HTTP中的跨域请求、HTTP报文结构、状态码

最新推荐文章于 2024-04-14 06:23:00 发布
最新推荐文章于 2024-04-14 06:23:00 发布
阅读量7.4k 收藏 10
点赞数 3
文章标签: http 前端 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44886213/article/details/122468947
版权

目录

一、前驱知识学习

(1)请求报文

(2)响应报文

二、HTTP中的跨域请求

1. 什么是跨域请求

2.什么是同源策略

3.为什么要设置这种限制

3.1 攻击实例

3.2 攻击原理

4. 怎样取消这种跨域的限制?—— CORS(跨资源共享- Cross-origin resource sharing)

对这篇博客的理解及记录:HTTP跨域的原因及解决方法(CORS 和 JSONP) - 简书

一、前驱知识学习

要理解跨域请求的话,需要对HTTP的报文结构、状态码有所了解。

HTTP 有两类报文:

(1)请求报文——从客户向服务器发送请求报文。

(2)响应报文——从服务器到客户的回答。

(1)请求报文

命令/方法:常见的有GET、POST、HEAD

(2)响应报文

状态码:

(1)状态码都是三位数字

1xx 表示通知信息的,如请求收到了或正在进行处理。

2xx 表示成功,如接受或知道了。

3xx 表示重定向,表示要完成请求还必须采取进一步的行动。

4xx 表示客户的差错,如请求中有错误的语法或不能完成。

5xx 表示服务器的差错,如服务器失效无法完成请求。

(2)常见状态码
200 - 请求成功
301 - 资源(网页等)被永久转移到其他URL
404 - 请求的资源(网页等)不存在
405 - 客户端请求中的方法被禁止
500 - 内部服务器错误

二、HTTP中的跨域请求

1. 什么是跨域请求

访问不同源的资源就是跨域请求。那什么是源?一个源可以看做一个URL=协议+域名+端口。那么同源就是相同协议相同域名相同端口。三者只要一个不满足,就是不同源

2.什么是同源策略

访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。

3.为什么要设置这种限制

这是浏览器为了保户用户安全而制造的策略。假如没有这层保护,网站就很容易受到跨站伪造请求(CSRF)的攻击。

Web漏洞之CSRF(跨站请求伪造漏洞)详解 - 知乎

防止这种威胁的思路是:不允许用户访问了一个网站以后,在这个网站里访问另一个网站。这就保证了进入一个合法的网站后,浏览的资源都是这个网站提供的,也都是合法的,没有危险。

网站的负责人才能保证说,“你进入我这个网站,在网站里用你的鼠标随便点击,都是没有问题的”。

3.1 攻击实例

下面给出攻击的实例,重点体会是怎样利用“跨域”的。

(1)GET攻击

如果一个网站中修改邮箱功能是通过GET请求进行修改的。如:/user.php?id=1&email=123@163.com ,这个链接的意思是用户id=1将邮箱修改为123@163.com。当我们把这个链接修改为 /user.php?id=1&email=abc@163.com ,然后通过各种手段发送给被攻击者,诱使被攻击者点击我们的链接,当用户刚好在访问这个网站,他同时又点击了这个链接(跨域),那么悲剧发生了。这个用户的邮箱被修改为 abc@163.com 了。

(2)POST攻击

你作为用户登录了某电影网站,点击网页->打开试看视频->购买视频是一个很正常的一个流程。在你点击购买页面时,攻击者可以抓到网站处理购买(扣除)用户余额的地址。比如:/coures/user/handler/25332/buy.php 。通过提交表单,buy.php处理购买的信息,这里的25532为视频ID。那么攻击者现在构造一个链接,链接中包含以下内容

<form action=/coures/user/handler/25332/buy method=POST>
<input type="text" name="xx" value="xx" />
</form>
<script> document.forms[0].submit(); </script>

当用户访问该页面后,表单会自动提交,相当于模拟用户完成了一次POST操作,自动购买了id为25332的视频,从而导致被攻击者余额扣除。 

3.2 攻击原理

  1. 用户输入账号信息请求登录A网站。
  2. A网站验证用户信息,通过验证后返回给用户一个cookie
  3. 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B
  4. B网站收到用户请求后返回攻击性代码,构造访问A网站的语句
  5. 浏览器收到攻击性代码后,在用户不知情的情况下携带cookie信息请求了A网站。此时A网站不知道这是由B发起的。那么这时黑客就可以进行一下骚操作了!

