CORS

最新推荐文章于 2022-07-12 09:44:57 发布
最新推荐文章于 2022-07-12 09:44:57 发布
阅读量275 收藏
点赞数
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41033913/article/details/105442000
版权

跨站资源请求

文章目录


浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

两种请求

  • 简单请求
  • 非简单请求

简单请求

只包含满足如下:方法和首部字段:

  • HEADGETPOST
  • AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type(application/x-www-form-urlencoded、mutipart/form-data、text/plain)
基本流程

浏览器直接发出CORS请求。就是在头信息中,增加一个Origin字段,用来说明此次请求来自那个源(协议+域名+端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不再许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,浏览器就知道出错了,从而抛出一个错误,被XMLHttpRequestonerror回调函数捕获。(无法通过状态码识别)

如果Origin指定的域名在许可范围内,服务器返回的响应,会多处几个头信息字段。

Access-Control-Allow-Origin:http://xxx.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: xxx
  • Access-Control-Allow-Origin (必须
  • Access-Control-Allow-Credentials
    • 可选,Boolean,标识是否允许发送Cookie
  • Access-Control-Expose-Headers
    • 可选,XMLHttprequest对象getResponseHeader放啊只能拿到6个字段:Cache-Control、Content-language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里指定。
withCredentials属性

CORS请求默认不发送Cookie和HTTP认真信息。如果要把Cookie发送到服务器,一方面要服务器统一,指定Access-Control-Allow-Credentials:true字段

另一方面,开发者必须要Ajax请求中打开withCredentials:true属性

而且服务器设置字段之后,Access-Control-Allow-Origin就不能设置为*

非简单请求

预检请求

非简单请求的CORS是对服务器又特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是Application/json

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用那些HTTP动词和头信息。只要得到肯定答复,浏览器才会发出正式XMLHttpRequest请求,否则会报错

请求字段

  • Access-Control-Request-Method
    • 必须,列出浏览器的CORS请求会用到那些HTTP方法
  • Access-Control-Request-Headers
    • 浏览器CORS请求会额外发送的头信息字段
预检请求的回应

服务器收到预检请求以后,检查Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨域请求,就可以做出回应。

回应:

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header

如何服务器否定了预检请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段,这是,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。

回应字段

  • Access-Control-Allow-Methods
    • 必须,都好分离的字符串,编排是服务器支持的所有跨域请求的方法。
  • Access-Control-Allow-Headers
    • 如果有Access-Control-Request-Headers,那么这个字段是必须的
  • Acces-Control-Allow-Credientials
  • Acces-Control-Max-Age
    • 可选,本次与请求的有效期,单位为秒

