HTTP访问控制(CORS)——预检请求问题的解决

最新推荐文章于 2024-09-20 10:25:18 发布
最新推荐文章于 2024-09-20 10:25:18 发布
阅读量9.3k 收藏 20
点赞数 6
分类专栏: 前端学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44891295/article/details/107189738
版权
本文介绍了CORS(跨域资源共享)机制,重点讲解了预检请求的原理和应用场景。当JavaScript发起跨域请求且满足特定条件时,浏览器会先发送OPTIONS预检请求,等待服务器允许后再发送实际请求。文章通过案例演示了解决预检请求问题的方法,通常在服务器端配置Access-Control-Allow-*相关头部字段,以允许特定跨域请求。
摘要由CSDN通过智能技术生成

文章目录

1:CORS介绍

CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。
同源安全策略 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。

CORS 头

Access-Control-Allow-Origin
指示请求的资源能共享给哪些域。

Access-Control-Allow-Credentials
指示当请求的凭证标记为 true 时,是否响应该请求。

Access-Control-Allow-Headers
用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。

Access-Control-Allow-Methods
指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。

Access-Control-Expose-Headers
指示哪些 HTTP 头的名称能在响应中列出。

Access-Control-Max-Age
指示预请求的结果能被缓存多久。

Access-Control-Request-Headers
用于发起一个预请求,告知服务器正式请求会使用那些 HTTP 头。

Access-Control-Request-Method
用于发起一个预请求,告知服务器正式请求会使用哪一种 HTTP 请求方法。

Origin
指示获取资源的请求是从什么域发起的。
  • 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
    在这里插入图片描述

比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。

  • 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。

并不一定是浏览器限制了发起跨站请求,也可能是跨站请求可以正常发起,但是返回结果被浏览器拦截了。)

在这里插入图片描述

跨域资源共享( CORS )机制允许 Web 应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequest 或 Fetch )使用 CORS,以降低跨域 HTTP 请求所带来的风险。

2:什么情况下需要 CORS

跨域资源共享标准( cross-origin sharing standard )允许在下列场景中使用跨域 HTTP 请求:

  • 前文提到的由 XMLHttpRequest 或 Fetch 发起的跨域 HTTP 请求。
  • Web 字体 (CSS 中通过 @font-face 使用跨域字体资源), 因此,网站就可以发布 TrueType 字体资源,并只允许已授权网站进行跨站调用。
  • WebGL 贴图
  • 使用 drawImage 将 Images/video 画面绘制到 canvas

3:跨域资源共享机制功能概述

  • 跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。

CORS请求失败会产生错误,但是为了安全,在JavaScript代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。

接下来的内容将讨论相关场景,并剖析该机制所涉及的 HTTP 首部字段。

3.1 若干访问控制场景案例演示

这里,有三个场景来解释跨域资源共享机制的工作原理。这些例子都使用 XMLHttpRequest 对象。分别为简单请求,预检请求,我们在这里只讲预检请求(小编只学到这个目前,哈哈哈)

