【CORS跨域】

最新推荐文章于 2022-10-18 21:22:26 发布
最新推荐文章于 2022-10-18 21:22:26 发布
阅读量143 收藏
点赞数

JSONP跨域只能使用GET提交,而且传输数据量小,另一种跨域方案——CORS
相对于JSONP,CORS支持POST提交,而且用起来非常简单,CORS跨域只需要在响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allow-Origin,就可以跨域操作了。

CORS是W3C标准,全称是跨域资源共享(Cross-origin resource sharing),它允许浏览器向跨源服务器发送XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

实现CORS跨域的关键是服务器,只要服务器实现了CORS接口,就可以跨域通信。

浏览器将CORS请求分为两类:简单请求和非简单请求。

简单请求

只要同时满足以下两个条件,就属于简单请求:
(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。浏览器对这两种请求的处理,是不一样的。

简单请求

基本流程

对于简单请求,浏览器直接发出CORS请求,具体来说,就是在头信息中,增加一个origin字段。
下面是一个例子:浏览器发现这次跨域AJAX请求是一个简单请求,就自动在头信息中加入一个origin字段
在这里插入图片描述
origin字段说明,本次请求来自于哪个源(协议+域名+端口)。服务器根据这个值,决定是否同意这次请求。
如果origin指定的源不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器会发现这个回应的头信息 ,没有包含:Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码可能是200。

如果origin指定的域名在许可范围内,服务器返回的响应就会多出几个头信息字段。
在这里插入图片描述
上面的头信息中,有三个与CORS相关的字段,都以Access-Control-开头。
(1)Access-Control-Allow-Origin
它的值是必须的,它的值要么是请求是Origin字段的值,要么是一个*,表示任何域名的请求。

(2)Access-Control-Allow-Credentials
该字段可选,它的值是一个布尔值,表示是否允许发送cookie。默认情况下,cookie不包含在CORS请求中,设为true,表示服务器明确许可cookie明确许可cookie可以包含在请求中发送给服务器。这个值也只能设为true,如果服务器不要浏览器发送cookie,删除该字段即可。

(3)Access-Control-Expose-Headers
该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到六个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想要拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

withCredentials属性

上面说到,CORS默认不发送cookie。如要要把cookie发送到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段为true。

Access-Control-Allow-Credentials:true;

另一方面,开发者必须在AJAX请求中打开withCredentials属性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否则,即使服务器同意发送cookie,浏览器也不会发送cookie。
但是,如果省略withCredentials设置,有的浏览器还是会发送cookie到服务器,这时,可以显式关闭withCredentials

xhr.withCredentials = false;

需要注意的是,如果要发送cookie,Access-Control-Allow-Origin就不能设置为*,必须制定明确的,与请求网页一致的域名。

非简单请求

预检请求
非简单请求是对服务器有特殊要求的请求,比如请求方法是PUT或者DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为“预检请求”。

浏览器先询问服务器,当期网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定恢复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

下面是一段浏览器的JavaScript脚本

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代码中,HTTP请求的方法是PUT。并且发送一个自定义头信息X-Custom-Header。
浏览器发现这是一个非简单请求,就自动发送一个“预检请求”,要求服务器确认可以这样请求。下面是这个“预检请求”的HTTP头信息。
在这里插入图片描述
“预检请求”所用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里,关键字段是origin,表示请求来自哪个源。除了origin字段,“预检请求”的头信息包括两个特殊字段。
(1)Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些方法,上例是PUT。
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header

预检请求的回应
服务器收到预检请求后,检查了Origin、Access-Control-Request-Method、Access-Control-Request-Headers字段以后,确认允许跨域请求,就可以作出回应。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回应中,关键的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以请求数据,该字段也可以设置为*,表示同意任意跨源请求。
如果浏览器否定了“预检请求”,会返回一个正常的HTTP回应但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被 XMLHttpRequest对象的onerror回调函数捕获。控制台会打印出如下报错信息:

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服务器回应的其他CORS相关字段如下:

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

(1)Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

(2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

(3)Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

(4)Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求

浏览器的正常请求和回应
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

下面是"预检"请求之后,浏览器的正常CORS请求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面头信息的Origin字段是浏览器自动添加的。
下面是服务器正常的回应。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面头信息中,Access-Control-Allow-Origin字段是每次回应都必定包含的。

CORS和JSONP比较

CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求,JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

总的来说,使用CORS简单请求,非常容易,对于前端来说无需做任何配置,与发送普通ajax请求无异。唯一需要注意的是,需要携带cookie信息时,需要将withCredentials设置为true即可。CORS的配置,完全在后端设置,配置起来也比较容易,目前对于大部分浏览器兼容性也比较好。CORS优势也比较明显,可以实现任何类型的请求,相较于JSONP跨域只能使用get请求来说,也更加的便于我们使用。

