CORS-跨域资源共享

最新推荐文章于 2024-06-12 08:52:46 发布
最新推荐文章于 2024-06-12 08:52:46 发布
阅读量355 收藏
点赞数
分类专栏: java 网络 文章标签: 前端 javascript servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43216019/article/details/127823313
版权
java 同时被 2 个专栏收录
31 篇文章 0 订阅
订阅专栏
网络
5 篇文章 0 订阅
订阅专栏

文章目录

1. 为什么会出现跨域?

  • 跨域是一种约定,是浏览器最基本也是最核心的安全功能。web是构建在同源策略基础之上的,浏览器只是同源策略的一种实现
  • 同源策略会阻止一个域的javascript和另外一个域的内容剂型交互,所谓同源,指的是两个页面具有相同的协议、主机和端口号

2.什么是跨域?

当一个请求的url的协议、域名、端口三者之间任意一个与当前url不同即为跨域

img

3.非同源限制

  • 无法读取非同源网页的Cookie、LocalStorage、IndexedDB

  • 无法接触非同源网页的dom元素

  • 无法向非同源地址发送ajax请求

    ajax(AsynchronousJavascript + XML)是一种技术:js调用异步组件并使用格式化的数据来更新web页面上的内容或操作过程

4. preflight request

4.1 什么时候发送预检请求

浏览器限制从浏览器发起的跨域http请求,像xmlhttprequest和fetch都遵循同源策略,限制跨域请求的方式:

  • 浏览器限制发起跨域请求
  • 浏览器可以正常发起,但是返回结果被浏览器拦截

浏览器一般采用第二种方式限制,也就是说请求已到达服务器,并且又可能对数据库里的数据进行了限制操作,但是返回的结果被浏览器拦截了,那么我们就获取不到结果,但是可能对数据库里的数据产生了影响

为了防止这种情况的发生,规范要求,对这种可能对服务器数据产生副作用的http请求方法,浏览器必须先使用OPTION方法发起一个预检请求,从而获知服务器是否允许该跨域请求:如果允许,就发送带数据的真实请求;如果不允许,则阻止发送带数据的真实请求

4.2 option 请求触发条件

  • 使用以下http方法:

    PUT/DELETE/CONNECT/OPTIONS/TRACE/PATCH

  • 人为设置了以下集合之外的首部字段

    Accept/Accept-Language/Content-Language/Content-Type/DPR/Downlink/Save-Data/Viewport-Width/Width

  • Content-Type的值不属于下列之一

    application/x-www-form-urlencoded, multipart/form-data, text/plain

5.解决方案

5.1 后段解决方案
app.use(async (ctx, next) => {
  ctx.set("Access-Control-Allow-Origin", ctx.headers.origin);
  ctx.set("Access-Control-Allow-Credentials", true);
  ctx.set("Access-Control-Request-Method", "PUT,POST,GET,DELETE,OPTIONS");
  ctx.set(
    "Access-Control-Allow-Headers",
    "Origin, X-Requested-With, Content-Type, Accept, cc"
  );
  if (ctx.method === "OPTIONS") {
    ctx.status = 204;
    return;
  }
  await next();
});
5.2 Node正向代理
  • 利用服务请求不会跨域的特性,让接口和当前站点同域

代理前:

image.png

代理后:

image.png

5.3 nginx反向代理
  • 通过反向代理的方式,保证当前域名能够获取到静态资源和接口

image.png

pipape
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
资源共享 CORS 详解
weixin_34365417的博客
04-19 2238
资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
CORS 资源共享
Arno
08-19 749
CORS (Cross-Origin Resource Sharing) 资源共享为什么需要 CORS首先,指的是同一个名下的资源,同时要注意名与子名,比如 developers.e.qq.com 和 developers.proxy.qq.com 不属于同一个,同样属于访问由于 同源策略,浏览器会限制脚本中发起的请求,比如通过 XMLHttpRequest 就不能发起的
你可能不知道的CORS资源共享
10-17
主要给大家介绍了关于CORS资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Cors资源共享
pscool的博客
01-03 1101
cors资源共享
资源共享(CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 1097
资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了问题。本文将详细讨论问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决问题的方法。
JavaEE - CORS
MinggeQingchun的博客
09-03 706
是一个W3C标准,全称是””(),允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起请求。实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以源通信。CORS需要浏览器和服务器同时支持。
CORS资源共享
路虽远,行将至。事虽难,做必达。
05-16 715
资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出请求XMLHttpRequest(XHR),从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据。则是在使用设定的请求方式请求数据前,先发送一个OPTIONS预检请求,验证请求源是否为服务端允许源,只有验证为允许后才会再次发送一次请求用于数据传输。:在浏览器进行请求时,自动在请求头中添加Origin字段信息,服务端通过验证Origin字段来判断请求是否被允许,从而实现浏览器资源访问。
AngYony#ay-treasure-tool#CORS-资源共享1
07-25
public class CorsConfig {public CorsConfig() { }// 1. 添加cors配置信息// 设置是否发送cookie信
cors-filter-1.7.jar,cors-filter-2.5.jar,cors-filter-2.10.jar
06-20
在IT行业中,尤其是在Web开发领资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(名、协议或端口)发送Ajax请求,以突破同源策略的限制。Tomcat作为一款广泛...
cors-filter-2.5.jar
09-07
标题中的“cors-filter-2.5.jar”是一个Java Web应用程序使用的库,专门用于处理资源共享(CORS)的问题。CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源...
Cors解决Java开发时的问题
个人学习笔记库,一篇一篇记录成长的足迹
02-08 2584
同源与 问题伴随着前后端分离而产生。不想jsp,asp,ejr等嵌入html语言,直接在混入html中就可以操作数据库从而获取数据,前后端分离开发的模式,前后端的通讯是基于Ajax技术,这是也是Javascript最重要的技术之一。 为了维护浏览器的安全,指定了同源策略也就是名、协议、端口均相同的才能进行访问,当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,就会被浏览器拦截。 但是在前后端分离开发中可能使用的软件都不一样,就可能造成三个中的不一致。(最常见就是端口)
CORS资源共享漏洞的复现、分析、利用及修复过程
热门推荐
weixin_46622976的博客
12-27 1万+
CORS漏洞测试
资源共享 CORS 简介及 SpringBoot 代码实现
Passion for coding
05-19 758
为了避免 XSS、CSRF 等攻击,浏览器使用同源策略对 HTTP 请求进行限制。对于前后端分离的项目,如果前端项目与后端项目部署在两个不同的下,那么前端访问后端时会产生问题。
【CORS】资源共享解决方案<Access-Control-Allow-Origin>
Coding and studying
06-13 2088
要了解,首先要知道一个东西:。同源策略中规定,访问服务必须在 三个层面都相同,否则就是违背同源策略,也就是。比如, 访问 是,违背了同源策略中的【端口号保持一致】。 访问 是,违背了同源策略中的【协议保持一致】。 访问 是,违背了同源策略中的【名保持一致】。下表列出了与 : 的源进行对比的示例:而想要源访问资源(服务器),就需要进行——CORS。 源 HTTP 请求的一个例子:运行在 的 代码使用 XMLHttpRequest 来发起一个到 的请求。出于安全性,浏览器限制
使用 Express 写接口
weixin_43563864的博客
10-27 1389
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
资源共享(CORS)
m0_53328239的博客
07-16 873
资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
CORS:资源共享(CORS)
05-12
CORS(Cross-Origin Resource Sharing)是一种用于解决访问问题的机制。在Web开发中,由于浏览器的同源策略限制,网页只能请求同源(协议、名、端口号均相同)服务器上的资源,不能直接访问其他名下的资源。CORS机制允许浏览器向服务器发送XMLHttpRequest请求,从而实现资源共享。 CORS机制的核心是在服务器端设置响应头部信息,告诉浏览器是否允许访问。如果服务器端返回的响应头部信息中包含了Access-Control-Allow-Origin字段,浏览器就会允许访问。同时,服务器端还可以设置其他的Access-Control-Allow-*字段,如Access-Control-Allow-Methods、Access-Control-Allow-Headers等,来控制访问的细节。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值