CORS跨域资源共享的实例心得

最新推荐文章于 2024-03-13 08:57:31 发布
最新推荐文章于 2024-03-13 08:57:31 发布
阅读量775 收藏
点赞数
分类专栏: 前端基础 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smartjdbc/article/details/82855755
版权

1.ci框架下的this->output->setheader 对header 值设置不成功还是改成php原生 header 方法
2.Access-Control-Allow-Methods 这个方法对* 通配符不起作用

3.在option请求中 当浏览器发出post请求为跨域请求时候会自动变为现实options请求,
当预检请求通过时候会发送
第二次请求,这时候是正常的post请求,
当预检请求失败的时候,这时候浏览器会发出Access-Control-Allow-Origin not allow 这种方式但还是200的正确返回

===============================================================
4.具体CORS跨域资源共享的实例
CORS分为两种请求:1.简单请求。2.复杂的预检请求

简单请求:请求方法在:HEAD,GET,POST三种方法
http头部信息:Accept,Accept_language Content_language,Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两种情况的都是非简单请求
简单请求:
1.浏览器发送cors请求,服务端返回一个origin值添加在response中
(1)Access-Control-Allow-Origin 这个字段是必须添加的是请求的源头信息,要么是一个*,表示接受任意域名的请求。

(2)Access-Control-Allow-Credentials 表示是否允许发送Cookie

(3)Access-Control-Expose-Headers 该字段可选

CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。Access-Control-Allow-Credentials: true

非简单请求:
针对对服务器有特殊需求的比如:put或delete content-type:application/josn
非简单请求会在正式发送前发送一次预检请求:即options请求预检请求使用options来发送关键词orgin表示请求的原信息

options请求 是浏览器自动给服务器发送的原来请求是post浏览器在判断是否跨域时候自动发送的
options请求 是浏览器自动给服务器发送的原来请求是post浏览器在判断是否跨域时候自动发送的
options请求 是浏览器自动给服务器发送的原来请求是post浏览器在判断是否跨域时候自动发送的

发送:
options请求中会添加:Access-Control-Request-Method这个字段发送时候是必须的意思浏览器发送的请求方法是什么
回应:
字段以后,确认允许跨源请求,就可以做出回应。
Access-Control-Allow-Origin:*表示任意服务器资源可以访问(必选)
Access-Control-Allow-Methods: GET, POST, PUT

Access-Control-Allow-Headers: X-Custom-Header

Access-Control-Allow-Credentials: true

Access-Control-Max-Age: 1728000
如果浏览器否定了预检信息:返回正常http信息

 function checkCors()
    {
        $frontHosts = array();
        $frontUrl = $_SERVER['APPLICATION_FRONT'];
        $frontUrl = json_decode(base64_decode($frontUrl));
        //$frontUrl=['http://localhost:8080','https://u5ba4db208645b-dev.oneitfarm.com'];
        $origin = str_replace(['http://', 'https://'], '', $_SERVER['HTTP_ORIGIN']);
        if (!empty($frontUrl)) {
            foreach ($frontUrl as $item) {
                $frontHosts[] = str_replace(['http://', 'https://'], '', $item);
            }
        }
        if ($_SERVER["REQUEST_METHOD"] == "OPTIONS") {
            if (in_array($origin, $frontHosts)) {
                header("Access-Control-Allow-Origin:{$_SERVER['HTTP_ORIGIN']}");
                header("Access-Control-Allow-Credentials:true");
                header("Access-Control-Allow-Methods:POST,GET,PUT,DELETE,HEAD ");
                header("Access-Control-Max-Age:1728000");
            }
            die();
        } else {
            if (in_array($origin, $frontHosts)) {
                header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
                header('Access-Control-Allow-Credentials:true');
                header("Access-Control-Allow-Methods:POST,GET,PUT,DELETE,HEAD ");
            }

