HTTP学习——跨域资源共享(CORS)

已于 2022-08-07 21:44:22 修改
阅读量936 收藏 3
点赞数
分类专栏: HTTP 文章标签: http 学习
于 2022-08-07 21:37:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52480906/article/details/126216782
版权

介绍

跨域资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。如果浏览器符合服务器的要求,那么它将可以访问此服务器host内的内容

跨域HTTP 请求的一个例子:运行在 https://a.com 的 JavaScript 代码使用XMLHttpRequest来发起一个到 https://b.com/data.json 的请求。

但是浏览器会限制JS跨域HTTP的请求,跨域资源共享(CORS)机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行

通常由axios(AJAX)即内部的XMLHttpRequestFetch APIs发起的跨域HTTP请求需要用到CORS,还有一些Web字体。图像等

变化

CORS新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。
另外,有时候,非GET请求需要首先使用OPTIONS方法发起一个预检请求,从而知道服务器是否允许我们跨域请求
在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 CookiesHTTP 认证 相关数据)。

简单请求

不会触发CORS预检请求的请求称为简单请求,要求满足下列所有条件:
①使用GET,POST,HEAD
②处于下列首部字段内

Accept
Accept-Language
Content-Language
Content-Type(需要注意额外的限制)

③Content-Type 的值仅限于下列三者之一:

text/plain
multipart/form-data
application/x-www-form-urlencoded

④请求中的任意 XMLHttpRequest 对象均没有注册任何事件监听器;XMLHttpRequest 对象可以使用 XMLHttpRequest.upload 属性访问以及请求中没有使用 ReadableStream 对象

CORS实例

比如说,假如站点 https://foo.example 的网页应用想要访问 https://bar.other 的资源。foo.example 的网页中可能包含类似于下面的 JavaScript 代码:

const xhr = new XMLHttpRequest();
const url = 'https://bar.other/resources/public-data/';

xhr.open('GET', url);
xhr.onreadystatechange = someHandler;
xhr.send();

那么客户端和服务器之间使用 CORS 首部字段来处理权限:
请求头:

GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example

请求首部字段 Origin 表明该请求来源于 http://foo.example
响应头:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[XML Data]

Access-Control-Allow-Origin: *说明该网站内的该资源可以被任意网址访问
Access-Control-Allow-Origin: https://foo.example说明该网站内的该资源只能允许来自https://foo.example访问

预检请求实例

请求头
OPTIONS /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example
Access-Control-Request-Method: POST
上面表示实际请求是POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
上面表示将会携带自定义的2个头

响应头
HTTP/1.1 204 No Content
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
上面表示允许访问的origin
Access-Control-Allow-Methods: POST, GET, OPTIONS
上面表示允许的几个发送信息方式
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
上面表示允许的几个携带自定义的头
Access-Control-Max-Age: 86400
上面指定了 preflight 请求的结果能够被缓存几秒(s)
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

预检请求完成之后,发送实际请求:

POST /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
X-PINGOTHER: pingpong
Content-Type: text/xml; charset=UTF-8
Referer: https://foo.example/examples/preflightInvocation.html
Content-Length: 55
Origin: https://foo.example
Pragma: no-cache
Cache-Control: no-cache

<person><name>Arun</name></person>

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:40 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some XML payload]

其中,xhr对象的withCredentials方法=true时会向服务器发送cookie
但是,如果服务器端的响应中未携带 Access-Control-Allow-Credentials: true,浏览器将不会把响应内容返回给请求的发送者。

感谢,参考来自MDN

Calendo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 3012
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
跨域资源共享 CORS 详解
11-23
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 (图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园) 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CO
跨域资源共享(CORS)安全性
weixin_43964148的博客
08-05 873
跨域资源共享(CORS)安全性背景 提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如...
跨域资源共享CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 1301
跨域资源共享CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
跨域问题详解:CORS问题+解决办法
热门推荐
weixin_45565886的博客
09-29 1万+
跨域问题详解:CORS问题+解决办法
跨域资源共享CORS
m0_53328239的博客
07-16 874
跨域资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他域名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些跨域的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
前端缓存详解
huangpb的博客
09-26 6530
前言 缓存机制无处不在,有客户端缓存,服务端缓存,代理服务器缓存等。 一、按缓存位置分类 按缓存位置分类,可以分为:Service Worker,Memory Cache,Disk Cache。 在 Chrome 浏览器开发者工具的Network的Size栏会出现的四种情况: from ServiceWorker from memory cache from disk cache ...
vue+springboot实现项目的CORS跨域请求
12-09
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源...
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的域名、协议或端口)获取资源。由于浏览器的安全策略,通常不允许这种跨域请求,但CORS通过添加特定的HTTP头部...
arcgis server10.2跨域(cors-filter-1.7,java-property-utils-1.9)
12-03
在这个场景中,我们关注的是如何解决ArcGIS Server在处理跨域请求时的问题,这涉及到Web开发中的一个重要概念——跨域资源共享CORS)。 跨域是Web浏览器为了安全起见实施的一种策略,限制了JavaScript从一个源...
老生常谈的跨域处理
11-28
2. **CORS (Cross-Origin Resource Sharing)**:CORS是一种现代浏览器支持的跨域方式,通过设置HTTP头部来允许特定的跨域请求。服务器端在响应头中添加`Access-Control-Allow-Origin`字段,指定允许跨域的源。例如:...
ajax跨域jar包.zip
04-01
为了解决这一问题,开发者通常采用CORS(Cross-Origin Resource Sharing,跨源资源共享)机制。 CORS是一种允许浏览器在用户代理之间安全地进行跨域请求的W3C标准。它通过在服务器端添加特定的HTTP头部,来告诉...
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5115
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
什么是 CORS(跨源资源共享)?
qq_37116560的博客
05-11 1781
现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下,JavaScript 遵循同源策略,只能调用与运行脚本在同一域中的 URL。那么,我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢? CORS 就是答案。 跨源资源共享 (CORS) 是一种允许网页访问在不同受限域上运行的API或资产的方式的机制。 什么是 CORS? 跨源资源共享 (CORS) 是一种浏览器...
HTTP访问控制(CORS
王鹤霖的专栏 三人行必有我师
03-03 908
--from https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或...
跨域资源共享
林见鹿鸣
10-12 1011
MDN官网说到,跨源资源共享 (CORS) (或通俗地译为跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。 跨源HTTP请求的一个例子:运行在 http://domain-a.com 的JavaScript代码使
XMLHttpRequest 详解
m0_48982503的博客
12-03 1万+
XMLHTTPRequest对象,顾名思义:是基于XML的HTTP请求。XMLHTTPRequest是一个浏览器接口,使得Javascript可以进行HTTP(S)通信。自从浏览器提供有了XMLHTTPRequest这个接口之后,ajax操作就此诞生
跨域资源共享 CORS 简介及 SpringBoot 代码实现
Passion for coding
05-19 765
为了避免 XSS、CSRF 等攻击,浏览器使用同源策略对跨域 HTTP 请求进行限制。对于前后端分离的项目,如果前端项目与后端项目部署在两个不同的域下,那么前端访问后端时会产生跨域问题。
CORS 跨域资源共享
sekever的博客
04-03 547
浏览器一般使用 CORS跨域资源共享)来处理跨域问题。同源导致了不同源数据不能互相访问,而在开发中我们很多时候需要用第一个页面的脚本访问第二个页面里的数据,所以制定了一些允许跨域的策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值