两个条件同时满足:

a 用户访问站点A并产生了cookie

b 用户没有退出A同时访问了B

4. 怎样取消这种跨域的限制?—— CORS(跨资源共享- Cross-origin resource sharing)

在开发的过程中,有的时候是需要进行跨域访问的。那么怎样取消这种浏览器默认的限制呢?

服务器端:允许使用CORS。以elasticsearch这个服务为例,在elasticsearch.yml这个配置文件中,设置允许cors。

http.cors.enabled: true         # 允许跨域访问
http.cors.allow-origin: "*"     # “*”表示所有域名

浏览器端

(1)对于简单请求

浏览器直接发出CORS请求。在HTTP头部中自动添加一个Origin字段(本次请求来自哪个源:协议+域名+端口),服务器根据这个值,决定是否同意这次请求。

(2)对于非简单请求

非简单请求之前,会增加一次HTTP查询请求,称为“预检”请求。

服务器通过"预检"请求之后,以后每次浏览器CORS请求都和简单请求一样

玛丽莲茼蒿
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
elasticsearch开启跨域访问
The magic of fingertips
07-07 1万+
参考官方doc地址:https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-http.html 添加如下配置:  http.cors.enabled: true  http.cors.allow-origin: /http?:\/\/192.168.10.139(:[0-9]+
HTTP----跨域解决方式
m0_58794378的博客
03-10 2059
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
web前端面试常见问题(get与post的区别,http常用状态码,跨域条件及解决方案)
最新发布
m0_60721695的博客
04-14 523
请求的资源已被永久的移动到新URI,返回信息会包括新的URI,浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替301 和 302 共同点: 就是用户都可以看到url替换为了一个新的,然后发出请求。跳槽是每个人的职业生涯都要经历的过程,不论你是搜索到的这篇文章还是无意浏览到的这篇文章,希望你没有白白浪费停留在这里的时间,能给你接下来或者以后的笔试面试带来一些帮助。​ 503 Service Unavailable 由于超载或系统维护,服务器暂时的无法处理客户端的请求。
Http访问跨域解决
热门推荐
程序员深夜写bug
03-23 1万+
一、跨域科普跨域,即跨站HTTP请求(Cross-site HTTP request),指发起请求的资源所在域不同于请求指向资源所在域的HTTP请求。二、如何产生跨域当使用前后端分离,后端主导的开发方式进行前后端协作开发时,常常有如下情景:    a、后端开发完毕在服务器上进行部署并给前端API文档。    b、前端在本地进行开发并向远程服务器上部署的后端发送请求。    c、在这种开发过程,如...
Elasticsearch 使用
二哈
05-23 2587
1. Elasticsearch 安装
ElasticSearch7.14.0高可用集群搭建测试
qq_32421489的博客
08-25 1740
windows下复制三个节点: 注意:如果出现三个服务都正常,但是无法互相发下对方,也就是只显示一个主节点的问题解决方法为复制时也把data目录下的数据复制了一份,删除复制过来的data目录下的数据,再次启动时启动成功。 节点node-a: # 是否支持跨域 http.cors.enabled: true # *表示支持所有域名 http.cors.allow-origin: "*" #节点1的配置信息: #集群名称 cluster.name: elasticsearch #节点名称 node.nam
详解AngularJS如何实现跨域请求
11-25
下面阐述一下AngularJS使用$http实现跨域请求数据。 AngularJS XMLHttpRequest:$http用于读取远程服务器的数据 $http.post(url, data, [config]).success(function(){ ... }); $http.get(url, [config]).success...
JavaScript如何实现跨域请求
12-10
