cors浅解

最新推荐文章于 2024-10-12 10:41:56 发布
最新推荐文章于 2024-10-12 10:41:56 发布
阅读量65 收藏
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44698088/article/details/124046804
版权

为了保证用户信息的安全,所有的浏览器都遵循同源策略。

记住:协议、域名、端口号完全相同时,才是同源

跨域不是无法请求,是请求到的数据能否被浏览器返回,即response

cors进行跨域又分为简单请求和非简单请求两种情况:

简单请求

何为简单请求,满足以下条件:

1、使用下列 HTTP 方法之一

  • GET

  • HEAD

  • POST,并且Content-Type的值在下列之一:

    • text/plain

    • multipart/form-data

    • application/x-www-form-urlencoded

2、并且请求头中只有下面这些(个人理解是请求头中没有自定义字段,如某些场景下需要额外传递自定义token字段)

  • Accept

  • Accept-Language

  • Content-Language

  • Content-Type (需要注意额外的限制)

  • DPR

  • Downlink

  • Save-Data

  • Viewport-Width

  • Width

解决方法:服务端设置Access-Control-Allow-Origin: *货Access-Control-Allow-Origin: 特定origin(可以多个)

非简单请求

需要发送options预检请求,即查询服务端是否允许跨域,options请求成功则继续进行第二次请求,options请求失败则不会进行第二次请求。特别的服务端不进行特殊处理,则options请求也会返回数据,存在资源浪费,服务端可以进行过滤,预检请求只进行校验不返回具体数据。

options请求中,浏览器会自动在请求中加入以下字段向服务端校验是否允许跨域

  1. Access-Control-Request-Headers: 自定义请求头字段*

  2. Access-Control-Request-Method: 请求方法

同时,服务端需要设置以下内容:

resp.setHeader("Access-Control-Allow-Origin", "orgin*");
resp.setHeader("Access-Control-Allow-Headers", "字段名");

cookie跨域问题

浏览器向不同域发送请求时不会携带cookie,需要客户端和服务器同时设置

如果要让浏览器发送 cookie,需要在 Client 设置 XMLHttpRequest 的 withCredentials 属性为 true。服务端设置resp.setHeader("Access-Control-Allow-Credentials","true");

