CORS 跨域资源共享

最新推荐文章于 2024-04-06 09:28:41 发布
最新推荐文章于 2024-04-06 09:28:41 发布
阅读量289 收藏 1
点赞数
文章标签: node.js 前端 npm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qz9420/article/details/124698422
版权

使用cors解决跨域

const express = require('express')
// 下载cors中间件 npm i cors
// 导入cors中间件
const cors = require('cors')
const app = express()
// 使用cors中间件 -- 在路由之前配置
app.use(cors())
app.use(express.json())
app.use(express.urlencoded({ extended: false }))
app.get('/api', (req, res) => {
    // 通过查询字符串获取到客户端发送来的数据
    const query = req.query
    // 调用res.send()方法,把数据响应给客户端
    res.send({
        code: 200,
        msg: 'GET请求成功!',
        data: query
    })
})
app.post('/api', (req, res) => {
    const data = req.body
    res.send({
        code: 200,
        msg: 'POST请求成功!',
        data: data
    })
})
app.listen(8085, () => {
    console.log('服务器运行在http://127.0.0.1:80');
})

什么是CORS?

CORS(Cross-Origin Resource Sharing,跨域资源共享)由一系列HTTP响应头组成,这些响应头决定了浏览器是否阻止前端JS代码跨域获取资源,如果配置了CORS相关的HTTP响应头,就可以解除浏览器端的访问限制
在这里插入图片描述

使用CORS的注意事项

① CORS主要在服务器端进行配置,客户端无需做任何配置
② CORS在浏览器中有兼容性,只支持XMLHttpRequest Level2 的浏览器(例如:IE10+、Chrome4+、FireFox3.5+)

CORS响应头部 -Access-Control-Allow-Origin

响应头部中可以携带一个Access-Control-Allow-Origin字段,其语法如下

Access-Control-Allow-Origin: <origin> | *

其中,origin参数的值指定了允许访问该资源的URL
例如:下面的字段将只允许来自 http://itcast.cn 的请求

res.setHeader('Access-Control-Allow-Origin', 'http://itcast.cn')

如果指定了 Access-Control-Allow-Origin 的字段值为通配符 * ,表示允许来自任何域的请求,代码如下

res.setHeader('Access-Control-Allow-Origin', '*')

Access-Control-Allow-Headers

默认情况下,CORS仅支持客户端向服务器发送的如下9个请求头:
Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width、Content-Type(值仅限于 text/plain、multipart/form-data、application/x-www-form-urlencoded三者之一)
如果客户端向服务器发送了额外的请求头信息,则需要在服务端通过Access-Control-Allow-Headers 对额外的请求头进行声明,否则会请求失败!

//允许客户端额外向服务器发送Content-Type请求头和X-Custom-Header 请求头
//注意:多个请求头之间使用英文的逗号进行分割
res.setHeader( ' Access-Control-Allow-Headers ''Content-Type,X-Custom-Header ')

Access-Control-Allow-Methods

默认情况下,CORS仅支持客户端发起GET、POST、HEAD请求。
如果客户端希望通过 PUT、DELETE等方式请求服务器的资源,则需要在服务器端,通过Access-Control-Allow-Methods来指明实际请求所允许使用的HTTP方法。
示例代码如下:

//只允许POST、GET、DELETE、HEAD请求方法
res.setHeader ( ' Access-Control-Allow-Methods ''POST, GET, DELETE, HEAD ')
//允许所有的HTTP请求方法
res.setHeader( 'Access-Control-Allow-Methods ', '*')

简单请求

同时满足以下两大条件的请求,就属于简单请求:
① 请求方式:GET、POST、HEAD三者之一
② HTTP头部信息不超过以下几种字段:无自定义头部字段、Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、Content-Type(只有三个值application/x-www-form-urlencoded、multipart/form-data、text/plain)