一旦服务器通过了预检请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样了。

发送一个Origin头信息字段,服务器响应一个Access-Control-Allow-Origin

与JSONP对比

目的相同,但是比JSONP更强大

JSONP只支持GET请求,CORS支持所有类型的HTTP请求。

JSONP支持老式浏览器,以及可以向不支持CORS的网站请求数据

张小益达
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于CORS利用的一些方法
m0_48520508的博客
07-17 1108
嗨,大家好 我叫Ayoub,我是摩洛哥的安全研究员。在本文中,我将描述两种如何利用CORS错误配置的情况:第一种情况基于XSS,需要在范围之外进行思考,第二种情况是基于高级CORS利用技术。 注意:在开始阅读本文之前,您需要对CORS是什么以及如何利用错误配置有基本的了解。以下是一些很棒的帖子,可让你了解他的用法: https://www.geekboy.ninja/blog/exploiting-misconfigured-cors-cross-origin-resource-sharing/ https
CORS详解及处理方式
weixin_44746704的博客
09-30 483
CORS详解及处理方式 参考:http://javascript.ruanyifeng.com/bom/cors.html CORS(cross-origin resource sharing):跨源资源共享,允许浏览器对不同源的发出XMLHttpRequest请求,也就是克服ajax只能同源使用的限制。 现代浏览器会自动检测是否跨域,并自动完成一些操作。服务端同时对这种请求进行处理。所以需要浏览器端和服务端同时完成。 自动添加一些头部信息 或者多发一次请求 CORS分类 简单请求 请求方式为:
关于浏览器预检(OPTIONS)请求
zhangyangziwo的专栏
06-08 1153
浏览器在什么情况下会发起options预检请求? 在非简单请求且跨域的情况下,浏览器会发起options预检请求。 关于简单请求和复杂请求: 1 简单请求 简单请求需满足以下两个条件 请求方法是以下三种方法之一: HEAD GET POST HTTP 的头信息不超出以下几种字段 Accept Accept-Language Content-Language Last-Event-ID Content-Type: 只限于 (application/x-www-form-urlencode
vuepost请求设置参数为request payload格式_RestBird API接口测试教程-Python预请求脚本示例...
weixin_39602108的博客
11-26 524
本文你可以了解到预请求脚本输入界面设置 Url设置Request Header设置Request 查询参数设置文本Request Body设置 Json Request Body 设置Form-Data Request Body访问变量RestBird不仅支持通过图形界面进行API测试,还支持脚本编程。你可以通过Pre-request, ReponseValidation and PureScri...
浏览器如何区分CORS的简单请求和非简单请求
03-13 2270
只要同时满足以下两大条件,就属于简单请求。(1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-dat
AppScan api登录接口 postman_干货分享--接口学习整理笔记
weixin_39705069的博客
10-22 452
以下为我们老学员上课的笔记,总结的挺全面的~如果正在学或者打算学接口的,可以参考一下~如果有遗漏也请指出~谢谢~欢迎点赞转发哟~接口学习1、 接口的定义:一种完成某些功能的集合。2、 接口的分类:3、 接口的要素:输入;输出4、 接口测试出现的时间线:5、 接口测试的作用:1/初期:尽早发现问题,提高测试效率。2/中期:全面验证,查漏补缺,修改出现的问题。3/后期:全面回归测试,待更新生成。4/生...
简单请求与预检请求
withwz的博客
02-27 3701
预检请求 什么是预检请求? 对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客...
CORS Scanner工具
最新发布
02-21
CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种网络浏览器安全策略,用于限制网页脚本从不同源获取资源的能力。CORS Scanner工具是专门针对这一机制进行检测和分析的软件或插件,它帮助开发者检查并...
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
cors
04-01
**CORS(Cross-Origin Resource Sharing,跨源资源共享)详解** 跨源资源共享(CORS)是一种Web浏览器的安全策略,用于放宽JavaScript的同源策略限制。同源策略是浏览器为保护用户数据安全而设置的一种机制,它禁止...
Apache中配置支持CORS(跨域资源共享)实例
09-15
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的域名、协议或端口)获取资源。在传统的同源策略限制下,浏览器禁止了不同源之间的AJAX请求,以保护用户数据的...
如何确定出现跨域问题 CORS
山茶树和葡萄树
02-20 988
跨域出现问题: 首先:Web 端先确定请求是否开启 credentials,(Requests with credentials) 然后:再确定 API 是否 origins、allowedHeaders、allowCredentials、allowedMethods 之类设定 See Also HTTP访问控制(CORS) - HTTP | MDN Getting Started | Ena...
浏览器中的preflight请求-预检请求
潮汐未见潮落的博客
07-12 7780
浏览器中的preflight请求-预检请求的相关内容
http跨域和预请求相关
qq_40816649的博客
04-19 507
每次浏览器在发送一个请求的时候,都会先发送一个预请求给后台,后台接收到这个预请求判断浏览器的这个请求是否符合后台设定的请求规则,如果符合请求规则,则后台会返回一个允许请求的回调,这样请求就能顺利的进行。 但是有可能来的请求是不符合后台请求规则,比如请求的请求头后台设置了只能post但是浏览器来的请求确实get这样预请求不能通过,请求就会被拒绝于是乎就有了请求方式错误的跨域。后台相关的设置为Acc...
浏览器和服务器实现跨域 CORS 判定的原理
qq_44894516的博客
04-18 269
浏览器和服务器实现跨域 CORS 判定的原理
浏览器和服务器实现跨域(CORS)判定的原理
weixin_33958366的博客
09-06 548
前端对Cross-Origin Resource Sharing 问题(CORS,中文又称'跨域')应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对...
HTTP请求方法OPTIONS预检请求
yinqian_Golang的博客
01-16 5518
浏览器对简单跨域请求和复杂跨域请求的处理区别。 浏览器对复杂跨域请求在真正发送请求之前,会先进行一次预请求,就是参数为OPTIONS的第一次请求,他的作用是用于试探性的服务器响应是否正确,即是否能接受真正的请求,如果在options请求之后获取到的响应是拒绝性质的,例如500等http状态,那么它就会停止第二次的真正请求的访问。 同时满足下列以下条件,就属于简单请求,否则属于非简单请求(参考HTT...
WebComponent简介和使用
我欲乘风破浪
04-15 9208
文章目录什么是组件化阻碍前端组件化的因素webComponent组件化开发实现使用template创建模板创建一个相关的class类直接使用 WebComponent能够提供开发者组件化开发的能力 什么是组件化 组件化没有一个明确的定义,但是一般形容就是:“高内聚,低耦合”,对内各个元素彼此紧密结合、相互依赖,对外和其他组件的联系最少且接口简单。 阻碍前端组件化的因素 在前端虽然HTML、CSS和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值