CORS 过程

最新推荐文章于 2023-10-19 11:42:02 发布
最新推荐文章于 2023-10-19 11:42:02 发布
阅读量865 收藏
点赞数 1
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/siriusol/article/details/104161142
版权

CORS (Cross-Origin Resource Sharing)是由 W3C 制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。在 Java EE 开发中,最常见的前端跨域请求解决方案是 JSONP,但是 JSONP 只支持 GET 请求,这是一个很大的缺陷,而 CORS 则支持多种 HTTP 请求方法。以 CORS 中的 GET 请求为例,当浏览器发起请求时,请求头中携带了如下信息:

...
Host: localhost:8080 
Origin: http://localhost:8081 
Referer: http://localhost:8081/index.html
...

假如服务端支持 CORS,则服务端给出的响应信息如下:

...
Access-Control-Allow-Origin: http://localhost:8081 
Content-Length: 20 
Content-Type : text/plain;charset=UTF-8 
Date: Thu, 12 Jul 2018 12:51:14 GMT
...

响应头中有一个 Access-Control-Allow-Origin 字段,用来记录可以访问该资源的域。当浏览 器收到这样的响应头信息之后,提取出 Access-Control-Allow-Origin 字段中的值,发现该值包含当前页面所在的域,就知道这个跨域是被允许的,因此就不再对前端的跨域请求进行限制。这就是 GET 请求的整个跨域流程,在这个过程中,前端请求的代码不需要修改,主要是后端进行处理。这个流程主要是针对 GETPOST 以及 HEAD 请求,并且没有自定义请求头,如果用户发起一个 DELETE 请求、 PUT 请求或者自定义请求头,流程就会稍微复杂一些。

以 DELETE 请求为例,当前端发起一个 DELETE 请求时,这个请求的处理会经过两个步骤。

  1. 发送一个 OPTIONS 请求。代码如下:
...
Access-Control-Request-Method DELETE 
Connection keep-alive 
Host localhost:BOBO 
Origin http://localhost: 8081
...

这个请求将向服务端询问是否具备该资源的 DELETE 权限,服务端会给浏览器一个响应,代码如下:

...
HTTP/1.1 200
Access-Control-Allow-Origin: http://localhost:8081 
Access-Control-Allow-Methods: DELETE
Access-Control-Max-Age: 1800 
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH 
Content-Length: 0 
Date: Thu, 12 Jul 2018 13:20:26 GMT
...

服务端给浏览器的响应, Allow 头信息表示服务端支持的请求方法,这个请求相当于一个探测请求,当浏览器分析了请求头宇段之后,知道服务端支持本次请求, 则进入第二步。

  1. 发送 DELETE 请求。接下来浏览器就会发送一个跨域的 DELETE 请求,代码如下:
...
Host: localhost:8080 
Origin: http://localhost:8081 
Connection: keep-alive 
...

服务端给一个响应:

...
HTTP/1.1 200
Access-Control-Allow-Origin: http://localhost:8081
Content-Type: text/plain;charset=UTF-8
Date: Thu, 12 Jul 2018 13:20:26 GMT
...

