奇妙的跨域错误-Access-Control-Request-Private-Network

最新推荐文章于 2025-02-07 22:27:57 发布
最新推荐文章于 2025-02-07 22:27:57 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 问题探究 http 文章标签: 前端 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/riddle1981/article/details/126760339
版权
问题背景:

当我本地运行服务时莫名其妙报了cors错误

  • 首先,我检查了响应标头是明确存在cors消息的
  • 然后检查了请求端是否包含了额外头部,没有
  • 然后对比了响应字段,都能对上

此时发现了一个神奇字段,请求表头中含有Access-Control-Request-Private-Network

Access-Control-Request-Private-Network: true

初步断定与该字段有关

问题解决:

资料参考:

  • https://stackoverflow.com/questions/72385682/access-control-request-private-network-header-issues
  • https://stackoverflow.com/questions/70292687/cors-for-private-networks-rfc1918-warning-on-call-to-local-service

参看stackof上的同类问题,我测试发现该问题确实目前只在chrome上出现。但是答案中加请求头的方案没有解决我的问题,我的请求依然不能正常发出

此时我找到了w3c关于该字段的描述:https://wicg.github.io/private-network-access/

本文档指定了对 Fetch 和 HTML 的修改,这些修改旨在减轻与客户端内部网络上的设备和服务器无意暴露给整个 Web 相关的风险。

根据这个描述,我猜测如果我的请求地址是以localhost开始的则不会发起预检请求,事实也确实如此。至此这个神奇的跨域消失了。变成了一个没有预检请求的普通请求。

内网请求时:
在这里插入图片描述

换成localhost后,预检请求消失:
![在这里插入图片描述](https://img-blog.csdnimg.cn/9e6b0549b3494ec592f5e0a2a214a6f2.png

问题总结:

目前看到产生该问题的场景都是内网之间测试时产生的
该字段用于防止用户代理无意中对运行在用户本地 Intranet 上的设备或直接在用户机器上运行的服务进行攻击。因此:

当其客户端是安全上下文并且对目标源的CORS 预检请求成功时,才允许私有网络请求。

可以解决的方案有:

  • 更改chrome相关配置
  • 不使用chrome
  • 更改请求地址,使其避开这个问题

可参考:

  • https://stackoverflow.com/questions/72385682/access-control-request-private-network-header-issues
SpringBoot
@龙猫的博客
10-21 4621
SpringBoot // Copyright 2016-2101 Pica. package com.pica.cloud.commercialization.crrs.filter; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servle...
你知道吗?chrome自动更新到104版本,居然引起Java服务内存泄漏
Q54665642ljf的博客
08-15 197
近期在工作中,遇到了一次很有意思的内存泄漏,把排查过程和思路记下来,供大家参考和学习,如有不正确的,欢迎指正。1、为什么都是半托管的客户报这个问题,公有云未有客户反馈答:只有半托管客户满足公有ip访问私有ip的条件,且部分用户的chrome浏览器自动更新了2、这些半托管的客户为了稳定,代码已经很久没升级,代码都是2021年的,为什么都跟商量好似的,一起报问题,难道我有bug吸引体质?答:chrome自动更新导致3、为什么这些客户,物理机房隔离,问题表象却都一样?...
『可组合的Vue』别样的“小组件”设计
flying meng的菜鸟居
01-12 3744
最近在设计笔者所在组自己的组件库。从设计上看,一个组件库是否“成功”取决于前期的设计 —— 我决定用上ITCSS模型。为这个组件的团队维护、扩展打下坚实的基础。 但这还不够,组件库最重要的组件往往是非大型库开发中最容易被忽视的。为此,我将组件从使用场景上分为两种类型: 大组件:也叫“场景组件”。功能完善,自成一片天地。取之即用,通过传参在内部做不同处理 —— 或渲染不同UI、或返回不同值。最重要的是:不会侵入页面逻辑。也就是说,无论谁在什么场景下调用,都是相同的方式。拿到值以后这个组件在当前操作流中就算完
HTTP访问控制(CORS)
王鹤霖的专栏 三人行必有我师
03-03 1066
--from https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或...
Ajax请求(一):什么是CORS
最新发布
2501_90498758的博客
02-07 1809
上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 名 + 端口)。服务器根据这个值,决定是否同意这次请求。如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含字段(详见下文),就知道出错了,从而抛出一个错误,被的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。如果Origin指定的名在许可范围内,服务器返回的响应,会多出几个头信息字段。
谷歌92版本以上私有网络控制Private Network Access 异常
sea_qiu的博客
11-24 1665
什么是私有网络访问 Private Network Access (以前称为 CORS-RFC1918 )限制了网站向私有网络上的服务器发送请求的能力。 根据规范,此类请求只允许来自安全上下文。另外,该规范扩展了资源共享( CORS )协议,因此网站现在必须在 允许发送任意请求之前,必须显式请求私有网络上服务器的许可。 私有网络是指目标服务器的IP地址比从其获取请求服务器的IP地址更私有的请求。例如,从公共网站( https://example.com )向私有网站( http://router..
Vue使用proxy提示 “Refused to set unsafe header “Referer“”
热门推荐
前端小白-Mr鹏帅
03-05 1万+
在调用另一个源节点接口的时候,报错提示“Refused to set unsafe header "Referer" 报错信息 经过查询发现是因为浏览器拒绝人为设置伪装的referer 正巧不巧,在用vue的proxy来进行处理,由此记录一下用法。 这是在调用axios的方法 method:'post', url:"/api/v1/home/page", headers:{ 'Content-Type':'application/x-www-form-ur
前端设置Cookie请求头报错 Refused to set unsafe header “Cookie“
weixin_56530078的博客
09-11 3141
前端设置Cookie请求头报错 Refused to set unsafe header "Cookie"
Access-Control-Request-Met
07-28
- *1* *3* [奇妙错误-Access-Control-Request-Private-Network](https://blog.csdn.net/riddle1981/article/details/126760339)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
问题的原因及解决对策
Apollo的博客
03-25 3173
内容来自两篇非常好的文章 https://zhuanlan.zhihu.com/p/145837536 https://zhuanlan.zhihu.com/p/66484450 问题的由来 相信很多人都或多或少了解过问题,尤其在现如今前后端分离大行其道的时候。 你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spring boot 提供的,端口号是7001。 当你调用一个服务端接口时,很可能得到类似下面这样的一个错误: 然后你在发送请求的地方debug
IS-IS 知识点回顾 | 数据包泛洪控制 | SRM SSN
u013669912的博客
01-21 1397
……
allow-cors-access-control.zip
04-16
谷歌插件, 解压后将allow-cors-access-control.crx拖拽至谷歌扩展程序中, 并点击toggle即可
AWS SAA-C03考试题库
IT考试认证
02-23 1918
解析:Answer directly points towards file gateway with lifecycles, https://docs.aws.amazon.com/filegateway/latest/files3/CreatingAnSMBFileShare.html。解析:https://docs.aws.amazon.com/athena/latest/ug/what-is.html。
Chrome 重大更新,CORS 增加了两个新的请求头?
Benxiaohai_311的博客
08-26 2359
这个版本,对私有网络的限制正式生效啦,主要目的是保护用户免受针对私有网络上的路由器和其他设备的。地址比发起请求的网址更私密,私有网络的预检请求也会针对同源请求发送。能问出这俩问题,一定没好好看我的公众号,其实之前在多篇文章里都提到过相关的策略解读,注意:无论请求方法和模式如何,都会为所有私有网络请求发送预检请求。同源请求的预检请求还可防止。开始,如上面我们介绍的预检请求失败,请求依然会成功,但会在。,也是可以请求成功的,不过这个风险较大,不建议设置。)会限制网站向私有网络上的服务器发送请求的能力。...
触发HTTP preflight预检及的处理方法
qq_29517595的博客
03-06 2395
触发HTTP preflight预检及的处理方法
谷歌新版本错误深度剖析与解决:request client is not a secure context and the resource is in more-private address
秋̶᭄ꦿ攻城狮࿆ྂ
11-29 4750
最近在测试http服务时,谷歌浏览器报了以下错误从报错信息来看,“不安全的请求方请求了更私有的本地资源”对于该错误,其实已经在几个月前就已经遇到过,当时对于此的解决方式是修改谷歌浏览器的设置以关闭该检查。如今,这个错误又一次出现,并且当初修改设置的方式已经不再可行,所以需要寻找其他方法。这篇博文将分析该错误的原因与相关解决方案。
chrome升级后报错The request client is not a secure context and the resource is in more-private address sp
weixin_43333483的博客
02-26 5638
has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `private
Nginx 配置+设置访问控制
weixin_45409371的博客
11-02 1308
一、Nginx 配置 (1)准备安装包 百度云分享链接:https://pan.baidu.com/s/1Ly31-Ph3CFf470jbWSIv0g (2)第一步:
资源共享 CORS 详解
weixin_34365417的博客
04-19 2410
资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值