预检请求

只要符合以下任何一个条件的请求,都需要进行预检请求:
① 请求方式为GET、POST、HEAD之外的请求Method类型
② 请求头中包含自定义头部字段
③ 向服务器发送了application/json格式的数据
在浏览器与服务器正式通信之前,浏览器会先发送ОPTION请求进行预检,以获知服务器是否允许该实际请求,所以这-次的OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。

予倾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
解决跨域问题的方法 --- CORS
z_2532040197的博客
08-01 2078
CORS 全称是"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持。但是目前基本上浏览器都支持,所以我们只要保证服务器端服务器实现了 CORS 接口,就可以跨源通信。 在数据包的头部配置Access-Control-Allow-Origin字段以后,数据包发送给浏览器后, 浏览器就会根据这里配置的白名单 "放行" 允许白名单的服务器对应的网页来用ajax跨域访问 。...
「 典型安全漏洞系列 」10.跨域资源共享CORS漏洞详解
最新发布
网络安全
04-06 1167
跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发跨域攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。
什么是 CORS(跨源资源共享)?
qq_37116560的博客
05-11 1552
现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下,JavaScript 遵循同源策略,只能调用与运行脚本在同一域中的 URL。那么,我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢? CORS 就是答案。 跨源资源共享 (CORS) 是一种允许网页访问在不同受限域上运行的API或资产的方式的机制。 什么是 CORS? 跨源资源共享 (CORS) 是一种浏览器...
使用 Express 写接口
weixin_43563864的博客
10-27 1349
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
CORS跨域资源共享及解决方案.docx
10-26
CORS跨域资源共享及解决方案.docx
跨域资源共享 CORS 简介及 SpringBoot 代码实现
Passion for coding
05-19 727
为了避免 XSS、CSRF 等攻击,浏览器使用同源策略对跨域 HTTP 请求进行限制。对于前后端分离的项目,如果前端项目与后端项目部署在两个不同的域下,那么前端访问后端时会产生跨域问题。
跨域资源共享CORS
m0_53328239的博客
07-16 786
跨域资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他域名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些跨域的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
跨域资源共享CORS)详解
TechEnthusiast的博客
12-29 549
跨域资源共享CORS)是一项关键的 Web 安全机制,用于解决由同源策略引起的跨域问题。在这篇文章中,我们将深入探讨 CORS 的概念、原理和最佳实践,以帮助开发者更好地理解和应对跨域请求的挑战。
第五章 跨域资源共享CORS):现代Web开发中的关键机制
球球不吃虾WHR2349博客
01-10 917
在现代Web开发中,不同源之间数据交换的需求日益增长。然而,出于安全原因,浏览器对从一个域向另一个域发起请求有着严格的限制,这就是同源策略(Same-Origin Policy)。然而,同源策略限制了后端访问接口必须与网站一致!这就非常不灵活,尤其现在web应用多为多端应用,共用一个服务的情况下。(这里是重点)为了解决这一问题,并实现安全、灵活的跨域通信,跨域资源共享(Cross-Origin Resource Sharing, 简称CORS)应运而生。
什么是跨域资源共享CORS)?如何在前端中处理CORS问题?
热门推荐
官方推荐
10-08 1万+
什么是跨域资源共享CORS)?如何在前端中处理CORS问题?
跨域资源共享(CORS)详解
duzm200542901104的专栏
12-26 3005
一、跨域请求: 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 二、跨域资源共享CORS): 出于安全原因,浏览器限制从脚本内发起的跨域HTTP请求。 例如,XMLHttpRequest遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同...
HTTP学习——跨域资源共享(CORS)
Hoorus的窝
08-07 906
http学习
CORS-跨域资源共享
Ciao's blog
11-12 331
项目搭建初期常见的跨域问题
CORS(跨域资源共享)
weixin_30954607的博客
05-15 299
1, 简介CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,...
cors跨域资源共享
07-28
CORS(Cross-Origin Resource Sharing)是一种机制,用于允许在一个域名下的Web应用程序访问另一个域名下的资源。默认情况下,浏览器会...希望这能解答你关于CORS跨域资源共享的问题!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值