4 / 11 详讲cors跨域资源共享

最新推荐文章于 2023-04-03 21:42:03 发布
最新推荐文章于 2023-04-03 21:42:03 发布
阅读量214 收藏
点赞数
分类专栏: 计算机网络 # js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41257129/article/details/105464659
版权
前面的话

前端日问,巩固基础,不打烊!!!

解答

之前小柒也总结过九种跨域方法(里面有相关实例),这篇文章参考阮一峰老师的文章详细梳理一下cors。

简述

cors - 跨域资源共享,需要浏览器和服务器同时支持, 这种通信方式原理其实就是通过自定义http的头部来进行通信。

两种请求
  • 简单请求:比如POSTGETHEAD
  • 非简单请求:比如PUTDELET或者Content-Type字段类型为application/json
简单请求

如果是简单请求的,浏览器直接发出CORS请求,会自动带上Origin字段(指定请求来自哪个域名)。

当服务端收到响应后:

  • 如果Origin指定的源不在服务器允许的范围内,那么服务端会返回一个正常的HTTP回应。但是这个响应是不带Access-Control-Allow-Origin字段的,浏览器发现响应头没有包含这个字段,就知道出错了,就会抛出一个错误。(这个错误是由XMLHTTPRequest的onerror回调函数捕获的)。

  • 如果Origin指定的源在服务器允许的范围内,那么服务端返回的响应头就会带上。Access-Control-Allow-Origin字段,指定为Origin字段的值,或者是* 表示接受任意域名的请求。(这个字段是必须的

    还可以携带其他的字段:比如Access-Control-Allow-Credentials(允许携带cookie) 、Access-Control-Expose-Headers(允许XMLHTTPRequest对象的getResponseHeader()拿到响应头的其他字段的值)。

跨域如何携带cookie

如果想要携带cookie,必须浏览器与服务器同时支持

  • 浏览器必须开启XMLHTTPRequest对象的WithCredentials属性值为true.

     xhr.withCredentials = true;// 前端设置是否带cookie

  • 服务器响应头要携带Access-Control-Allow-Credentials字段的值为true.

      // 允许携带cookie
  res.setHeader('Access-Control-Allow-Credentials', 'true');

注意:如果携带了cookie,那么服务器的Access-Control-Allow-Origin字段就不能设置为*,必须指明的域名。

非简单请求
预检请求

如果是非简单请求,那么正式的CORS通信前,会进行一次预检请求。浏览器会先询问服务器,当前请求的域名是否被服务器所允许,如果服务器允许的话,才会进行正式的通信。

看一段浏览器的脚本文件:

var  url = "http://localhost:8084";
var xhr = new XMLHTTPRequest();
xhr.open("PUT",url,true);
// 设置自定义请求头字段:name
xhr.setRequestHeader('name',"xiaoqi")
xhr.send();

浏览器发现这是一个非简单请求,就会自动发出一个预检请求,预检请求的方法是OPTIONS。

针对上面的脚本,对应预检请求头信息:

OPTIONS /cors HTTP/1.1
Origin: http://localhost:8081
Access-Control-Request-Method: PUT 
Access-Control-Request-Headers:name
Connection:keep-alive

可以看到,除了Origin字段外,还包括两个特殊的字段:Access-Control-Request-Method该字段必须,用来列出浏览器CORS请求会用到的HTTP请求方法)、Access-Control-Request-Headers(指定浏览器CORS请求会额外发送的头信息字段)

预检请求回应

服务器相应的头信息设置,服务器设置,哪些域名可以访问,支持的方法,是否可以携带cookie等

  		// 设置哪个源可以访问我
        res.setHeader('Access-Control-Allow-Origin', origin);
        // 允许携带哪个头来访问我
        res.setHeader('Access-Control-Allow-Headers', 'name');
        // 允许哪个方法访问我
        res.setHeader('Access-Control-Allow-Methods', 'PUT');
        // 允许携带cookie
        res.setHeader('Access-Control-Allow-Credentials', 'true');
        // 预检的存在时间
        res.setHeader('Access-Control-Max-Age',6);
        // 允许返回的头
        res.setHeader('Access-Control-Expose-Headers', 'name');

当服务器收到预检请求之后,会检查OriginAccess-Control-Request-MethodAccess-Control-Request-Headers字段后,如果允许,就会做出回应:

响应头会带上的字段有:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://localhost:8081 
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Headers: name
Access-Control-Allow-Credentials: true
...