什么是跨域请求? 简单的理解就是向不在同一个域名的服务器文件发出请求。这个还是用实际的例子来说明一下吧,比如baidu.com向cxyblog.com发送请求,这两个域名是不同的,那么这就是跨域了,出于安全性的考虑,这样...
js跨域请求数据的3种常用的方法
11-24
由于js同源策略的影响,当在某一域名下请求其他域名,或者同一域名,不同端口下的url时,就会变成不被允许的跨域请求。 那这个时候通常怎么解决呢,对此菜鸟光头我稍作了整理: 1.JavaScript  在原生js(没有jQuery...
详细解密jsonp跨域请求
12-11
1.什么是跨域请求: 服务器A上的一个页面,要请求服务器B上的一个处理程序,这就叫做跨域请求 本次的测试页面为: 处理程序kimhandler.ashx,如下: %@ WebHandler Language="C#" Class="KimHandler" %> using ...
详解Vuejs2.0 如何利用proxyTable实现跨域请求
01-19
本地项目在请求远端服务器接口时,不可避免的会遇到跨域问题,即便是设置了Access-Control-Allow-Origin:* ,在遇到登录这些需要本地存入cookie的也会很头痛,这里笔者介绍一个在vue-cli配置代理来解决的办法。...
使用httpclient解决跨域问题
08-16
我使用的是httpClient 进行内部转发 我们在A的服务器上,将前台的文件流,通过httpClient传输到B的服务器上(B的服务器通过控制层接受A传输的文件流,让后保存在B的服务器上。返回一个json结果)
Http请求跨域(一)什么是跨域请求
chihejin3005的博客
11-02 1535
跨域问题,是web开发常见的一个问题。自以为工作多年,解决跨域这种“小问题”自是不在话下。但是朋友的一次求助让我发现自己只知其然而不知其所以然。 下面是事情经过,可以直接跳过本段 事情的的经过是:某天A自己设计了一个网站,请B帮忙开发部署。一切都比较顺...
http跨域
Handsome2013的博客
03-25 244
tcp三次连接 先上图。 第一次握手:我们给服务器发消息“哥们,让我touch一下”,我们做这个动作是想证明,我们有没有发消息的能力,怎么证明呢,需要服务器把我们发的消息回传回来。 第二次握手:服务器告诉我们“来啊,来啊”,同时再把我们发的消息回传给我们。这个时候我们就可确定,我们发消息的能力是没有问题的,同时服务器也需要通过这次握手来确定自己的发消息能力。也就是这次握手确定了我们的发消息能力,需要确定的是服务器的发消息能力。 第三次握手:我们告诉服务器“我就到”。这时候服务器就确定了自己的发消息能
HTTP跨域问题的解决方案
Star_CSU的博客
05-30 6410
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
HTTP请求与跨域
David_bdqn的博客
11-11 4877
浏览器发出一个请求到收到响应经历了哪些步骤 1、浏览器解析用户输入的URL,生成一个HTTP格式的请求; 2、先根据URL域名从本地hosts文件查找是否有映射IP,如果没有就将域名发送给电脑配置的DNS进行域名解析,得到IP地址; 3、浏览器通过操作系统将请求通过四层网络协议发送出去; 4、途可能会经过各种路由器、交换机,最终到达服务器; 5、服务器接收到请求后,根据请求所指定的端口,将请求传递给绑定了该端口的应用程序,如tomcat; 6、tomcat接收请求数据后,按照http协议的格式
js ajax跨域请求
weixin_30241919的博客
12-15 250
1 协议+域名+端口相同,就不算跨域,否则跨域 http://192.168.168.1:80/aaa http://192.168.168.1:80/bbb http://192.168.168.1/ccc //默认端口是80 以上都不是跨域 A网站AJAX请求B网站,算是跨域 跨域不可请求是浏览器的限制 2 解决方案: https://www....
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2211
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
解决HTTP跨域请求
sky_817的博客
01-29 150
类上添加注解:@CrossOrigin即可
C#http协议跨域请求
02-23
C#HTTP协议跨域请求可以通过使用HttpClient类来实现。在进行跨域请求时,需要设置HttpClient的相关属性和头部信息。 首先,需要在代码创建一个HttpClient对象,并设置其相关属性。可以通过设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值