跨域请求CORS要点

最新推荐文章于 2024-06-22 16:55:44 发布
最新推荐文章于 2024-06-22 16:55:44 发布
阅读量893 收藏
点赞数
文章标签: 跨域 CORS
原文链接:https://www.jianshu.com/p/604f6d5b47d2
版权

前端开发的童鞋,应该都有听过跨域请求,但这其中的细节可能还不清楚,比如:
<pre>

  • 什么是跨域请求?
  • 为什么会存在跨域请求?
  • 跨域请求是怎么工作的?
  • 如何解决跨域请求?
    </pre>

1. 什么是跨域请求

跨域请求 - 访问其他域名的资源,随着业务的复杂化及前后端的分离,我们需要经常访问其他域名的资源,因此这里就涉及到跨域访问,下图给出了跨域访问的例子

image

image

2. 为什么会存在跨域请求

可能有童鞋就说了,何必这么麻烦,直接允许访问不就行了,也许前期就是这样,于是就出现了CSRF(跨站请求伪造),可以看下图:

 

image

因此网站A就必须添加访问限制,即决策是否允许网站B访问

3. 跨域请求是怎么工作的

跨域请求针对不同的请求会采用不用的策略,这里罗列如下:

3.1 简单模式(Simple requests)

 

请求方法:
    GET
    HEAD
    POST
请求头:
    Accept
    Accept-Language
    Content-Language
    Content-Type
Content-Type:
    application/x-www-form-urlencoded
    multipart/form-data
    text/plain

满足以上特征的请求就是Simple request,采用如下工作模式:

  • 浏览器从网站B获取html资源
  • 浏览器发送请求到网站A,并携带网站B的Origin,如Server-b.com
  • 网站A检测自身的Access-Control-Allow-Origin是否包含Origin,如果包含返回正确数据,否则返回空

image

image

PS: Access-Control-Allow-Origin: * 表示允许所有网站方法

3.2 预检模式(Preflighted requests)

除了简单请求外,其他请求访问前需要先发一条预检请求,比如采用OPTIONS,采用如下工作模式:

  • 浏览器从网站B获取html资源
  • 浏览器发送OPTIONS请求,并携带如下信息
    • Origin - 网站B域名
    • Access-Control-Request-Method - 待请求方法,如POST
    • Access-Control-Request-Headers - 待请求头信息
  • 网站A检测自身的Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers是否包含客户端发送的值
  • 如果包含,则返回200,浏览器发送真正的请求(也需要携带CROS信息),服务器返回正确数据
  • 如果不包含,则返回错误,并返回Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers

image

image

4. 常见错误

  • 4.1 Access-Control-Allow-Origin不匹配

一般会报如下错误:已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:19110/uptoken 的远程资源。(原因:CORS 头 'Access-Control-Allow-Origin' 不匹配 '1')

解决方法:检测服务端配置的Access-Control-Allow-Origin,应该包含前端所在服务的域名

  • 4.2 Access-Control-Allow-Headers不匹配

一般会报如下错误:已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:19110/uptoken 的远程资源。(原因:来自 CORS 预检通道的 CORS 头 'Access-Control-Allow-Headers' 的令牌 'if-modified-since' 无效)

解决方法:检测服务端配置的Access-Control-Allow-Headers,应该包含前端发送的Access-Control-Request-Headers(可以抓包看前端发送的数据)