如果预检请求没有被通过,服务器会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会知道服务器不同意这次预检,返回一个错误,被XMLHttpRequest对象的onerror回调函数捕获 。

正常请求

服务器通过预检请求,以后每次浏览器正常CORS请求,都会和简单请求一样,会有一个Origin字段,服务器的回应也会有Access-Control-Allow-Origin头信息字段

crazy的蓝色梦想
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域资源共享漏洞验证测试
afei001
01-17 3240
目录 1.前言 2.CORS漏洞概述 3.漏洞验证 3.1 curl指定Origin验证 3.2 Burpsuite抓包验证 3.3 CORS_Scanner工具验证 4.CORS_POC.html 5.漏洞修复 1.前言 之前在对网站进行安全性测试时,使用AWVS漏扫发现存在一个CORS跨域资源共享漏洞。记录一下验证及修复方式。 afei 漏洞等级:高危 2.CORS漏洞概述 CORS(跨源资源共享)定义了一种机制来支持客户端跨源...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
CORS 跨域资源共享
sekever的博客
04-03 530
浏览器一般使用 CORS跨域资源共享)来处理跨域问题。同源导致了不同源数据不能互相访问,而在开发中我们很多时候需要用第一个页面的脚本访问第二个页面里的数据,所以制定了一些允许跨域的策略。
项目实战之前后端分离/token令牌/cors跨域资源共享
奋斗的小鸟
09-25 1287
文章目录1,前后端分离1.1 什么是前后端分离前后端请求分离与不分离示意图:前后端分离前后端不分离1.2 优点1.3 分离常见问题1.4 实现方式2,token - 令牌学前须知:2.1 JWT - json-web-token1,三大组成2,jwt结果格式3,校验jwt规则jwt优化及其检验4,pyjwt3, CORS - Cross-origin resource sharing - 跨域...
CORS跨域资源共享
weixin_46511008的博客
05-09 1119
CORS跨域资源共享 1、 接口的跨域问题 (1)编写的 GET 和 POST 接口,存在一个很严重的问题:不支持跨域请求。 解决接口跨域问题的方案主要有两种: ① CORS(主流的解决方案, 推荐使用 ) ② JSONP(有缺陷的解决方案:只支持 GET 请求) (2)这里主要分析使用 CORS 解决跨域的问题。 2、使用 cors 中间件 解决跨域问题 cors 是 Express 的一个第三方中间件。通过安装和配置 cors 中间件,可以很方便地解决跨域问题。
Cors跨域资源共享
pscool的博客
01-03 1102
cors跨域资源共享
跨域资源共享 CORS 详解
09-02
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
CORS跨域资源共享及解决方案.docx
10-26
CORS跨域资源共享及解决方案.docx
Apache中配置支持CORS跨域资源共享)实例
01-10
当使用ajax跨域请求时,浏览器报错:XmlHttpRequest error...使用CORS,可以使用普通的ajax实现跨域,这对于前端来说是极大的福音了,这个技术被现在大多数浏览器所普遍支持,因为跨域已经是普遍的要求,浏览器肯定会逐渐
HTTP 2.0 与HTTP1.1的差别
小柒的前端之旅
12-07 3464
前面的话 在说HTTP2.0前,先说一说发展到HTTP1.1做了哪些升级。 HTTP1.1的升级 目前使用最广泛的HTTP1.1做了哪些重大升级? 默认长连接。HTTP1.0也提供长连接,但是默认是短连接,要想长连接必须将头部的connection设置为keep-alive。而HTTP1.1默认开启connection:keep-alive,不用设置。 强制设置Host请求首部字段。Host字段...
经典的Head-of-line blocking问题
小柒的前端之旅
12-08 3339
前面的话 在tcp协议中有队头阻塞问题,但是HTTP1.1中也有类型的队头阻塞问题,小柒在这里总结一下。 TCP队头阻塞 TCP的队头阻塞发生: 当一个TCP分节丢失的时候,因为TCP是可靠传输,所有后续分节将被接收端一直保存,直到丢失的第一个分节被发送端重传并且到达接受端为止才会继续被传输。 这种可靠的传输机制确保接收应用进程能够按照发送端的发送顺序接受数据。虽然可靠但是也有不利之处。 比如说,...