[��]
关注
浅谈跨域资源共享(CORS
weixin_42298964的博客
01-19 124
一、什么是CORS CORS是一种机制,该机制使用附加的HTTP标头来告诉浏览器以使Web应用程序在一个来源运行,并从另一个来源访问选定的资源。Web应用程序请求其来源(域,协议或端口)不同的资源时,将执行跨域HTTP请求。出于安全原因,浏览器限制了从脚本发起的跨域HTTP请求,这意味着使用这些API的Web应用程序只能从加载应用程序的相同来源请求资源或者来自包括正确的CORS标头其他来源的响应...
Token浅解(二)
厚积薄发
02-05 259
Token的优势:  1.无状态,可扩展  基于服务器的验证:  通过Session来完成,但会暴露许多的问题: 1.若将验证用户信息存储在Session中,每次请求用户都会向服务器发送验证信息,相当于不断的创建新的Session。  用户量过大时候,会造成拥堵,所以使用了Token来完成用户的验证信息。 2.扩展性比较差  3.CORS(跨域资源共享):当我们需要让数据跨多
跨域资源共享 CORS 详解
skiof007的专栏
12-07 645
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 (图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园) 一、简介 CORS需要浏览器和服务器同时支持。目前,所
Spring sercrity 深入浅出
weixin_63832992的博客
01-10 384
Spring Security 安全框架基本用法。这一篇就够了
关于web端漏洞及安全性问题的浅谈
weixin_43178103的博客
09-01 3701
前言: 本人以总结自己的错误,以及经验分享为初衷记录该文,希望可以帮助到一些新加入的朋友们 前段时间在部署了以python语言开发,django框架工具进行搭建的web后端程序,在反向nginx服务器,及uwsgi web服务器的支持下,并发数稳定在2000左右(小型企业非对外开放项目) 由于项目的特殊性,也是作为小白,第一次接触到项目的部分的安全性问题* 项目试运行阶段,甲方发送人工渗透测试检测漏洞 6处低危漏洞,11处中危漏洞,2处高危漏洞,对于一个项目开发人员,看到自己的项目有许多漏洞,还是挺意外的
浅谈渗透测试流程
战神/calmness的博客
10-27 409
目录 1.明确目标 2.信息收集 3.漏洞探测 4.漏洞验证 5.信息分析 6.获取所需 7.信息整理 8.形成报告 浅谈渗透测试流程 1.明确目标 确定范围 确定规则 确定需求:在获取书面授权的前提下 2.信息收集 基础信息 系统信息 应用信息 版本信息 服务信息 人员信息 防护信息 获取域名的whois信息,获取注册邮箱的姓名电话等 获取旁站信息以及子域名站点 查看服务器的操作系...
浅谈 XSS & CSRF
10-03 136
客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。 如: 不能通过Ajax获取另一个源的数据; JavaScript不能访问页面中iframe加载的跨域资源。 对 http://store.company.com/dir/page.html 同源...
浅谈json web token及应用
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
10-18 352
Json Web Token (JWT),是一个非常轻巧的规范,这个规范允许在网络应用环境间客户端和服务器间较安全的传递信息。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 在web应用中,我们提供的API接口,通过GET或者POST方式调用,在调用过程中,就...
浅谈 XSS & CSRF(转)
weixin_30384031的博客
07-23 119
浅谈 XSS & CSRF 客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。 如: 不能通过Ajax获取另一个源的数据; JavaScript不能访问页面中iframe加载的跨域资源。 对 http://store.company...
浅谈基于TBC与TGO软件的GPS-PPK测量解算
02-06
即便使用连续运行参考站系统(Continuously Operating Reference Station, CORS)进行网络RTK作业,也可能遇到下午时段初始化困难的情况,特别是在14:30至16:00之间,获得固定解的概率较低,即便获得固定解,其点位...
精灵4RTK无人机的几种差分方式,RTK和PPK有何区别
weixin_42208331的博客
07-11 1264
RTK PPK
javascript面试题大全_Js基础面试题(附答案)
m0_64460287的博客
02-21 2275
因为cookie有域的限制,因此不能跨域提交请求,故使用非主要域名的时候,请求头中就不会带有cookie数据,这样可以降低请求头的大小,降低请求时间,从而达到降低整体请求延时的目的。是加粗的,不要认为这是html的表现,这些其实html默认的css样式在起作用,所以去掉或样式丢失的时候能让页面呈现清晰的结构不是语义化的HTML结构的优点,但是浏览器都有有默认样式,默认样式的目的也是为了更好的表达html的语义,可以说浏览器的默认样式和语义化的HTML结构是不可分割的。
前端面试题--js
weixin_44501366的博客
10-09 5194
SetES6 新增的一种新的的数据结构,类似于数组,但成员是唯一且无序的,没有重复的值。成员不能重复;只有键值,没有键名,有点类似数组;可以遍历,方法有add: 新增,相当于array里的pushdelete: 存在即删除集合中的valuehas: 判断集合中是否存在valueclear: 清空集合Set 结构可以利用Array.from或者 扩展运算符 转化为数组。
【Vue】a-radio-group单选框数字与字符串回显问题
叶为正的博客
10-08 264
根据后端接口返回数字或字符串,来配置Ant Design of Vue中a-radio-group单选框的回显问题,注意value中的取值是不一样的。
web扩展
x737510的博客
10-10 518
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
快餐食品检测系统源码分享[一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
m0_73388125的博客
10-08 1385
数据集信息展示在本研究中,我们使用了名为“burger detection”的数据集,以改进YOLOv8在快餐食品检测系统中的表现。该数据集专门针对快餐食品的多样性进行设计,涵盖了六个主要类别,分别是:bbq、bread、bun、hotdog、pattty和patty。这些类别的选择不仅反映了快餐食品的常见种类,还考虑到了它们在实际应用中的重要性,尤其是在餐饮行业的食品识别和分类任务中。数据集的构建过程经过精心设计,确保每个类别的样本数量和质量都能满足深度学习模型训练的需求。
基于Java(Jsp+Sevlet)+MySql 实现的(Web)成绩管理系统
神仙别闹的自留地
10-08 1699
如果能把负责学生成绩管理的模块独立出来形成一个独立的系统,便可以有效降低教务系统的数据量,不仅可以方便管理员对于所有学生的信息进行系统的管理,而且便于教师对学生成绩进行查询和修改,学生也可以查询自己的成绩。因此,开发一套合适的、兼容性好的系统是很有必要的。:DAO层主要是做数据持久层的工作,负责与数据库进行联络的一些任务都封装在此,DAO层的设计首先是设计DAO的接口,然后定义此接口的实现类,然后就可在模块中调用此接口来进行数据业务的处理,而不用关心此接口的具体实现类是哪个类,显得结构非常清晰。
Element-plus el-form、el-dialog 数据回显同时用时,重置失效问题
最新发布
Mr. Zhang Xiaojian's Blog
10-12 395
当第一次打开网页并点击“编辑”按钮时,虽然对话框变量变为 true 使对话框可见,但同步代码会将 formData 对象的属性设置为默认值。由于 Vue 的异步更新机制,DOM 实际上还未更新,因此表单组件内绑定了这些有值的初始数据。这样,在后续调用 resetFields 方法时,表单将会重置为这些默认值而不是空值。编辑时表单的初始值被设置成了回显的数据,而不是空字符串。时,表单会回到上次设置的初始值,即回显的数据。
cors
06-02
CORS,全称为Cross-Origin Resource Sharing,即跨域资源共享。它是一种机制,用于在浏览器和服务器之间,安全地实现跨域的数据传输。 在传统的同源策略下,浏览器限制了网页从不同源加载资源的行为。但是,在某些情况下,我们需要从其他域名的服务器上获取数据,这时就需要使用CORS机制。 CORS机制通过HTTP头部来告诉浏览器,当前域名上的Web应用程序可以访问位于其他域名上的资源。具体来说,服务器在响应请求时,会在HTTP头部中加入Access-Control-Allow-Origin字段,指定可以访问该资源的域名列表,如下所示: ``` Access-Control-Allow-Origin: http://localhost:8080 ``` 上述代码表示,只有来自http://localhost:8080域名的请求可以访问该资源。如果需要允许所有域名的请求访问该资源,可以使用通配符*,如下所示: ``` Access-Control-Allow-Origin: * ``` 除了Access-Control-Allow-Origin字段,CORS机制还可以通过Access-Control-Allow-Methods和Access-Control-Allow-Headers字段来控制允许的请求方法和头部字段,以及Access-Control-Max-Age字段来控制预检请求的有效期。 需要注意的是,CORS机制只能用于浏览器与服务器之间的通信,不适用于其他场景,如服务器与服务器之间的通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值