。

1.什么是跨域

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个例子:

http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域)

http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域)

http://abc.123.com/index.html 调用 http://def.123.com/server.php (子域名不同:abc/def,跨域)

http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php (端口不同:8080/8081,跨域)

http://www.123.com/index.html 调用 https://www.123.com/server.php (协议不同:http/https,跨域)

请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。
2.解决方法

(1).代理

例如www.123.com/index.html需要调用www.456.com/server.php,可以写一个接口www.123.com/server.php,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这就是一个代理的模式。相当于绕过了浏览器端,自然就不存在跨域问题。
(2).php接口的脚本中加入

header('Access-Control-Allow-Origin:*');//允许所有来源访问

header('Access-Control-Allow-Method:POST,GET');//允许访问的方式

 

例如:

/**
	 * 获取web上传文件上传大小限制
	 */
	public function getLimit()
	{
		header('Access-Control-Allow-Origin:*');
		$limit = $this->Config->find('list', ['conditions' => ['type' => ['uploadFileSizeLimit', 'uploadChunkSize']], 'fields' => ['type', 'value']]);
		if (empty($limit['uploadFileSizeLimit'])) {
			$limit['uploadFileSizeLimit'] = 1024;
		}
		if (empty($limit['uploadChunkSize'])) {
			$limit['uploadChunkSize'] = 20;
		}
		return $this->jsonResponse(['message' => '获取成功', 'data' => $limit]);
	}

 

因为别的地方可能会用到这个接口(第三方),所以不属于同一个域,加上

header('Access-Control-Allow-Origin:*');

