前端CORS跨域原理详细分析

已于 2022-04-20 10:22:12 修改
阅读量2.6k 收藏 19
点赞数 3
分类专栏: 浏览器相关 文章标签: 前端 跨域 CORS
于 2022-04-18 09:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41968486/article/details/124240443
版权

前言

一般对于前端来说,解决跨域的方法有以下几种:

  1. 用img或script标签发起get请求
  2. 使用jsonp技术
  3. 配置跨域资源共享CORS

但是JSONP并不是一个好的跨域解决方案,它有着两个严重问题:

  • 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式
  • 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求
    所以,CORS是一种更好的跨域解决方案。

所以 我们一般推荐使用CORS,因为它对不同类型的跨域请求都做了不同的解决方案,下面一起来看看吧~~

概述

CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing跨域资源共享

针对不同的请求,CORS规定了三种不同的交互模式,分别是:

  • 简单请求
  • 非简单请求
  • 附带身份凭证的请求

下面分别说明三种请求模式的具体规范。

简单请求

当浏览器想要发起请求的时候,先判断它属于哪一种请求模式

简单请求的判定

当请求同时满足以下条件时,浏览器会认为它是一个简单请求:

1)请求方法属于下面的一种:

  1. get
  2. post
  3. head

2)请求头仅包含安全的字段,常见的安全字段如下:

  1. Accept
  2. Accept-Language
  3. Content-Language
  4. Content-Type
  5. DPR
  6. Downlink
  7. Save-Data
  8. Viewport-Width
  9. Width

3)请求头如果包含Content-Type,仅限下面的值之一:

  1. text/plain
  2. multipart/form-data
  3. application/x-www-form-urlencoded

如果以上三个条件同时满足,浏览器判定为简单请求。

下面是一些例子:

// 简单请求
fetch("http://crossdomain.com/api/news");

// 请求方法不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
  method:"PUT"
})

// 加入了额外的请求头,不是简单请求
fetch("http://crossdomain.com/api/news", {
  headers:{
    a: 1
  }
})

// 简单请求
fetch("http://crossdomain.com/api/news", {
  method: "post"
})

// content-type不满足要求,不是简单请求
fetch("http://crossdomain.com/api/news", {
  method: "post",
  headers: {
    "content-type": "application/json"
  }
})

简单请求的交互

第一步:当浏览器判定某个跨域请求是简单请求时,会在请求头中会自动添加Origin字段

比如,在页面 http://my.com/index.html中有以下代码造成了跨域

// 简单请求
fetch("http://crossdomain.com/api/news");

请求发出后,请求头会是下面的格式:

GET /api/news/ HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com //Origin字段会告诉服务器,是哪个源地址在跨域请求

第二步:服务器响应头中应包含Access-Control-Allow-Origin
当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段

服务器做出了以下的响应:

HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...

消息体中的数据

当浏览器看到服务器允许自己访问后,于是,它就把响应顺利的交给js,以完成后续的操作;

用图表示整个交互过程

在这里插入图片描述

非简单请求

对于非简单请求,就会按照下面4个步骤进行:

  1. 浏览器发送预检请求,询问服务器是否允许
  2. 服务器响应是否允许
  3. 浏览器发送真实请求
  4. 服务器完成真实的响应

比如,在页面http://my.com/index.html中有以下代码造成了跨域

// 需要预检的请求
fetch("http://crossdomain.com/api/user", {
  method:"POST", // post 请求
  headers:{  // 设置请求头
    a: 1,
    b: 2,
    "content-type": "application/json"
  },
  body: JSON.stringify({ name: "鸿宇哥哥", age: 18 }) // 设置请求体
});

浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互

第一步:浏览器发送预检请求

OPTIONS /api/user HTTP/1.1
Host: crossdomain.com
...
Origin: http://my.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: a, b, content-type

可以看出,这并非我们想要发出的真实请求,请求中不包含我们的响应头,也没有消息体。

这是一个预检请求,目的是询问服务器,是否允许后续的真实请求。

预检请求有以下特征:

请求方法为OPTIONS 没有请求体

  • 请求头中包含 Origin:请求的源,和简单请求的含义一致
  • Access-Control-Request-Method:后续的真实请求将使用的请求方法
  • Access-Control-Request-Headers:后续的真实请求会改动的请求头

第二步:服务器允许

服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式

HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
Access-Control-Allow-Methods: POST
Access-Control-Allow-Headers: a, b, content-type
Access-Control-Max-Age: 86400
...

