什么是cors?原理是什么?

于 2024-06-18 09:16:18 发布
阅读量639 收藏 10
点赞数 13
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60504665/article/details/139760796
版权

CORS(Cross-Origin Resource Sharing)是一种浏览器技术的规范,也被称为跨域资源共享。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持,所有现代浏览器都支持此功能,但IE浏览器不能低于IE10。

CORS的原理可以概括如下:

  1. 请求发出方(浏览器)
    • 当浏览器发出一个请求时,它会在请求头中携带一个Origin字段,这个字段指明了请求的来源(协议 + 域名 + 端口)。
  2. 服务器端
    • 当服务器接收到这个请求时,它会检查Access-Control-Allow-Origin这个响应头。
    • 如果服务器允许这个请求,它会返回一个包含Access-Control-Allow-Origin的响应头,这个头信息会指明哪些域可以访问该资源,以及是否需要凭据(如Cookie)。
    • 如果请求的域不在服务器的许可范围内,服务器会返回一个正常的HTTP响应,但不含Access-Control-Allow-Origin字段,此时浏览器会抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。
  3. 浏览器端
    • 如果Access-Control-Allow-Origin响应头允许请求来自指定域,并且响应不包含Vary: Origin头,浏览器将接受响应。
    • 否则,浏览器将拒绝响应,不允许其他网站访问资源。

CORS的两种请求类型:

  • 简单请求(Simple Request)
    • 请求方法是HEAD、GET、POST中的一种。
    • HTTP的头信息不超出特定的字段范围,如Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type(只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain)。
    • 对于简单请求,浏览器直接发出CORS请求,并在头信息中增加一个Origin字段。
  • 非简单请求(Not-So-Simple Request)
    • 不满足简单请求条件的请求都属于非简单请求。
    • 对于非简单请求,浏览器会先发出一个预检请求(OPTIONS请求),询问服务器是否允许这个跨域请求。预检请求会包含一些额外的头信息,如Access-Control-Request-MethodAccess-Control-Request-Headers,用于告知服务器实际的请求方法和将要使用的头信息。
    • 服务器在接收到预检请求后,会检查请求头中的Origin字段,并决定是否允许这个跨域请求。如果允许,服务器会返回一个包含Access-Control-Allow-OriginAccess-Control-Allow-Methods等响应头的预检响应。
    • 浏览器在接收到预检响应后,会判断服务器是否允许这个跨域请求。如果允许,浏览器会发出实际的跨域请求。

