Access-Control-Allow-Origin:*不生效

最新推荐文章于 2024-06-25 18:26:21 发布
最新推荐文章于 2024-06-25 18:26:21 发布
阅读量1.3w 收藏 7
点赞数 5
分类专栏: 跨域资源共享 文章标签: ajax跨域问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssk0411/article/details/109781140
版权
本文探讨了在附带身份凭证的跨域请求中,Access-Control-Allow-Origin:*为何不能生效的原因。当请求带有Cookie信息时,服务器必须指定具体的源才能使请求成功。同时,还介绍了如何通过设置XMLHttpRequest的withCredentials标志来发送身份凭证,以及如果没有Access-Control-Allow-Credentials: true,浏览器将阻止响应内容的返回。
摘要由CSDN通过智能技术生成

前端附带身份凭证的请求,所以服务器Access-Control-Allow-Origin 不能设为*
意思就是 Access-Control-Allow-Credentials: true,就不能设置Access-Control-Allow-Origin:'*'了。

附带身份凭证的请求与通配符

对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。

这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example,则请求将成功执行。

另外,响应首部中也携带了 Set-Cookie 字段,尝试对 Cookie 进行修改。如果操作失败,将会抛出异常。

附带身份凭证的请求

XMLHttpRequest 或 Fetch 与 CORS 的一个有趣的特性是,可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨源 XMLHttpRequest 或 Fetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest 的某个特殊标志位。

本例中,http://foo.example 的某脚本向 http://bar.other 发起一个GET 请求,并设置 Cookies:

var invocation
最低0.47元/天 解锁文章
Patrick Sun
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Access-Control-Allow-Origin漏洞解决
queryById的博客
11-30 4858
漏洞描述: 修复方式: import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletRespo.
Access-control-allow-origin:*并没有实际危害(更新)
balance的博客
04-23 6万+
一、网站一般在需要共享资源给其他网站时(跨域传递数据),才会设置access-control-allow-origin HTTP头。而跨域传递数据也可以使用jsonp方式 二、如果www.a.com域设置了access-control-allow-origin:* http头, 其他任何域包括www.b.com域的js就可以使用Ajax技术读取到​www.a.com域的数据 三、根据w3...
Nginx 跨域设置 Access-Control-Allow-Origin 无效的解决办法
frank_passion的专栏
12-27 4万+
nginx 版本 1.11.3 使用大家说的以下配置,验证无效,跨域问题仍然存在 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST
服务器上防止跨域访问问题
最新发布
骨子里的偏爱
06-25 727
服务器上防止跨域访问问题
Nginx 跨域
aob30631的博客
06-27 463
if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access...
解决跨域nginx增加Access-Control-Allow-Origin设置无效问题
xiandaomao5643的博客
03-15 1157
查看Response Headers中是否返回多个Access-Control-Allow-Origin, 如果后台和nginx同时都设置了,会有多个,就会跨域失败。
No ‘Access-Control-Allow-Origin’ header is present on the requested resource异常的解决方案
2301_79779756的博客
05-10 3479
当浏览器尝试从不同于其源(域、协议或端口)的服务器加载资源时,会触发同源策略(Same-Origin Policy)。然而,有时我们确实需要从不同的源加载资源,这时就需要使用跨源资源共享(CORS,Cross-Origin Resource Sharing)机制。
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 8万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
qq_50523945的博客
06-06 1万+
另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。给Nginx服务器配置`Access-Control-Allow-Origin *`后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。
03-解决header(‘Access-Control-Allow-Origin:*‘)失效问题
我们的目标是星辰大海!
03-23 2441
已经在所调用函数中,添加header('Access-Control-Allow-Origin:*');
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
MicroAnswer的博客
11-05 9万+
解决跨域问题。详细介绍了跨域的相关内容。
跨域(Access-Control-Allow-Origin)解决方案详解
猿in
12-09 6万+
文章目录浏览器的同源安全策略跨域报错跨域解决方案CORSResponse支持跨域springboot支持跨域Java中设置多个Access-Control-Allow-Origin跨域访问基于nginx配置请求的CORSJSONP方案后端接口返回js原生实现jsonpjQuery实现jsonpvue.js实现jsonpJSONP的优缺点其它方式支持跨域 浏览器的同源安全策略 同源策略,它是由Net...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = '...
静态文件访问不到报No Access-Control-Allow-Origin处理办法
06-11
当一个网页尝试从不同的源(协议、域名或端口)请求资源时,如果目标服务器没有允许这个源的权限,浏览器会阻止该请求,从而出现"No 'Access-Control-Allow-Origin' header is present on the requested resource"的...
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
"No 'Access-Control-Allow-Origin'"错误是由于浏览器的同源策略(Same-origin Policy)限制所致,该策略规定,JavaScript发起的Ajax请求只能访问与当前页面同源(协议、域名、端口都相同)的资源。当尝试跨域请求时...
allow-cors-access-control插件,解决跨域问题,内含使用教程
10-03
`allow-cors-access-control` 插件的核心功能在于启用CORS(Cross-Origin Resource Sharing),这是一种机制,它允许Web内容从不同的源加载。通过在服务器端设置特定的HTTP响应头,可以允许浏览器接受来自不同源的...
记一次坑爹问题:nginx配置跨域允许 add_header Access-Control-Allow-Origin *; 不生效
qq_37819292的博客
12-14 2517
nginx配置跨域允许 add_header Access-Control-Allow-Origin *; 不生效
Servlet中设置了Access-Control-Allow-Origin 无效
漫游学海之旅
04-08 8708
Servlet.java 文件中设置 response的head需要注意public class ServletJson extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOEx
nginx中如何如何删除响应头中的Access-Control-Allow-Origin: *
05-17
可以通过nginx的HttpHeadersModule模块中的`more_clear_headers`指令来删除响应头中的Access-Control-Allow-Origin字段。 具体操作如下: 1. 在nginx配置文件中添加`more_clear_headers`指令,如下所示: ``` http { more_clear_headers Server; more_clear_headers "Access-Control-Allow-Origin"; } ``` 2. 重新加载nginx配置文件,使更改生效,如下所示: ``` sudo nginx -s reload ``` 这样,nginx就会在响应头中删除Access-Control-Allow-Origin字段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值