HTTP访问控制(CORS)——预检请求问题的解决

最新推荐文章于 2024-08-23 16:40:31 发布
最新推荐文章于 2024-08-23 16:40:31 发布
阅读量9.2k 收藏 20
点赞数 6
分类专栏: 前端学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44891295/article/details/107189738
版权
本文介绍了CORS(跨域资源共享)机制,重点讲解了预检请求的原理和应用场景。当JavaScript发起跨域请求且满足特定条件时,浏览器会先发送OPTIONS预检请求,等待服务器允许后再发送实际请求。文章通过案例演示了解决预检请求问题的方法,通常在服务器端配置Access-Control-Allow-*相关头部字段,以允许特定跨域请求。
摘要由CSDN通过智能技术生成

文章目录

1:CORS介绍

CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。
同源安全策略 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。

CORS 头

Access-Control-Allow-Origin
指示请求的资源能共享给哪些域。

Access-Control-Allow-Credentials
指示当请求的凭证标记为 true 时,是否响应该请求。

Access-Control-Allow-Headers
用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。

Access-Control-Allow-Methods
指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。

Access-Control-Expose-Headers
指示哪些 HTTP 头的名称能在响应中列出。

Access-Control-Max-Age
指示预请求的结果能被缓存多久。

Access-Control-Request-Headers
用于发起一个预请求,告知服务器正式请求会使用那些 HTTP 头。

Access-Control-Request-Method
用于发起一个预请求,告知服务器正式请求会使用哪一种 HTTP 请求方法。

Origin
指示获取资源的请求是从什么域发起的。
  • 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
    在这里插入图片描述

比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。

  • 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。

并不一定是浏览器限制了发起跨站请求,也可能是跨站请求可以正常发起,但是返回结果被浏览器拦截了。)

在这里插入图片描述

跨域资源共享( CORS )机制允许 Web 应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequest 或 Fetch )使用 CORS,以降低跨域 HTTP 请求所带来的风险。

2:什么情况下需要 CORS

跨域资源共享标准( cross-origin sharing standard )允许在下列场景中使用跨域 HTTP 请求:

  • 前文提到的由 XMLHttpRequest 或 Fetch 发起的跨域 HTTP 请求。
  • Web 字体 (CSS 中通过 @font-face 使用跨域字体资源), 因此,网站就可以发布 TrueType 字体资源,并只允许已授权网站进行跨站调用。
  • WebGL 贴图
  • 使用 drawImage 将 Images/video 画面绘制到 canvas

3:跨域资源共享机制功能概述

  • 跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。

CORS请求失败会产生错误,但是为了安全,在JavaScript代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。

接下来的内容将讨论相关场景,并剖析该机制所涉及的 HTTP 首部字段。

3.1 若干访问控制场景案例演示

这里,有三个场景来解释跨域资源共享机制的工作原理。这些例子都使用 XMLHttpRequest 对象。分别为简单请求,预检请求,我们在这里只讲预检请求(小编只学到这个目前,哈哈哈)

