“跨域&CORS“

于 2023-05-16 21:27:27 发布
阅读量317 收藏
点赞数 1
文章标签: servlet http 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61324100/article/details/130714499
版权

什么是CORS?

CORS(Corss-Origin Resource Sharing,跨域资源共享)由一系列http响应头组成,这些http响应头决定浏览器是否阻止前端JS代码跨域获取数据。

​ 浏览器的同源安全策略默认阻止网页跨域获取资源。但是如果服务器配置了CORS相关的HTTP响应头,就可以解除浏览器端的跨域访问限制。

CORS的注意事项

​ CORS主要在服务端进行配置。客户端浏览器无需做任何配置,即可开启CORS接口。

​ CORS在浏览器中有兼容性。只有支持了XMLHttpRequest level2的浏览器,才能正常访问开启CORS的服务器接口(如ie10,chrom4+,FireFox3.5+)。

1.CORS相关的3个响应头

1.Assess-Control-Allow-Origin

// 语法
Assess-Control-Allow-Origin: <origin> | *
  • origin参数指定了允许访问该资源的外域url
  • *表示允许任何域的请求

使用示例:

// 如只支持来自 http://pancc.cn的请求:
res.setHeader('Assess-Control-Allow-Origin','http://pancc.cn')

2.Assess-Control-Allow-Headers

​ 默认情况下只支持客户端向服务器发送如下9个请求头

Accept
Accept-Language
Content-Language
DPR
Downlink
Save-Date
Viewport-Width
Width
Content-Type
  • 值仅限于 text/plain,multipart/form-data,application/x-www-form-urlencoded三者之一
  • 如果客户端向服务端发送了额外的请求头,则需要在服务端,通过Assess-Assess-Control-Allow-Headers对额外的请求头进行声明,否则会请求失败。

使用示例:

// 如客户端额外向服务器发送Content-Type请求头和X-Pancc-Header请求头
res.setHeader('Assess-Control-Allow-Headers','Content-Type,X-Pancc-Header')

3.Assess-Control-Allow-Method

​ 默认情况下,CORS仅支持客户端发起GETPOSTHEAD请求。

​ 如果客户端希望通过PUT、DELETE等方式请求服务器资源,则要在服务器端,通过Assess-Control-Allow-Method来指明实际请求所允许使用的HTTP方法。

使用示例:

// 如只允许GET、POST、HEAD、DELETE请求方式
res.setHeader('Assess-Control-Allow-Method','GET,POST,DELETE,HEAD')
// 允许所有请求方式
res.setHeader('Assess-Control-Allow-Method',*)

2.CORS请求的分类

​ 客户端在请求CORS接口的时候,根据请求方式请求头的不同,可以将CORS的请求分为两大类:简单请求,预检请求

1.简单请求

同时满足两个条件,就属于简单请求:

  • 请求方式只为GET、POST、HEAD三者之一
  • HTTP头部信息只能为上面的九种

2.预检请求

​ 当浏览器与服务器进行正常通信之前,浏览器会发送OPTION请求进行预检,以获知服务器是否允许该实际请求。这一次OPTION请求,就称为预检请求。服务器成功响应预检请求后,客户端才会发送真正的请求,并且携带数据。

只要满足以下任何一个条件的请求,都需要进行预检请求:

  • 请求方式为GET、POST、HEAD三者之外的请求
  • 请求头中包含自定义头部字段
  • 向服务器发送了application/json格式的数据

示例:

		$('#btnGet').on('click', () => {

            $.ajax({
                // 简单请求
                method: 'Get',
                url: 'http:127.0.0.1:8080/api/get',
                data: {
                    uname: 'zs',
                    age: 18
                },
                success: res => {
                    console.log(res)
                }
            })
        })

        $('#btnDelete').on('click', () => {
            // 预检请求
            $.ajax({
                method: 'DELETE',
                url: 'http:127.0.0.1:8080/api/delete',
                success: res => {
                    console.log(res)
                }
            })
        })
  • 可以看到简单请求客户端与服务器之间只发了一次请求,预检请求发了两次。

简单请求与预检请求的区别:

  • 简单请求客户端与服务器之间只会发生一次请求
  • 预检请求客户端与服务器之间发生两次请求,OPTION预检请求成功以后,才会发起真正的请求

3.cors中间件解决跨域问题

(1)导入cors

const cors = require('cors')

(2)注册cors中间件

app.use(cors())

JSONP与CORS的区别:

  • JSONP只支持GET请求,不支持POST请求
  • CORS都支持,属于跨域请求根本解决方案

扩展:

​ 手写JSONP解决get请求方式的跨域问题

// 编写JSONP接口
app.get('/api/jsonp', (req, res) => {

    const funcName = req.query.callback           // 1.得到函数名称
    const data = { uname: 'zs', age: 18 }         // 2.要发送到客户端的数据对象
    const scriptStr = `${funcName}(${JSON.stringify(data)})` //3.拼接出一个函数调用
    res.send(scriptStr)                                      // 4.把拼接后的字符串,响应给客户端
})
  • 如果项目中已经配置了CORS跨域资源共享,为了防止冲突,必须在CORS中间件之前声明JSONP接口。