走在小路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】
谙忆-陈浩翔
01-14 9565
Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】 文章目录插件介绍插件下载CSDN论坛下载地址官方的下载地址ZIP包安装插件开关与使用测试是否开启成功注意点关闭插件卸载插件 插件介绍 解决Chrome浏览器跨域的问题,2021年1月14日,确保能用。 QQ群:819539788 插件下载 CSDN论坛下载地址 官方的链接,可能会有朋友无法下载,别方,我准备了国内的下载地址: 关注微信公众号获取下载地址。 回复关键字:chrome
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
此插件为跨域插件,打开后可跨域访问接口,旧版浏览器可直接拖到扩展程序中安装,新版浏览器需要将扩展名修改成rar并解压,然后点击“加载已解压的扩展程序”安装。 ======================插件概述谷歌译文====================== 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 只需激活插件并执行请求。默认情况下(在JavaScript API中),CORS或跨源资源共享在现代浏览器中被阻止。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次工具栏图标。图标将变为橙色的C字母。 ======================插件概述谷歌译文====================== ========================插件概述原文======================== Easily add (Access-Control-Allow-Origin: *) rule to the response header. Allow CORS: Access-Control-Allow-Origin lets you easily perform cross-domain Ajax requests in web applications. Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter. ========================插件概述原文========================
Allow CORS: Access-Control-Allow-Origin插件使用
小新没有蜡笔的博客
11-04 8369
Allow CORS: Access-Control-Allow-Origin插件使用
打破界限:Postman中CORS问题的终极解决方案
最新发布
2401_85763639的博客
06-22 523
同源策略要求协议、域名和端口完全一致,才被认为是同源。例如,与虽然域名相同,但由于协议不同,也会被视为不同源。
允许CORS:访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
允许CORS:访问控制_-_允许来源 前端跨域问题 本插件解压之后直接拖到谷歌浏览器扩展程序界面 即可使用
谷歌跨域插件:Allow CORS: Access-Control-Allow-Origin
热门推荐
weixin_48947842的博客
03-31 1万+
链接:https://pan.baidu.com/s/13TYc3wn6xOfobFwVjR4IAw 提取码:1234 crx是谷歌chrome插件的扩展格式。谷歌扩展插件安装有两种方式,在线安装和线下安装。在线安装就不多说了,主要说线下安装: 1、从设置->更多工具->扩展程序 打开扩展程序页面 2、打开扩展程序页面的"开发者模式" 3、将crx文件拖拽到扩展程序页面,完成安装 ...
PHP API请求安全效验
01-28
6. **CORS策略**:跨域资源共享(CORS)是Web浏览器的安全策略,API开发者需要配置合适的CORS策略,允许特定来源的请求访问API。 7. **异常处理与错误信息**:返回合理的错误信息,但不要暴露系统内部细节,避免攻击...
详解springboot和vue前后端分离开发跨域登陆问题
08-25
然后,我们在 `doFilter` 方法中设置了 `Access-Control-Allow-Origin` 等头信息来允许跨域请求。 注意 在设置 `Access-Control-Allow-Origin` 头信息时,不要使用 `*`,因为使用 `*` 只能解决跨域问题,但不能...
Jquery Ajax xmlhttp请求成功问题
12-02
在JavaScript和Web开发中,jQuery的Ajax功能是一个非常常用的技术,用于在不刷新页面的情况下与服务器进行异步数据...通过深入理解这些要点,开发者可以更有效地调试和修复$.ajax请求中的问题,确保数据的顺利交换。
someGists:一些要点
06-13
14. **跨域通信**:JSONP、CORS和代理服务器等技术可以帮助JavaScript突破同源策略限制,实现跨域数据交换。 15. **最新的ES规范**:如ES6+的新特性,如Set、Map、WeakSet、WeakMap、Symbol、解构赋值、模板字符串...
gist-embeded:将要点嵌入网站
06-27
如果Gist API支持CORS,那么Fetch API可以直接进行跨域请求。 4. **DOM操作**:获取Gist数据后,项目可能通过操作DOM(Document Object Model)将代码插入到网页的特定位置,例如使用`document.querySelector`或`...
谷歌跨域插件allow-cors-access-control.zip
08-04
谷歌跨域插件allow-cors-access-control.zip
Access-Control-Allow- 跨域CORS 的使用
enthan809882的博客
07-24 1606
示例: response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "accept,x-requested
Access-Control-Allow- 设置 跨域资源共享 CORS 详解
az44yao的专栏
12-23 962
      response.setHeader("Access-Control-Allow-Origin", "*");         response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET");         response.setHeader("Access-Control-Max-Age", "3600.
corspost请求失败_无法使用jQuery发送CORS POST请求
weixin_39765695的博客
12-31 480
I'm trying to send a POST request to a separate subdomain via ajax. The preflight request (OPTIONS) is successful, but the following XMLHttpRequest request returns the "Origin http://app.example.com i...
通过cors方法解决跨域问题
m0_51195865的博客
01-22 3534
CORS跨域资源共享 cors相关的三个响应头 响应头部Access-Control-Allow-Origin 响应头部中可以携带一个Access-Control-Allow-Origin字段,其语法如下: Access-Control-Allow-Origin:<origin>|* 其中,origin参数的值指定了允许访问该资源的外域URL 例如,下面的字段值将只允许来自http://itcast.cn的请求: res.setHeader('Access-Control-Allow-Orig
CORS:解决跨域访问报“No 'Access-Control-Allow-Origin' header is present on the requested resource.”错误
xy_kok的博客
04-30 2628
最近客串后端写个小服务,编程语言为golang。 前端发送http POST请求后,发现报错,而后端没有收到POST请求,反而收到了OPTIONS请求。 经过一番调查发现,当前端发送诸如包含“application/json”的非简单请求时,会先发送一个OPTIONS请求,此请求称之为“预检请求”。当前端对OPTIONS请求验证通过后,再发送最终需要发送的http请求。 关于CORS网上介绍...
跨域问题(CORS / Access-Control-Allow-Origin
qq_44601070的博客
01-09 554
跨域问题(CORS / Access-Control-Allow-Origin
corspost请求失败,POST AJAX请求被拒绝 - CORS
weixin_35285401的博客
12-22 307
I have setup CORS on my node.js server on port 5000 as follows:var app = express();app.use(cors()); //normal CORSapp.options('*', cors()); //preflightapp.post('/connect', function(req, res) {console.l...
AngularJS应用:跨域请求CORS详解及实战
"跨域请求CORS-AngularJS应用ppt" CORS,即Cross-Origin Resource Sharing(跨域资源共享),是一种W3C标准,用于解决浏览器的同源策略限制,允许JavaScript进行跨域的XMLHttpRequest(XHR)请求。JSONP(JSON with...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值