安全系列之:跨域资源共享CORS

最新推荐文章于 2024-02-01 15:44:50 发布
最新推荐文章于 2024-02-01 15:44:50 发布
阅读量1.4w 收藏 3
点赞数 2
分类专栏: CS揭秘 文章标签: http ajax javascript 程序那些事 CORS
本文为flydean原创文章,未经博主允许不得转载,更多内容请参考www.flydean.com。
本文链接:https://blog.csdn.net/superfjj/article/details/120260968
版权

文章目录

简介

什么是跨域资源共享呢? 我们知道一个域是由scheme、domain和port三部分来组成的,这三个部分可以唯一标记一个域,或者一个服务器请求的地址。跨域资源共享的意思就是服务器允许其他的域来访问它自己域的资源。

CORS是一个基于HTTP-header检测的机制,本文将会详细对其进行说明。

CORS举例

为了安全起见,一般一个域发起的请求只能获取该域自己的资源,因为域资源内部的互相调用被认为是安全的。

但是随着现代浏览器技术和ajax技术的发展,渐渐的出现了从javascript中去请求其他域资源的需求,我们把这样的需求叫做跨域请求。

比如说客户端从域http://www.flydean.com向域http://www.abc.com/data.json请求数据。

那么客户端是怎么知道服务器是否支持CORS的呢?

这里会使用到一个叫做preflight的请求,这个请求只是向服务器确认是否支持要访问资源的跨域请求,当客户端得到响应之后,才会真正的去请求服务器中的跨域资源。

虽然是客户端去设置HTTP请求的header来进行CORS请求,但是服务端也需要进行一些设置来保证能够响应客户端的请求。所以本文同时适合前端开发者和后端开发者。

CORS protocol

没错,任意一种请求要想标准化,那么必须制定标准的协议,CORS也一样,CORS protocol主要定义了HTTP中的请求头和响应头。我们分别来详细了解。

HTTP request headers

首先是HTTP的请求头。请求头是客户端请求资源时所带的数据。CORS请求头主要包含三部分。

第一部分是Origin,表示发起跨域资源请求的request或者preflight request源:

Origin: <origin>

Origin只包含server name信息,并不包含任何PATH信息。

注意,Origin的值可能为null

第二部分是Access-Control-Request-Method,这是一个preflight request,告诉服务器下一次真正会使用的HTTP资源请求方法:

Access-Control-Request-Method: <method>

第三部分是Access-Control-Request-Headers,同样也是一个preflight request,告诉服务器下一次真正使用的HTTP请求中要带的header数据。header中的数据是和server端的Access-Control-Allow-Headers相对应的。

Access-Control-Request-Headers: <field-name>[, <field-name>]*

HTTP response headers

有了客户端的请求,还需要服务器端的响应,我们看下服务器端都需要设置那些HTTP header数据。

  1. Access-Control-Allow-Origin

Access-Control-Allow-Origin表示服务器允许的CORS的域,可以指定特定的域,也可以使用*表示接收所有的域。

Access-Control-Allow-Origin: <origin> | *

要注意的是,如果请求带有认证信息,则不能使用*。

我们看一个例子:

Access-Control-Allow-Origin: http://www.flydean.com
Vary: Origin

上面例子表示服务器允许接收来自http://www.flydean.com的请求,这里指定了具体的某一个域,而不是使用*。因为服务器端可以设置一个允许的域列表,所以这里返回的只是其中的一个域地址,所以还需要在下面加上一个Vary:Origin头信息,表示Access-Control-Allow-Origin会随客户端请求头中的Origin信息自动发送变化。

  1. Access-Control-Expose-Headers

Access-Control-Expose-Headers表示服务器端允许客户端或者CORS资源的同时能够访问到的header信息。其格式如下:

Access-Control-Expose-Headers: <header-name>[, <header-name>]*

例如:

Access-Control-Expose-Headers: Custom-Header1, Custom-Header2

上面的例子将向客户端暴露Custom-Header1, Custom-Header2两个header,客户端可以获取到这两个header的值。

  1. Access-Control-Max-Age

Access-Control-Max-Age表示preflight request的请求结果将会被缓存多久,其格式如下:

Access-Control-Max-Age: <delta-seconds>

delta-seconds是以秒为单位。

  1. Access-Control-Allow-Credentials

这个字段用来表示服务器端是否接受客户端带有credentials字段的请求。如果用在preflight请求中,则表示后续的真实请求是否支持credentials,其格式如下:

Access-Control-Allow-Credentials: true
  1. Access-Control-Allow-Methods

这个字段表示访问资源允许的方法,主要用在preflight request中。其格式如下:

Access-Control-Allow-Methods: <method>[, <method>]*
  1. Access-Control-Allow-Headers

用在preflight request中,表示真正能够被用来做请求的header字段,其格式如下:

Access-Control-Allow-Headers: <header-name>[, <header-name>]*

有了CORS协议的基本概念之后,我们就可以开始使用CORS来构建跨域资源访问了。

基本CORS

先来看一个最基本的CORS请求,比如现在我们的网站是http://www.flydean.com,在该网站中的某个页面中,我们希望获取到https://google.com/data/dataA,那么我们可以编写的JS代码如下:

const xhr = new XMLHttpRequest();
const url = 'https://google.com/data/dataA';

xhr.open('GET', url);
xhr.onreadystatechange = someHandler;
xhr.send();

该请求是一个最基本的CORS请求,我们看下客户端发送的请求包含哪些数据:

GET /data/dataA HTTP/1.1
Host: google.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: http://www.flydean.com

这个请求跟CORS有关的就是Origin,表示请求的源域是http://www.flydean.com。

可能的返回结果如下:

HTTP/1.1 200 OK
Date: Mon, 01 May 2021 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[…Data…]

上面的返回结果要注意的是Access-Control-Allow-Origin: *,表示服务器允许所有的Origin请求。

Preflighted requests

上面的例子是一个最基本的请求,客户端直接向服务器端请求资源。接下来我们看一个Preflighted requests的例子,Preflighted requests的请求分两部分,第一部分是请求判断,第二部分才是真正的请求。

注意,GET请求是不会发送preflighted的。

什么时候会发送Preflighted requests呢?

当客户端发送OPTIONS方法给服务器的时候,为了安全起见,因为服务器并不一定能够接受这些OPTIONS的方法,所以客户端需要首先发送一个
preflighted requests,等待服务器响应,等服务器确认之后,再发送真实的请求。我们举一个例子。

const xhr = new XMLHttpRequest();
xhr.open('POST', 'https://google.com/data/dataA');flydean
xhr.setRequestHeader('cust-head', 'www.flydean.com');
xhr.setRequestHeader('Content-Type', 'application/xml');
xhr.onreadystatechange = handler;
xhr.send('<site>www.flydean.com</site>');

上例中,我们向服务器端发送了一个POST请求,在这个请求中我们添加了一个自定义的header:cust-head。因为这个header并不是HTTP1.1中标准的header,所以需要发送一个Preflighted requests先。

OPTIONS /data/dataA HTTP/1.1
Host: google.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: http://www.flydean.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: cust-head, Content-Type

请求中添加了Access-Control-Request-Method和Access-Control-Request-Headers这两个多出来的字段。

得到的服务器响应如下:

HTTP/1.1 204 No Content
Date: Mon, 01 May 2021 01:15:39 GMT
Server: Apache/2
Access-Control-Allow-Origin: http://www.flydean.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: cust-head, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

响应中返回了Access-Control-Allow-Origin,Access-Control-Allow-Methods和Access-Control-Allow-Headers。

当客户端收到服务器的响应之后,发现配后续的请求,就可以继续发送真实的请求了:

POST /data/dataA HTTP/1.1
Host: google.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
cust-head: www.flydean.com
Content-Type: text/xml; charset=UTF-8
Referer: http://www.flydean.com/index.html
Content-Length: 55
Origin: http://www.flydean.com
Pragma: no-cache
Cache-Control: no-cache

<site>www.flydean.com</site>

在真实的请求中,我们不需要再发送Access-Control-Request*头标记了,只需要发送真实的请求数据即可。

最后,我们得到server端的响应:

HTTP/1.1 200 OK
Date: Mon, 01 May 2021 01:15:40 GMT
Server: Apache/2
Access-Control-Allow-Origin: http://www.flydean.com
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some data]

带认证的请求

有时候,我们需要访问的资源需要带认证信息,这些认证信息是通过HTTP cookies来进行传输的,但是对于浏览器来说,默认情况下是不会进行认证的。要想进行认证,必须设置特定的标记:

const invocation = new XMLHttpRequest();
const url = 'https://google.com/data/dataA';

function corscall() {
  if (invocation) {
    invocation.open('GET', url, true);
    invocation.withCredentials = true;
    invocation.onreadystatechange = handler;
    invocation.send();
  }
}