3.1.1 预检请求

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到

最低0.47元/天 解锁文章
福建选手阿俊
关注
专栏目录
前端 | 浅谈预检请求
u012496505的博客
09-17 6077
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
HTTP请求方法OPTIONS预检请求
yinqian_Golang的博客
01-16 5549
浏览器对简单跨域请求和复杂跨域请求的处理区别。 浏览器对复杂跨域请求在真正发送请求之前,会先进行一次预请求,就是参数为OPTIONS的第一次请求,他的作用是用于试探性的服务器响应是否正确,即是否能接受真正的请求,如果在options请求之后获取到的响应是拒绝性质的,例如500等http状态,那么它就会停止第二次的真正请求的访问。 同时满足下列以下条件,就属于简单请求,否则属于非简单请求(参考HTT...
OPTIONS 预检请求是什么?
stay hungry, stay foolish
04-29 880
OPTIONS 请求HTTP 协议中的一种请求方法。它是 HTTP/1.1 规范中引入的,属于“预检请求”(preflight request)的一部分,主要用于跨域资源共享(CORS, Cross-Origin Resource Sharing)的场景中,但也适用于其他需要了解服务器功能的场合。
浏览器的预检请求 -- options
最新发布
m0_72791534的博客
08-23 1218
HTTP OPTIONS请求用于描述目标资源的通信选项,主要用途有:在CORS场景中,当客户端尝试使用非简单请求(如PUT、DELETE、带有自定义头的POST请求等)访问跨域资源时,浏览器会首先发送一个OPTIONS请求到服务器,以检查服务器是否允许该跨域请求(如:当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段)。 服务器在收到OPTIONS请求后,会返回一个包含CORS相关响应头的响应,告知客户端是否允许该跨域请求。b 、HTTP的头信息不超出以下几种字段:(2)
深入浅出HTTP/2预检请求CORS Preflight Request)
wenxuankeji的博客
02-29 1254
深入浅出HTTP/2预检请求CORS Preflight Request)
HTTP请求(Preflight Request)
qq_44327851的博客
05-03 1412
服务器接收到预请求后,会检查这些头部信息,并根据请求头部中的信息来决定是否允许实际请求HTTP请求(Preflight Request)是CORS(跨域资源共享)机制中的一种请求,用于在实际的跨域请求之前进行一次预检请求,以确定是否可以安全地发送实际请求。当服务器接收到预请求后,应该返回一个带有合适的CORS头部信息的响应,以表示服务器是否支持跨域请求,并确定是否允许实际请求。预请求的目的是确保跨域请求的安全性,防止潜在的安全风险。这种机制可以有效地防止跨域请求可能带来的安全风险。
关于预检请求
yiguoxiaohai的博客
01-24 990
预检请求(Preflight Request)是一种由浏览器自动发起的请求,用于检查实际请求是否安全可行。这种请求通常在跨域请求CORS)中出现,并且只在某些特定条件下触发。以下是触发预检请求的具体条件:
跨域请求资源-jsonp和cors区别.pdf
04-09
- CORS还支持预检请求(preflight request),这是一种由浏览器自动发出的OPTIONS请求,用于确认服务器是否允许特定类型的跨域请求预检请求通常发生在包含复杂的请求方法(如PUT或DELETE)或者自定义HTTP头的情况...
django解决跨域请求问题
09-19
在某些情况下,如果不想通过配置来解决跨域问题,还可以使用JSONP(JSON with Padding)或者CORS预检请求机制。 JSONP是一种古老的解决方案,它利用了script标签的特性——不受同源策略限制。前端JavaScript代码...
记录一次SpringBoot跨域的踩坑经历——SpringSecurity跨域解决方案(/oauth/token 401)
Harrison
04-23 2725
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
Node.js系列——express框架解决接口跨域问题
hjw15910531612的博客
11-07 587
介绍接口跨域问题的两种解决方案
关于CORS预检
weixin_33881041的博客
03-15 217
  最近公司要求去掉所有请求的代理,于是发现了一个很奇妙的问题请求一个服务时,使用$.GET()返回的是正确的,但是使用openlayers.request.GET则会返回500, 于是打开控制台看看两个请求之间的区别:   心思缜密的我一下子就发现了问题:openlayers.request.GET发出的竟然是options请求,服务对options请求报错,于是便产生了这...
跨源资源共享(CORS)-亲测理解,以及对http的状态,参数的理解和使用,对预检请求的触发和解决
阿牛哥的博客
03-08 972
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
CORS预检请求详谈
weixin_30784141的博客
12-17 205
引言 最近在项目中因前后端部署不同地方,前端在请求后端api时发生了跨域请求,我们采用CORS(跨域资源共享)来解决跨域请求,这需要前后端的配合来完成。在这一过程中,后端支持了CORS跨域请求后,前端的请求配置可能会调起CORS的preflight请求,也就是我们所说的预检请求。对CORS不太熟悉的可能会很容易忽视掉这个问题。下面就来说说CORS的preflight请求CORS的基本用法不在本文...
HTTP之CROS、预检
瘦子没有夏天
01-09 871
一、引言 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 二、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器...
CORS简单请求预检请求
weixin_49115633的博客
01-11 1592
只要符合以下任何一个条件的请求,都需要进行预检请求请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
关于浏览器的预检(OPTION)请求
Exclison的博客
01-26 4567
关于浏览器的预检(OPTION)请求 OPTION请求没有附带请求数据,响应体也为空 1. OPTION预检请求的作用 OPTION请求用于获取目的资源所支持的通信选项 检测服务器所支持的请求方法 CORS中的预检请求 CORS规范要求,对那些可能对服务器数据产生副作用的HTTP请求方法(特别是GET以外的HTTP请求,或者搭配某些MIME类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求.服务器确认允许
预检请求
m0_38066007的博客
05-11 283
简单请求不会发起预检请求 简单请求: GET、POST、HEAD 或者 content-type 为 text/plain multipart / form-data application / x-www-form-urlencoded 预检请求发起条件 PUT DELETE CONNECT OPTIONS TRACE PATCH Access-Control-Max-Age 用来指定本次预检请求的有效期,单位为秒,在此期间,不用发出另一条预检请求 ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值