CORS的优势在于它可以让所有现代浏览器都支持跨域请求,从而为用户提供更好的体验。然而,需要注意的是,某些古老的浏览器可能不支持CORS或支持有限。

那维莱特
关注
  • 13
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CORS:了解CORS
02-16
CORS:了解CORS
Springboot跨域CORS处理实现原理
08-19
Springboot 跨域 CORS 处理实现原理 本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源...
cors深度解析
weixin_43623017的博客
03-01 1372
什么是cors? cors,中文是跨域资源共享,是http头的协议机制,用来解决浏览器跨域问题。 什么是跨域? 老生常谈的问题,不过多赘述了,需要注意的一个点是在跨域的情况下,请求是可以被发送到服务端的,并不是没有发出去,而且服务端也是可以接受到请求头或者请求体,正常处理这个请求,只是前端拿不到response,不要误以为是前端请求没有发出去,这点也经常被用来做csrf攻击。 cors涉及相关的请求响应头都有哪些?分别是什么? 请求头 描述 Origin 网站请求的URL,无论跨域总默认被发
跨域资源共享 CORS 解析
Spontaneous_0的博客
02-03 141
跨域资源共享 CORS 解析
CORS原理及应用
dianyi3179的博客
07-09 281
CORS原理及应用 CORS是跨站资源共享,同样是解决浏览器的同源策略 其本质是设置响应头,使得浏览器允许跨域请求。 第三方网站返回数据的时候在浏览器的响应头中添加允许的域名,允许所有的用* 1 简单请求 简单请求是只发一次请求 ajax请求不变,第三方后台修改 s4的后台,在返回值中添加允许的域名和端口,注意不同后面写具体的域名,自己出错是在后面加上了cors 允许所有的,用* d...
CORS原理
weixin_34192816的博客
02-19 342
http://blog.csdn.net/renfufei/article/details/51675148 https://html.spec.whatwg.org/multipage/infrastructure.html#cors-settings-attribute http://www.ruanyifeng.com/blog/2016/04/cors.html http://www...
cors原理
qq_40409143的博客
12-01 1306
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
原理分析CORS——我们到底是怎么跨域的
weixin_34254823的博客
10-06 127
同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好: URL 说明 是否允许 http://www.a.com/a.js/ http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js / http://www.a.com/script/b.js...
跨域有几种解决方式?原理是什么?跨域.docx
01-06
- **CORS**:如果对方服务器支持设置CORS响应头,可以通过协商使其添加`Access-Control-Allow-Origin`等字段,允许我们的站点访问其API。 - **JSONP**:如果API支持JSONP格式返回数据,则可以在前端构建一个`...
Yii支持多域名cors原理的实现
01-20
平常我们遇到跨域问题时,常使用 cors(Cross-origin resource sharin)方式解决。不知你是否注意到,在设置响应头 Access-Control-Allow-Origin 域的值时,只允许设置一个域名,这意味着不能同时设置多个域名来共享...
encors:encors是用于戒指的CORS
01-28
**正文** `encors` 是一个专门为 Clojure 语言构建的 CORS (Cross-Origin ...通过理解 CORS 的工作原理和 `encors` 的使用方式,你可以更好地创建允许跨域访问的 RESTful API,提高 Web 应用的可交互性和兼容性。
跨域CORS原理及调用具体示例
dawuafang
06-20 103
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
CORS原理详解
qq_44197554的博客
05-31 4817
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
CORS原理(为什么会发OPTIONS方法及问题总结)
haonan_z的博客
12-23 954
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器需要服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Contr
CORS实现原理
文生同学
03-21 2308
1.简介 CORS,跨域资源共享,需要浏览器和服务器同时支持,基本思想为使用自定义的HTTP头部让浏览器和服务器通信 2.分类 浏览器将CORS分为两类: 简单请求 HEAD,GET,POST, HTTP头部信息不超出几个字段 非简单请求 HEAD请求 只请求页面的首部,可以判断一个资源是否存在 3.简单请求 浏览器直接发出CORS请求,在头信息中添加一个Origin字段,用来...
CORS跨域的原理
yan的秘密基地
05-04 1980
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Control-
什么是CORS
NonStatic的博客
02-01 3292
英文原文来自我的GitHub页面。 CORS = Cross-Origin Resource Sharing 什么是 Origin 要理解CORS,首先得理解什么是 “Origin”。参见RFC6454:如果两个URI拥有相同的schema,host和port,我们就认为他们是来自于相同的Origin。以下是一个完整的URI的定义:     scheme:[//[user[:passw
CORS原理及详细使用(转载)
友人C君的博客
05-02 6376
CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请求类型:...
CORS具体是什么原理以及如何实现
最新发布
04-26
CORS是跨源资源共享的缩写,它是一种浏览器端的安全机制。CORS允许服务器在响应请求时,在响应头中指定哪些域名可以访问该服务器的资源,从而限制了跨域访问的范围。CORS的实现涉及到两个关键步骤: 1. 服务器端设置响应头 服务器端在处理请求时,如果允许跨域访问,就需要在响应头中添加一些特殊的字段,比如Access-Control-Allow-Origin,Access-Control-Allow-Methods等。 2. 浏览器端发送请求 浏览器在发送跨域请求时,会在请求头中添加一个特殊的字段Origin,用于标识该请求的来源。 当服务器端返回响应时,浏览器会判断响应头中是否包含Access-Control-Allow-Origin字段,并且该字段的值是否包含该请求的来源。如果条件都满足,则该跨域请求才会被浏览器接受和处理。 注意,CORS只是浏览器端的一种安全机制,服务器端的安全机制依然需要靠其他方式进行保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值