        }
    }
SmartJdbc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2181
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
【HTTP完全注解】又跨域了?一文解释清楚跨源资源共享cors
最新发布
汪啊汪
03-13 1351
wangjunliang.com需要请求访问wangawang.com的内容,由于同源机制的存在, XMLHttpRequest(XHR)或 Fetch API是不允许发起跨域的请求的,当然我们可以通过代理或Jsonp的方式来解决,但每次搭建代理过于麻烦并且维护成本很大,而Jsonp呢?的资源,并发起的是简单请求,此时请求只要满足了服务端相关CORS的响应标头配置,请求则能正常访问资源,以下为客户端与服务器端交互示例。(预检请求)的响应的缓存时间,对于简单的跨源请求的缓存策略通常由HTTP缓存头部(如。
CORS跨域处理心得随笔
qq_38951990的博客
10-03 931
现如今大多数项目都是前后端开发的,前端项目和后端接口服务部署在不同的机器下,且一般部署机器的ip也不相同。那么在大环境的驱使下跨域问题就成为了前后端开发必须面对的首要问题。那到底什么是跨域请求呢,又要如何解决跨域问题呢?
CORS-跨域资源共享
Ciao's blog
11-12 329
项目搭建初期常见的跨域问题
跨域资源共享CORS
m0_53328239的博客
07-16 742
跨域资源共享(英语:Cross-origin resource sharing,缩写:CORS),用于让网页的受限资源能够被其他域名的页面访问的一种机制。通过该机制,页面能够自由地使用不同源(英语:cross-origin)的图片、样式、脚本、iframes以及视频。一些跨域的请求(特别是Ajax)常常会被同源策略(英语:Same-origin policy)所禁止。
CORS跨域资源共享及解决方案.docx
10-26
CORS跨域资源共享及解决方案.docx
Apache中配置支持CORS跨域资源共享实例
09-15
主要介绍了Apache中配置支持CORS跨域资源共享实例,本文给出了一个完整的apache、PHP、JavaScript结合实现的跨域资源共享实例,需要的朋友可以参考下
Springboot后端CORS跨域资源共享
comecny的博客
08-16 611
跨域
CORS跨域资源共享
多喝i热水的博客
09-07 225
目录 一、同源策略 二、跨域的判定 三、配置服务器实现跨域传输 四、CORS跨域漏洞验证 五、参考文献 一、同源策略 同源指的是域名(或IP),协议,端口都相同,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 同源的判定 以http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源 链接 结果 原因 http://www.example.com/..
CORS(跨站资源共享)介绍
测试
12-03 529
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
CORS跨域资源共享
letterTiger的博客
04-06 498
CORS跨域资源共享)使用额外的HTTP头部来告诉浏览器,允许运行在origin(domain)上的Web应用访问来自不同源服务器上的指定资源。 浏览器访问一个web应用,这个web应用会发很多的跨域请求,例如加载不同源的JS/CSS脚本,或者加载不同源图片等。但是并没有发现请求的异常,这些资源是可以正常返回的。而通过JS发送的跨域HTTP请求却时常得到错误,所以跨域请求很常见,但是浏览器对于请...
跨域资源共享漏洞
qq_43504327的博客
03-15 529
CORS跨域资源共享
CSRF 跨站请求伪造及CORS跨域资源共享漏洞修复案例
Endeavour的博客
06-12 6877
跨站请求伪造(CSRF):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理:用户C访问正常网站A时进行登录,浏览器保存A的cookie;用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数...
跨域资源共享
林见鹿鸣
10-12 990
MDN官网说到,跨源资源共享 (CORS) (或通俗地译为跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。 跨源HTTP请求的一个例子:运行在 http://domain-a.com 的JavaScript代码使
CORS 跨域资源共享
猫老板的豆
06-05 820
简介 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。是目前主流的跨域解决方案。 CORS需要浏览器和服务器同时支持。目前,所有现代浏览器都支持该功能(IE浏览器不能低于IE10。IE8+:IE8/9需要使用XDomainRequest对象来支持CORS)。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
OSS跨域资源共享(CORS)错误及排除
weixin_33795743的博客
08-29 2500
介绍 跨域资源共享(Cross-Origin Resource Sharing, CORS),介绍及配置请参看 跨域资源共享使用指南 。 配置项 CORS配置有以下几项: 来源(AllowedOrigin):允许跨域请求的来源,可以同时指定多个。配置时需带上完整的域信息,例如http://10.100.100.100:8001或https://ww...
cors跨域资源共享配置不当
09-08
CORS跨域资源共享配置不当可能会导致一些安全问题。近年来,在渗透测试报告中发现了越来越多的CORS跨域资源共享漏洞。有些开发人员在写报告时可能会将CORS跨域资源共享漏洞提及,但对于以下几个问题缺乏明确的解释。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值