Nginx配置请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx设置Access-Control-Allow-Origin无效的解决办法
09-30
然而,有时在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
(Access-Control-Allow-Origin)解决方案详解
热门推荐
猿in
12-09 7万+
文章目录浏览器的同源安全策略报错解决方案CORSResponse支持springboot支持Java中设置多个Access-Control-Allow-Origin访问基于nginx配置请求的CORSJSONP方案后端接口返回js原生实现jsonpjQuery实现jsonpvue.js实现jsonpJSONP的优缺点其它方式支持 浏览器的同源安全策略 同源策略,它是由Net...
原因:CORS 头缺少 ‘Access-Control-Allow-Origin’ 解决办法
weixin_43545329的博客
04-25 5万+
第一种方法:被请求页面加上下面的代码,最好content填写名; <meta http-equiv="Access-Control-Allow-Origin" content="*"> 第二种方法:在请求控制器加上加上下面的代码; header("Access-Control-Allow-Origin: *"); 第三种方法:IIS、Apache、Nginx可以直接配置Acces...
header('Access-Control-Allow-Origin:*')(什么是?如何解决)
ouxiaoxian的博客
04-16 2万+
1.什么是 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系,举个例子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http:...
header(Access-Control-Allow-Origin:*‘)(什么是?如何解决)
amberom的专栏
08-19 1233
例如www.123.com/index.html需要调用www.456.com/server.php,可以写一个接口www.123.com/server.php,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这就是一个代理的模式。http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php (端口不同:8080/8081,)//允许所有来源访问。...
SpringBootAccess-Control-Allow-Origin实现解析
08-25
SpringBoot Access-Control-Allow-Origin 实现解析 SpringBoot Access-Control-Allow-Origin 实现解析是指在 SpringBoot 框架中解决问题的方法。是指不同名之间相互访问,浏览器不能执行其他...
已解决:No 'Access-Control-Allow-Origin'问题
08-19
总的来说,解决"No 'Access-Control-Allow-Origin'"问题的关键在于理解浏览器的同源策略,并在后端服务器中正确配置CORS策略。在实际开发中,应当兼顾安全性和便利性,根据项目需求来设定合适的策略。
03-解决header(Access-Control-Allow-Origin:*‘)失效问题
我们的目标是星辰大海!
03-23 3009
已经在所调用函数中,添加header('Access-Control-Allow-Origin:*');
tp5 API接口 允许请求 header(Access-Control-Allow-Origin:*“);
weixin_44432032的博客
10-01 1865
在tp的入口文件中添加如下代码 //*可以改成允许的链接 header("Access-Control-Allow-Origin:*"); header("Access-Control-Allow-Methods:GET, POST, OPTIONS, DELETE"); header("Access-Control-Allow-Headers:DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache
Access-Control-Allow-Origin: *
weixin_33811539的博客
04-01 657
access-control-allow-headers: Authorization, Content-Type, Depth, User-Agent, X-File-Size, X-Requested-With, X-Requested-By, If-Modified-Since, X-File-Name, X-File-Type, Cache-Control, Origin access-...
nginx教程:配置项add_header Access-Control-Allow-Origin *的含义
学亮编程手记
09-14 8281
时,浏览器将允许来自任何请求访问响应内容,包括对包含敏感信息的请求的访问。因此,在处理包含敏感信息的请求时,请确保使用更具体的名来限制访问。通配符表示允许来自任何的请求。如果你希望仅允许特定的进行访问,可以将。根据你的需求和应用程序的要求,你可能需要添加其他头部来处理请求。头部之外,还可能需要设置其他相关的头部,例如。请根据你的实际需求和安全要求,适当配置。头部,以允许访问。,表示允许来自任何请求。头部以实现所需的访问控制。请求中的敏感信息:使用。
Nginx配置请求 Access-Control-Allow-Origin *
qq_27008807的博客
12-23 1万+
当出现403错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数,如下:location / { add_header Access-Control-Allow-Origin *; }
Access-Control-Allow-Origin'
baicp3的专栏
05-31 1869
1.本人只想把自己遇到的问题描述一下,但凡自己遇到的问题还是需要细看的具体描述。 2.未涉及nginx转发的时候 需要在后端添加: HttpServletResponse response response.setHeader("Access-Control-Allow-Origin", "*"); 当然依据是springmvc项目还是springboot项目。其实配置不用那么麻...
Access-control-allow-origin:*并没有实际危害(更新)
balance的博客
04-23 6万+
一、网站一般在需要共享资源给其他网站时(传递数据),才会设置access-control-allow-origin HTTP头。而传递数据也可以使用jsonp方式 二、如果www.a.com设置了access-control-allow-origin:* http头, 其他任何包括www.b.com的js就可以使用Ajax技术读取到​www.a.com的数据 三、根据w3...
Nginx配置请求报错Access-Control-Allow-Origin * 怎么解决
1193379199的博客
01-08 3036
另外,规范要求,对那些可能对服务器数据产生副作用的http 请求方法(特别是 get 以外的 http 请求,或者搭配某些 mime 类型的 post 请求),浏览器必须首先使用 options 方法发起一个预检请求(preflight request),从而获知服务端是否允许该请求。服务器确认允许之后,才发起实际的 http 请求。其实上面的配置涉及到了一个w3c标准:cros,全称是资源共享 (cross-origin resource sharing),它的提出就是为了解决请求的。
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 667
传统的Ajax请求只能获取在同一个名下面的资源,但是HTML5打破了这个限制,允许Ajax发起的请求。浏览器是可以发起请求的,比如你可以外链一个外的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许请求。如果这个文件声明“http:/...
遇到带 Access-Control-Allow-Origin: *, 还会报错的情况
q503385724的博客
03-09 2972
Access to fetch at 'http://localhost:8001/bos/orders/count' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Th...
Access-Control-Allow-Origin: * 在哪里设置
最新发布
05-30
### 如何设置 Access-Control-Allow-Origin 标头以解决问题 #### 1. **理解资源共享(CORS)** 资源共享(CORS)是一种安全机制,用于限制浏览器中的 JavaScript 代码从一个源加载的资源访问另一个源的资源。当服务器未正确设置 `Access-Control-Allow-Origin` 标头时,浏览器会阻止请求[^3]。 #### 2. **在服务器端设置 Access-Control-Allow-Origin 标头为 *** 将 `Access-Control-Allow-Origin` 标头设置为 `*` 表示允许所有来源访问资源。以下是几种常见服务器端语言和框架的实现方式: #### 3. **Java Spring Boot 配置 CORS** 在 Spring Boot 中,可以通过以下方式配置 CORS: ```java @Component public class WebMvcConfiguration implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 添加路径规则 .allowedOrigins("*") // 允许所有来源 .allowedMethods("*") // 允许所有 HTTP 方法 .allowedHeaders("*"); // 允许所有请求头 } } ``` 如果需要支持带凭据的请求(如 Cookie),则不能将 `allowedOrigins` 设置为 `*`,而应指定具体的来源名[^1]。 #### 4. **Node.js Express 配置 CORS** 使用 `cors` 中间件可以轻松配置 CORS: ```javascript const express = require('express'); const cors = require('cors'); const app = express(); app.use(cors({ origin: '*' // 允许所有来源 })); app.get('/data', (req, res) => { res.json({ message: 'This is data' }); }); app.listen(3000, () => { console.log('Server is running on port 3000'); }); ``` #### 5. **Python Flask 配置 CORS** 在 Flask 中,可以使用 `flask-cors` 扩展来设置 CORS: ```python from flask import Flask from flask_cors import CORS app = Flask(__name__) CORS(app, resources={r"/*": {"origins": "*"}}) # 允许所有来源 @app.route('/data') def get_data(): return {'message': 'This is data'} if __name__ == '__main__': app.run(port=5000) ``` #### 6. **Apache 和 Nginx 配置 CORS** - **Apache**: 在 `.htaccess` 文件中添加以下内容: ```apache Header set Access-Control-Allow-Origin "*" ``` - **Nginx**: 在 Nginx 配置文件中添加以下内容: ```nginx location / { add_header Access-Control-Allow-Origin *; } ``` #### 7. **注意事项** - 当 `Access-Control-Allow-Origin` 设置为 `*` 时,不能同时设置 `Access-Control-Allow-Credentials: true`[^1]。 - 如果需要支持多个特定来源,可以使用数组或正则表达式进行匹配[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值