3.1.1 预检请求

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到

最低0.47元/天 解锁文章
福建选手阿俊
关注
专栏目录
HTTP请求方法OPTIONS预检请求
yinqian_Golang的博客
01-16 5578
浏览器对简单跨域请求和复杂跨域请求的处理区别。 浏览器对复杂跨域请求在真正发送请求之前,会先进行一次预请求,就是参数为OPTIONS的第一次请求,他的作用是用于试探性的服务器响应是否正确,即是否能接受真正的请求,如果在options请求之后获取到的响应是拒绝性质的,例如500等http状态,那么它就会停止第二次的真正请求的访问。 同时满足下列以下条件,就属于简单请求,否则属于非简单请求(参考HTT...
前端 | 浅谈预检请求
u012496505的博客
09-17 6148
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
【Node.js】CORS---简单请求预检请求详解
最新发布
lph159的博客
09-20 1157
CORS是一个W3C标准,它允许浏览器安全地处理跨域请求。跨域请求指的是在不同域、协议或端口之间发起的HTTP请求。例如,假设前端应用运行在,而它需要向获取数据,这就是一个跨域请求。简单请求是指那些不需要预检的跨域请求。这类请求必须满足一定的条件,包括使用特定的HTTP方法和头部。浏览器会直接发送简单请求而无需进行额外的安全检查。当跨域请求不满足简单请求的条件时,浏览器会自动在正式请求之前发送一次OPTIONS请求,这个请求被称为预检请求预检请求的目的是让浏览器确认服务器是否允许该类型的请求
深入浅出HTTP/2预检请求CORS Preflight Request)
wenxuankeji的博客
02-29 1402
深入浅出HTTP/2预检请求CORS Preflight Request)
HTTP请求(Preflight Request)
qq_44327851的博客
05-03 1541
服务器接收到预请求后,会检查这些头部信息,并根据请求头部中的信息来决定是否允许实际请求HTTP请求(Preflight Request)是CORS(跨域资源共享)机制中的一种请求,用于在实际的跨域请求之前进行一次预检请求,以确定是否可以安全地发送实际请求。当服务器接收到预请求后,应该返回一个带有合适的CORS头部信息的响应,以表示服务器是否支持跨域请求,并确定是否允许实际请求。预请求的目的是确保跨域请求的安全性,防止潜在的安全风险。这种机制可以有效地防止跨域请求可能带来的安全风险。
关于预检请求
yiguoxiaohai的博客
01-24 1159
预检请求(Preflight Request)是一种由浏览器自动发起的请求,用于检查实际请求是否安全可行。这种请求通常在跨域请求CORS)中出现,并且只在某些特定条件下触发。以下是触发预检请求的具体条件:
关于CORS预检
weixin_33881041的博客
03-15 222
  最近公司要求去掉所有请求的代理,于是发现了一个很奇妙的问题请求一个服务时,使用$.GET()返回的是正确的,但是使用openlayers.request.GET则会返回500, 于是打开控制台看看两个请求之间的区别:   心思缜密的我一下子就发现了问题:openlayers.request.GET发出的竟然是options请求,服务对options请求报错,于是便产生了这...
跨域请求资源-jsonp和cors区别.pdf
04-09
- CORS还支持预检请求(preflight request),这是一种由浏览器自动发出的OPTIONS请求,用于确认服务器是否允许特定类型的跨域请求预检请求通常发生在包含复杂的请求方法(如PUT或DELETE)或者自定义HTTP头的情况...
django解决跨域请求问题
09-19
在某些情况下,如果不想通过配置来解决跨域问题,还可以使用JSONP(JSON with Padding)或者CORS预检请求机制。 JSONP是一种古老的解决方案,它利用了script标签的特性——不受同源策略限制。前端JavaScript代码...
记录一次SpringBoot跨域的踩坑经历——SpringSecurity跨域解决方案(/oauth/token 401)
Harrison
04-23 2766
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
Node.js系列——express框架解决接口跨域问题
hjw15910531612的博客
11-07 609
介绍接口跨域问题的两种解决方案
跨源资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 985
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
CORS预检请求详谈
weixin_30784141的博客
12-17 212
引言 最近在项目中因前后端部署不同地方,前端在请求后端api时发生了跨域请求,我们采用CORS(跨域资源共享)来解决跨域请求,这需要前后端的配合来完成。在这一过程中,后端支持了CORS跨域请求后,前端的请求配置可能会调起CORS的preflight请求,也就是我们所说的预检请求。对CORS不太熟悉的可能会很容易忽视掉这个问题。下面就来说说CORS的preflight请求CORS的基本用法不在本文...
HTTP之CROS、预检
瘦子没有夏天
01-09 885
一、引言 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 二、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器...
CORS简单请求预检请求
weixin_49115633的博客
01-11 1734
只要符合以下任何一个条件的请求,都需要进行预检请求请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
预检请求情况
2301_79564718的博客
04-08 227
对于可能修改服务器上数据的某些类型的请求(使用 PUT、DELETE 等 HTTP 方法或使用不会自动包含在每个请求中的标头的请求),浏览器将在发出实际请求之前首先发送“预检请求。此预检请求是一个 HTTP OPTIONS 请求,其目的是向服务器检查实际请求是否可以安全发送。预检请求包括描述 HTTP 方法的标头和实际请求的标头。服务器响应:如果服务器支持 CORS 策略和实际请求,它会使用指示允许哪些方法和标头的标头响应预检请求。浏览器决策:根据服务器对预检请求的响应,浏览器决定是否继续处理实际请求
关于浏览器的预检(OPTION)请求
Exclison的博客
01-26 4611
关于浏览器的预检(OPTION)请求 OPTION请求没有附带请求数据,响应体也为空 1. OPTION预检请求的作用 OPTION请求用于获取目的资源所支持的通信选项 检测服务器所支持的请求方法 CORS中的预检请求 CORS规范要求,对那些可能对服务器数据产生副作用的HTTP请求方法(特别是GET以外的HTTP请求,或者搭配某些MIME类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求.服务器确认允许
预检请求
m0_38066007的博客
05-11 294
简单请求不会发起预检请求 简单请求: GET、POST、HEAD 或者 content-type 为 text/plain multipart / form-data application / x-www-form-urlencoded 预检请求发起条件 PUT DELETE CONNECT OPTIONS TRACE PATCH Access-Control-Max-Age 用来指定本次预检请求的有效期,单位为秒,在此期间,不用发出另一条预检请求 ...
预检请求_
weixin_45543674的博客
01-24 5752
只有复杂请求才发送预检请求。 非简单请求是复杂请求。 简单请求只有: 只可能有GET + POST +HEAD三种请求类型。而且必须满足下面的2和3两个特征,(POST请求也不全是简单请求,后面有例子) 不能有自定义头字段 ,只能有以下几种: Accept Accept-Language Content-Type Content-Language Content-Type的值只能是以下三种: text/plain multipart/form-data 上传文件用的 application/x-w
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值