原文:https://www.cnblogs.com/keyi/p/6726089.html

Lxq~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cors-request:一个最小的、无依赖的、跨浏览器的 CORS HTTP 客户端
07-05
corsRequest.js 一个最小的、无依赖的、跨浏览器的 CORS HTTP 客户端。 使用 XMLHttpRequest2 并回退到 XDomainRequest。 corsRequest(方法,网址,[数据],[完成]) corsRequest.get(url, [数据], [完成]) corsRequest.post(url, [数据], [完成]) 对指定的 URL 执行 HTTP GET 或 POST 请求。 数据参数填充请求正文。 如果是对象,则将其作为 JSON 发送。 如果是字符串,则以纯文本形式发送。 否则,将发送一个空的请求正文。 如果提供,则完成回调必须具有签名 (err, res)。 如果浏览器报告错误或超时,则请求不成功。 请求成功后,设置如下: res.status :响应状态代码(当使用 XDomainRequest 时总是 200)。 r
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
AJAX POST&跨域 解决方案 - CORS
weixin_34337265的博客
01-06 269
  一晃又到新年了,于是开始着手好好整理下自己的文档,顺便把一些自认为有意义的放在博客上,记录成点的点滴。            跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基...
CORS垮与请求
ZCB的博客
03-25 138
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源...
【taotao】JS跨域
Dream it Possible
04-21 766
跨域概述】 在JS中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JS代码 能够访问的页面内容做了很重要的限制,即JS只能访问与包含它的文档在同一域下的内容。因此,也产生了跨域的概 念。 【什么是跨域】 JS为了安全,有一个限制,不允许跨域访问。 1. 两个url的域名不同 2. url相同,域名不同或端口不同 3.
跨域post请求 CORS
徐同保的专栏
10-17 1548
跨域post请求实现方案
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
CORS跨域设置主要涉及到修改服务器配置,添加适当的HTTP响应头部,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。具体实现方法因服务器类型而异,但核心思想...
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
cors跨域Tomcat文件
04-21
【标题】"cors跨域Tomcat文件"涉及的是在Web开发中解决跨域问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
Sencha Ext JS 7.1.0.48
04-02
Sencha Ext JS is the most comprehensive JavaScript framework for building data-intensive, cross-platform web and mobile applications for any modern device. Ext JS includes 140+ pre-integrated and tested high-performance UI components.
使用CORS进行AJAX跨域POST提交
RedStarOfSleep's Blog
10-29 3194
CORS的全称是Cross-Origin Resource Sharing。是用来解决浏览器的跨域问题的。是HTML5的一部分。CORS主要是在服务器端进行配置。官方网站是:http://enable-cors.org/index.html。     CORS支持各类Web服务器,我这里用的是Tomcat。     只需在web.xml中加入cors的过滤器就可以使Tomcat服务器支持COR
Spring boot解决CORS跨域)请求(基于spring MVC 4.0以上版本)。
初学程序员
05-09 1万+
一、前言   昨天晚上临近下班之前,公司前端同事突然跟我说,他从前端发送的请求,方法变成了OPTIONS,我看到他的代码里明明也写着的是POST请求,可是为什么会变成了OPTIONS请求,而且返回的http状态码也是200,但是没有任何数据的返回,这就表明请求根本没有进入到方法中就被拦截返回了。这究竟是哪里出现了错误呢?二、原因探究    经过早上不懈的查找资料,在以下这篇博文中找到了原因:htt...
CORS 中的POST and OPTIONS 请求
skiof007的专栏
04-26 2256
var req = new XMLHttpRequest(); req.open('post', 'http://127.0.0.1:3001/user', true); req.setRequestHeader('Content-Type', 'application/json'); req.send('{"name":"tobi","species":"ferret"}');
ajax 跨域----post解决方案CORS
专注于性能调优、安全、自动化
04-27 731
http://www.cnblogs.com/Darren_code/p/cors.html
CORS请求Request携带Cookie失败占用License解决方案
yaoxin521123的博客
10-18 1418
Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。这时,网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性(Cookie 只能通过 HTTPS 协议发送),否则无效。,只有少部分请求需要带上的情况,一般没有。
403 Invalid CORS request 跨域问题 invalid+cors+request什么意思
热门推荐
BaldHead`s
05-11 4万+
5.跨域问题 跨域:浏览器对于javascript的同源策略的限制 。 以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www.jd.com/item www.jd.com/goods http和https
中间件cors三行代码解决跨域问题GET,POST跨域访问解决
qq_61950936的博客
07-20 1300
解决接口跨域的方案主要有两种: 1.CORS (主流的解决方案,推荐使用) 2.JSONP (有缺陷,只支持 GET 请求)
axios get请求_一文深入浅出解析Axios源码
weixin_39524147的博客
11-21 459
作者:老道(专栏作者)转发链接:https://mp.weixin.qq.com/s/QzTD0bGMC77x66kALYmQbA本文概要前言Axios整体代码结构分析Axios执行流程整体分析Axios执行文件分析前言axios 是目前最常用的 http 请求库,可以用于浏览器和 node.js , 在 github 上已有 43k star 左右之多。Axios 的主要特性包括:基于 Prom...
cors跨域漏洞概述
最新发布
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些...为了防止 CORS 跨域漏洞,服务器需要对来自非法域名的跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值