至此, 一个跨域的 DELETE 请求完成。 无论是简单请求还是需要先进行探测的请求,前端的写法都是不变的,额外的处理都是在服务端来完成的。

siriusol
关注
专栏目录
cors跨域包
01-19
在开发和调试过程中,了解CORS的工作原理和浏览器的同源策略是非常重要的。同时,正确配置和使用CORS过滤器可以有效地避免跨域相关的安全和兼容性问题,确保Web应用能够顺畅地与其他源进行交互。对于大型项目或API...
错误Access-Control-Allow-Origin原因及解决方法
qq_39842253的博客
04-03 1万+
原因:游览器有同源策略的限制,阻止你使用JavaScript从跟你不同源的网站(别人的网站服务器)获取数据 解决方法:让提供数据的服务器,通过HTTP响应头设置Access-Control-Allow-Origin -> ‘*’ 只是让游览器忽略,跟服务器逻辑无关 跨域取数据 ...
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
axios springboot 跨域问题解决 Access-Control-Allow-Origin Access-Control-Allow-Credentials
tang_jian_dong的博客
09-03 4791
这是本地环境解决用的, 部署服务器测试或生产环境时必须注释掉, 服务器环境下有nginx可以解决跨域问题。 最终解决为步骤 5。 1:403 前端访问后端controller 403 , 代表跨域无权限访问 2: 后端类加上 @CrossOrigin 放开权限的注解, 3:@CrossOrigin 为 * , 下图图片Access-Control-A...
Access-Control-Allow-Origin 跨域资源请求报错解决方案
resdust的博客
11-01 3546
做uni-app前端开发时,遇到CORS策略问题: ```json :8081/#/pages/index/index:1 Access to XMLHttpRequest at 'http://api-remote.xxxx.com'/version/getCurrentVersion' from origin 'http://localhost:8081' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header i
CORS原理及详细使用(转载)
友人C君的博客
05-02 6405
CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请求类型:...
CORS Scanner工具
最新发布
02-21
总之,CORS Scanner工具是Web开发过程中不可或缺的安全检查工具,尤其在构建API服务或者涉及跨域交互的应用时,其价值尤为凸显。正确理解和使用这类工具,有助于提升Web应用的安全性和用户体验。
Django中使用CORS实现跨域请求过程解析
01-20
1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 3.设置中间件 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 4.添加允许访问...
NodeJS配置CORS实现过程详解
01-19
跨域问题主要在header上下功夫 ...这两个有助于帮助大家理解header的类型和作用, 但是遗憾的是跨域相关的两个header属性我都没有找到相关的定义, 下面直接告诉大家 1是Access-Control-Allow-Origin 允许的域 2是...
CORS实现原理
liuzhupeng的专栏
06-15 600
跨域解决方案CORS 1.1 什么是跨域 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 如果跨域调用,会出现如下错误: N
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 2339
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
AJAX-跨域请求
weixin_34220179的博客
06-18 444
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
express服务器中的cors解决跨域步骤---express后端解决跨域问题的方法cors
angrynouse的博客
08-06 2217
代码】express服务器中的cors解决跨域步骤---express后端解决跨域问题的方法cors
CORS 比较详细的说明
qq22692150的博客
08-09 3017
一个CORS请求的流程 发送一个预检请求 都为Options请求,因为Options请求不会对服务器做出任何改动。且带有"contentType:"application/json"请求头的get或者post才会进行预检请求。 检查 服务器验证该请求的origin是否在Access-Control-Allow-Origin范围内 请求方法是否...
CORS(跨域访问) 服务端流程
魏亮的专栏
05-03 937
忘记了从哪里下载的这张图片了,不过感觉很有用。
js与jquery 跨域问题
gc1329689056的博客
11-02 3048
1.jQuery ajax方式以jsonp类型发起跨域请求,使用jsonp时也只能使用GET方式发起跨域请求。跨域请求需要服务端配合,设置callback,才能完成跨域请求。 前端: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-sca.
CORS原理详解
qq_44197554的博客
05-31 4929
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
字节跳动面试题
SeanDragon的博客
06-03 1427
前言 今天早上起来打算继续写做做字节面试题系列的文章,在get了排版技巧后(绯红主题真香),之前的文章就变得不忍直视了,怪不得阅读量不高。 这个时候肯定有小伙伴会嘀咕:不会以为你排版好看阅读量就高了吧?而且你这排版也不好看。哈哈,慢慢来嘛,目前Yiming还是个小白,只要心态好,阅读低不了! 每篇的前言(废话)部分就到这里,把当下作为新的起点,冲冲冲! 老规矩上原文链接:https://juejin.im/post/5ecf43f36fb9a047d37105f1 1px的问题可以如何去解决【
cors missing
09-22
CORS是跨源资源共享(Cross-Origin Resource Sharing)的缩写,它是一种浏览器机制,用于控制一个网页应用程序可以从哪些源(域、协议、端口)加载资源。 "cors missing"是指在跨域请求的过程中发生了一些问题,浏览器无法找到CORS相关的配置,导致请求被拒绝。 通常情况下,当浏览器发起一个跨域请求时,会先发送一个预检请求(OPTIONS请求)到目标服务器,以获取服务器是否允许跨域请求。在服务器上,需要配置相应的CORS规则,指定允许的源、方法、头部等信息。 如果遇到“cors missing”错误,可能有以下几种原因: 1. 缺少CORS配置:服务器端没有正确配置CORS规则,没有包含"Access-Control-Allow-Origin"等相关头部信息。需要在服务器端设置正确的CORS策略,允许跨域请求。 2. 不支持CORS:服务器不支持CORS机制,不允许跨域请求。这种情况下,可以考虑使用其他跨域解决方案,如JSONP或代理。 3. 跨域请求头错误:在发送跨域请求时,请求头部设置不正确,或者包含非法的头部信息,也会导致CORS错误。需要检查请求头部的设置是否符合CORS要求。 解决"cors missing"错误的方法如下: 1. 确保服务器端的CORS配置正确,并包含了必要的头部信息,如"Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"等。 2. 检查请求头部的设置是否符合CORS要求,确保请求头部没有非法的字段。 3. 如果服务器端不支持CORS,可以考虑使用其他跨域解决方案,如JSONP或代理。 在开发过程中,遇到CORS问题时要注意查看浏览器的开发者工具,查看网络请求的状态和响应头部信息,以便进行问题的定位和解决。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值