对于预检请求,不需要响应任何的消息体,只需要在响应头中添加:

Access-Control-Allow-Origin:和简单请求一样,表示允许的源
Access-Control-Allow-Methods:表示允许的后续真实的请求方法
Access-Control-Allow-Headers:表示允许改动的请求头
Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了

第三步:浏览器发送真实请求

预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据

POST /api/user HTTP/1.1
Host: crossdomain.com
Connection: keep-alive
...
Referer: http://my.com/index.html
Origin: http://my.com

{"name": "鸿宇哥哥", "age": 18 }

第四步:服务器响应真实请求

HTTP/1.1 200 OK
Date: Tue, 21 Apr 2020 08:03:35 GMT
...
Access-Control-Allow-Origin: http://my.com
...

添加用户成功

可以看出,当完成预检之后,后续的处理与简单请求相同

用图表示整个交互过程

在这里插入图片描述

附带身份凭证的请求

默认情况下,ajax的跨域请求并不会附带cookie,这样一来,某些需要权限的操作就无法进行

不过可以通过简单的配置就可以实现附带cookie

// xhr
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

// fetch api
fetch(url, {
  credentials: "include"
})

这样一来,该跨域的ajax请求就是一个附带身份凭证的请求

当一个请求需要附带cookie时,无论它是简单请求,还是预检请求,都会在请求头中添加cookie字段
而服务器响应时,需要明确告知客户端:服务器允许这样的凭据,告知的方式也非常的简单,只需要在响应头中添加:Access-Control-Allow-Credentials: true即可

对于一个附带身份凭证的请求,若服务器没有明确告知,浏览器仍然视为跨域被拒绝。

这就是对CORS的详细介绍了~~~,牢牢记住!