调用JSONP接口

		 $.ajax({
                method: 'Get',
                url: 'http:127.0.0.1:8080/api/jsonp',
                dataType: 'jsonp',  // 发起jsonp请求
                success: res => {
                    console.log(res)
                }
            })
PanCc220
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
注解@CrossOrigin解决跨域问题
weixin_30668887的博客
06-11 2142
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。   跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不...
Firefox浏览器报错:CORS请求未能成功
snowflakelm的博客
08-31 6986
最近在开发中遇到个问题,项目部署完后在Google浏览器能正常使用,但是在Firefox浏览器报跨域拦截(CORS请求未能成功);经检查后端代码以及Nginx都已经配置了跨域相关的代码,按理不应该在出现跨域问题啊。经排查发现问题出在证书上,Firefox认为后端证书不安全从而进行了拦截,好像是项目的域名与证书不一致导致。证书管理器弹窗里切到服务器部分,点击添加例外,再把需要信任的地址添加进去,就可以正常访问了。由于这是浏览器的安全机制做的拦截,只要让浏览器信任该证书就行。...
服务器使用了cors解决跨域,但在火狐中还是出现了跨域问题
最新发布
m0_62395042的博客
03-30 2126
在开发环境中查看端口号的设置,在Firefox浏览器中,通常会禁止使用一些端口号,例如3000、5000、8000等端口。因此,Firefox浏览器默认情况下可能不允许访问这些端口号上的资源。因此,如果你在使用Firefox浏览器时遇到了端口号3000无法访问的问题,可以尝试使用其他端口号,如8080、8888等。而在Chrome浏览器中,通常不会对端口号进行限制,因此使用任何端口号都是可以的。Firefox浏览器对跨域请求的限制较严格,需要在服务器端明确设置响应
@CrossOrigin及其实现跨域原理
cristianoxm的博客
05-18 9145
一、关于什么是跨域及解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
注解@CrossOrigin详解
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
浏览器跨域插件Moesif Origin & CORS Changer 0.4.7
09-24
浏览器跨域插件Moesif Origin & CORS Changer 0.4.7。解决跨域Cross-Origin Read Blocking (CORB) blocked cross-origin response。亲测有效
Moesif Origin & CORS Changer
09-04
Chrome插件 主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题
Moesif Origin & CORS Changer-crx插件
04-01
该插件可让您发送跨域请求。 您也可以覆盖“请求来源”和“ CORS”标。 此插件可让您直接从浏览器发送跨域请求,而不会收到跨源错误。 您可以使用此插件覆盖Request Origin标,并将Access-Control-Allow-Origin...
Moesif Origin & CORS Changer 0.2.11
09-27
Moesif Origin & CORS Changer 0.2.11跨域访问
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
@CrossOrigin注解的作用其实就是解决跨域问题
weixin_53242188的博客
04-08 1904
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非
设置CORS响应实现跨域(含CORS含义及原理)
unlilalila的博客
11-02 4287
CORS(Cross-Origin Resource Sharing),跨域资源共享。 CORS是官方的跨域解决方案,其特点是不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持 get 和 post 请求。跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。 原理: CORS通过设置一个响应来告诉浏览器,该请求允许跨域,浏览器收到该响应后就会对响应放行。 实现:(只需在服务端加上响应) app.all('/cors-server',(
response设置响应,解决跨域请求问题,No 'Access-Control-Allow-Origin' header is present on the requested resource
热门推荐
益添的博客
05-15 25万+
今天被跨域请求的问题困扰了很久,跨域一句话的理解就是:服务端和请求端的地址不一样。跨域的详细介绍可以参考:浏览器和服务器实现跨域(CORS)判定的原理,这里不多赘述。我出现的问题,主要就是客户端向发送了服务端请求,服务器已经能返回数据,但是浏览器不接收。Failed to load http://localhost:8080/XXXX: No 'Access-Control-Allow-Origi...
跨域请求-CrossOrigin注解
Stony_Confident的博客
03-15 1万+
什么是跨域请求 浏览器的同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 从一个域上加载的脚本不允许访问另外一个域的资源。 同源是指协议、ip地址、端口三者全部相同的情况。 举个例子: 在页面http://0.0.0.0:8000/crossorigin.html 中发起一个http请求,通过 XMLHttpRequest对象请求后端接口 http://127.0.0.1:808...
SpringMVC 4.2 后增加跨域支持app、接口(注解CrossOrigin)
程序猿开发日志【学习永无止境】
06-23 1万+
什么是跨域 简单的说即为浏览器限制访问A站点下的js代码对B站点下的url进行ajax请求。比如说,前端域名是www.abc.com,那么在当前环境中运行的js代码,出于安全考虑,访问www.xyz.com域名下的资源,是受到限制的。现代浏览器默认都会基于安全原因而阻止跨域的ajax请求,这是现代浏览器中必备的功能,但是往往给开发带来不便。特别是对我这样后台开发人员来讲,这个事情简直神奇。
CORS 专题
weixin_33843947的博客
05-16 299
CORS跨域资源共享,Cross-Origin Resource Sharing)CORS其实出现时间不短了,它在维基百科上的定义是:跨域资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允...
spring注解@CrossOrigin不起作用的原因之一
taiyangnimeide的博客
10-21 3万+
以前解决Rest服务的跨域问题都是都是使用Spring的@CrossOrigin注解,但是昨天一个前端同事告诉我有跨域请求问题。          试了几次,都开始怀疑@CrossOrigin是否真的能解决跨域问题了。          其实,如果先分析一下网络的话。        会发现响应状态码是405 - 用来访问本页面的 HTTP 谓词不被允许(方法不被允许)。  
WebGL在Firefox浏览器中已拦截跨源请求(CORS 缺少)的解决方法(服务器为IIS)
悲欢离合的博客
07-18 7012
首先我们需要打开控制面板->管理工具->IIS管理器,在其中点击我们的服务器,选择IIS中的HTTP响应,双击打开。 在HTTP响应中添加规则

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值