DNS解析及优化
小柒的前端之旅
01-28 2815
前面的话 我们都知道TCP/IP中使用的是套接字(IP地址与端口号)来进行tcp连接,那为什么不使用域名来直接通信呢? 原因有以下两点: IP地址的长度固定,IPV4是32位,IPV6是128位;而域名是变长的,不便于计算机处理 IP地址对于用户来说不方便记忆,但是域名便于用户记忆,例如www.baidu.com是百度的域名。 总结: ip地址是面向主机的,而域名则是面向用户的。 hosts文......
DDOS与CDN
小柒的前端之旅
01-28 1197
前面的话 在前一篇文章提到,DDOS攻击可能造成域名解析瘫痪,下面来说一下DDOS。 DDOS 阮一峰老师的文章中举了餐厅容量的例子来解释DDOS: 举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅, 找一张桌子坐下点餐,马上就可以吃到东西。很不幸,我得罪了一个流氓。他派出300个人同 时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容...
跨域9大解决方案(超详细) 总结
小柒的前端之旅
01-22 1098
前面的话 我们经常听到跨域这词,这是由于浏览器同源策略限制的一类请求场景。这样做的目的使得 浏览器不容易受到攻击。 什么是同源策略? 同源策略(sop Same origin policy)是一种约定,所谓同源是指“协议、域名、端口”三者都相同,如果没有同源策略,浏览器很容易受到XSS、CSRF等攻击。 同源策略限制了什么? 1)Cookie、LocalStorage和IndexDB无法获取 2)...
计网笔记 网络层(中)
小柒的前端之旅
06-22 745
前面的话 这篇文章继上一篇,是关于网络层的其他知识的梳理。 【目录】 1.划分子网 2.使用子网时分组的转发 3.无分类域间路由选择CIDR(构造超网) 4.网际控制报文协议ICMP 划分子网 前面讲到的两级IP地址,由网络号与主机号组成。两级IP地址的设计不合理: ● IP地空间利用率低 ● 给每一个物理网络分配一个网络号会使路由表变得太大而是网络性能变坏 ● 两级IP 地址不够灵活 为解决这些...
前端也需要懂,负载均衡与Nginx反向代理
小柒的前端之旅
03-31 742
前面的话 常常听说负载均衡与反向代理,通过这篇文章一起体验一番。文章后面的小实例,可以体验一把Nginx是如何负载均衡的。 正向代理 举个例子: 比如你要直接访问一个外网,但是被限制了,你只好去找一个代理服务器(这个代理服务器可以与你要访问的网站通信),把请求发给代理服务器,由代理服务器代替你去请求,最终再由代理服务器将响应返回给你。这个过程就是一次正向代理。 正向代理的特点:代理的是客户端,代客...
TCP的三次握手与四次挥手
小柒的前端之旅
12-11 685
前面的话 TCP连接的三次握手与四次挥手面试也是常考的,小柒查阅了许多资料全面的总结一下。 TCP报文段的首部格式 在介绍三次握手和四次挥手前,先介绍一下TCP报文的相关知识。 TCP虽然是面向字节流的,但是TCP传送的数据单元却是报文段。一个报文段分为首部和数据两部分,而TCP的全部功能都体现在它的首部中各字段的作用。其首部的前20个字节是固定的。 源端口与目的端口:各占2个字节,分别写入源...
Ajax的工作原理以及优缺点
小柒的前端之旅
11-06 614
前面的话 我们都知道JavaScript运行环境是单线程的,就像一条流水线一样,只能一个任务完成后,再接着下一个任务。了解js的运行机制之后,我们再来聊一聊Ajax. 什么是Ajax Ajax(Asynchronous JavaScript and XML) = 异步的 JavaScript + XML Ajax不是一种新语言,而是一种在无需加载整个网页的情况下,能够更新部分网页的技术。 通过后...
cors跨域资源共享配置不当
最新发布
09-08
CORS跨域资源共享配置不当可能会导致一些安全问题。近年来,在渗透测试报告中发现了越来越多的CORS跨域资源共享漏洞。有些开发人员在写报告时可能会将CORS跨域资源共享漏洞提及,但对于以下几个问题缺乏明确的解释。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值