西西贝贝Xx
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用CORS解决问题
weixin_34163553的博客
05-02 1170
1.问题 1.1 什么是 是指名的访问,以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 item.jd.com 与 miaosha.jd.com 如果名和端口都相同,但是请求路径不同,不属于...
Apache中配置支持CORS资源共享)实例
01-10
当使用ajax请求时,浏览器报错:XmlHttpRequest error...使用CORS,可以使用普通的ajax实现,这对于前端来说是极大的福音了,这个技术被现在大多数浏览器所普遍支持,因为已经是普遍的要求,浏览器肯定会逐渐
问题详解:CORS问题+解决办法
weixin_45565886的博客
09-29 1万+
问题详解:CORS问题+解决办法
彻底理解前端安全面试题(3)—— CORS资源共享,解决问题,建议收藏(含源码)
最新发布
Karka_的博客
04-23 1049
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 +一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第三篇文章,内容就是 CORS 同源策略。
CORS问题原因和解决方案
蔚然成风
06-21 1万+
Springboot问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTT
什么是CORS)?怎么解决CORS)?
qq_54281798的博客
03-19 2747
什么是CORS)? 页面
CROS 前后端交互,不可不知的问题及其解决方案详解
FeelTouch Labs
10-19 1715
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是而导致的问题!对于前后端分离时,而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决问题之前,我们先来了解一下何为问题,怎么产生的问题,怎么解决这个问题。CORS是一个W3C标准,全称是。
如何解决CORS问题
superioc的博客
03-30 1139
:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
SpringBootJsonp和Cors的方法
10-16
本文将深入探讨如何在SpringBoot框架中解决问题,主要涉及两种方法:JSONP和CORS。 ### JSONP(JSON with Padding) JSONP是一种解决问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
前端的几种解决方式总结(推荐)
08-29
前端的几种解决方式总结 同源策略是 JavaScript 中的一种安全策略,由 Netscape 提出的。它规定了 A 网站下的 JS 文件只能操作 A 网站下的数据,不能去操作 B 网站的数据。同源策略是为了防止恶意网站修改银行...
解决方案Jsonp原理解析
10-15
# 解决方案:Jsonp原理解析 在Web开发中,浏览器的安全策略——同源策略(Same-Origin Policy)限制了JavaScript从不同源获取数据的能力。这意味着,如果一个网页的脚本试图访问另一个不同源的资源,浏览器会...
cors实现的
06-27
cors
请求解决方案源代码(JSONP,CORS
08-15
http://blog.csdn.net/shuai_wy/article/details/51186956 博客源码
深入分析JSONP原理
10-25
下面我们将深入解析JSONP的原理和工作流程。 ### JSONP的起源与原理 同源策略是浏览器为保障用户数据安全而设置的一种机制,它限制了JavaScript只能访问与自身相同协议、名和端口的资源。然而,随着Web应用的...
资源共享 CORS 详解
程序员路同学
01-27 412
1 什么是 浏览器因为安全考虑,所有设置了同源策略,同源策略简单理解就是 名,端口号,协议 完全相同就是称为同源 同源下的页面质检可以进行Js的dom操作,如果不在同一个源下的任何文档dom访问都被组织,不同源下的访问就称为请求 请求 分为以下几个方面 端口号不同 http://www.baidu.com/a.js - http://www.baidu.com:8080/b.js 主相同子不同 http://www.baidu.com/a.js - htt...
CORS解决的几种实现方式
m0_59508658的博客
08-19 7343
目录 一、什么是 二、同源策略 非同源限制 三、的解决办法 CORS 3.1、两种请求 3.1.1、简单请求 3.1.2、非简单请求 3.2、CORS常用解决的方法 3.2.1、HttpServletResponse添加头信息 3.2.2、使用Spring注解@CrossOrigin 3.2.3、通过配置类解决 一、什么是 当一个请求的url的协议、名、端口任意一个与当前页面的url不同即为 a页面想获取b页面的资源,a与b页面的协议、名或端口
【9大解决方案】CORS解决原理
2024路在何方
04-02 4154
cors笔记(开发中最常用,安全性高,主要靠服务端做手脚) 什么是CORSCORS即“资源共享”,这是一种最常用的实现方式,一般需要后端人员在处理请求数据的时候,添加允许的相关请求头信息。大致思路是这样的:首先获取请求对象的信息,比如Origin字段,通过预先配置的参数判断请求是否合法,然后设置相应对象response的头信息,实现资源请求。 响应头设置 Access-C...
前端和后端之间的CORS 和解决办法
0
01-19 1463
源资源共享CORS,或通俗地译为资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他源(、协议或端口),使得浏览器允许这些源访问加载自己的资源。源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。是指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
什么是解决方法
热门推荐
越努力,越幸运!
12-14 43万+
一、为什么会出现问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个的javascript脚本和另外一个的内容进行交互。所谓同源(即指在同一个)就是两个页面具有相同的协...
uniapp中请求cors解决方法
09-20
### 回答1: 在 uni-app 中,解决请求的方法有以下几种: 1. 使用 jsonp 请求 2. 使用代理,在本地启动一个服务器来作为代理,发起请求时以本地服务器为中介,避免的限制 3. 在服务器端配置,如果服务器端允许,则可以在服务器端设置 HTTP header,允许访问。例如,在 Express.js 中可以使用 cors 中间件来实现。 如果你想深入了解请求的原理,你可以参考以下资料: - 资源共享 (CORS):https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS - HTTP 访问控制 (CORS):https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS - 请求的简单请求与预检请求:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS/Simple_requests_and_preflight_requests ### 回答2: 在uni-app中请求解决方法有以下几种: 1. 使用uni.request方法发送请求时,在请求header中添加"Access-Control-Allow-Origin"字段,允许指定的名或通配符"*",例如: ``` uni.request({ url: 'http://example.com/api', method: 'GET', header: { "Access-Control-Allow-Origin": "*" }, success: function(res) { console.log(res.data); } }); ``` 2. 在uni-app的开发配置文件manifest.json中,添加"networkTimeout"字段来配置请求的超时时间,例如: ``` "networkTimeout": { "request": 10000, "connectSocket": 10000, "uploadFile": 10000, "downloadFile": 10000 } ``` 3. 使用uni.request方法发送请求时,设置withCredentials为true,开启请求携带cookie功能。但需要注意服务器端也需要设置响应头允许接收cookie,例如: ``` uni.request({ url: 'http://example.com/api', method: 'GET', withCredentials: true, success: function(res) { console.log(res.data); } }); ``` 4. 在uni-app的开发配置文件manifest.json中,添加"filters"字段配置全局过滤器来处理请求,例如: ``` "filters": { "request": { "origin": "*", "x-requested-with": "*", "content-type": "application/json" } } ``` 以上是一些常用的uni-app中处理cors请求的方法,根据具体情况选择适合的解决方案。 ### 回答3: 在UniApp中解决问题可以通过配置服务器设置CORS资源共享)来实现。 首先,在后端服务器上设置CORS。在服务器返回响应时,需要在响应头中添加相关的CORS头信息,允许前端访问该接口。常见的CORS头信息包括:Access-Control-Allow-Origin、Access-Control-Allow-Headers、Access-Control-Allow-Methods等。具体配置方法可以根据后端服务器的不同而有所差异,请根据服务器文档进行设置。 其次,在UniApp中发起请求时,需要在请求头中添加Origin字段表示请求的源地址。同时,UniApp默认会在请求头中自动添加Referer字段来表示访问来源,可根据需要进行调整。 另外,UniApp还提供了特定的API来设置请求的配置,可以通过修改uni.request方法的header参数或通过配置uni.request.defaults.header来添加请求头,以适应不同的CORS设置。 需要注意的是,前端涉及到请求时,在接口上必须进行预检请求(Preflight Request)的检测,包括发送一个OPTIONS请求以校验服务器是否允许当前请求。 总结起来,解决UniApp中的CORS问题,需要在后端服务器进行相关CORS设置,并在UniApp中添加请求头信息,确保请求能够正常访问后端接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值