上面的例子中,我们设置了withCredentials flag,表示这是一个带认证的请求。

其对应的请求如下:

GET data/dataA HTTP/1.1
Host: google.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Referer: http://www.flydean.com/index.html
Origin: http://www.flydean.com
Cookie: name=flydean

请求中我们带上了Cookie,服务器对应的响应如下:

HTTP/1.1 200 OK
Date: Mon, 01 May 2021 01:34:52 GMT
Server: Apache/2
Access-Control-Allow-Origin: http://www.flydean.com
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
Pragma: no-cache
Set-Cookie: name=flydean; expires=Wed, 31-May-2021 01:34:53 GMT
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 106
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

[text/plain payload]

服务器返回了Access-Control-Allow-Credentials: true,表示服务器接收credentials认证,并且返回了Set-Cookie选项对客户端的cookie进行更新。

要注意的是如果服务器支持credentials,那么返回的Access-Control-Allow-Origin,Access-Control-Allow-Headers和Access-Control-Allow-Methods的值都不能是*。

总结

本文简单介绍了HTTP协议中的CORS协议,要注意的是CORS实际上是HTTP请求头和响应头之间的交互。

本文已收录于 http://www.flydean.com/cors/

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!

flydean程序那些事
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞)
Love&Share
11-16 2482
文章目录同源策略Demo跨域JsonpCORS代理proxyNginx反向代理漏洞 同源策略 同源策略 SOP(Same Origin Policy)是一种约定,他是浏览器最核心也最基本的安全功能,很大程序上防止了XSS、CSRF攻击 一个完整的uri分为以下几个部分,当请求的url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域(不同源),即使不同域名指向同一个IP也不可以 同源对比 Html 特殊标签如: <img> <frame> <lin.
响应标头Allow-Headers和Expose-Headers的区别和用法
最新发布
神zhi殇的博客
02-01 1123
和,简单的说,这两者都是前端和后端之间通过header传递数据的,主要的区别就是方向。
9种常见的前端跨域解决方案(详解)
热门推荐
zh0623的博客
03-25 2万+
文章转载自:9种常见的前端跨域解决方案(详解)_慕课手记 (imooc.com) 一、什么是跨域?   在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。 什么是同源策略?   同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。   同源策略限
跨域请求
nkc的博客
07-11 107
现在前后端分离的架构设计越来越流行,而当中不免会产生一些跨资源的访问,其中最多的也就是跨域请求的访问。 跨域问题来源 请求url的协议不同:httphttps 请求url的域名不同 请求url的端口不同 问题发生的原因是浏览器的同源策略规定在某域下的客户端在没明确授权的情况下,不能读写另一个域的资源。 但是通常亲啊后端的项目部署在不同的服务器或不同的端口。前端想要获取后端的数据,就要发...
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
test-cors:跨域资源共享CORS
06-11
测试cors 跨域资源共享CORS)编译前下载安装依赖 进入子项目服务器 make bower install
跨域资源共享CORS协议介绍
03-07
跨域资源共享CORS协议介绍, cross-origin resource sharing layer
CORS跨域 GET、POST、PUT、DELETE等请求
白衣若尘的博客
11-26 9159
跨域请求一直是网页编程中的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题。不过现在,我们可以考虑一下W3C中一项新的特性——CORS(Cross-Origin Resource Sharing)了。 客户端: 创建XmlHttpRequest对象:      对于CORS,Chrome、FireFox以及Safari,需要使用XmlHttpRequest2对象;而对于IE,
Http 跨域(Cors) 详解
imsjw
03-12 1193
1.构成跨域的条件(满足下方任意一个条件则构成跨域) domain不同(域名或者ip不同) 端口不同 协议不同(http/https) 给大家展示一个请求头和响应头,这是满足跨域的 请求头 POST http://127.0.0.1:10030/user/login HTTP/1.1 Host: 127.0.0.1:10030 Connection: keep-alive Content-Leng...
如何从一个 URL 字符串中提取出origin (scheme+domain+port) 信息?
weixin_33950035的博客
12-30 2861
前言 最近遇到一个需求:用postMessage来实现跨域通信。其中有一个注意的地方:即接收方来收到消息时需要对发送方的 origin 进行检查,如果不是目标发送方,则什么都不做,这是出于安全考虑推荐的方式。 我手中有的数据有:消息件中的 event.origin(即当前发送方的源)、目标发送方的url字符串。所以为了进行安全检查,我得...
前后端分离跨域问题
u014203449的博客
02-16 384
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, server { listen 3002; server_name localhost; location /ok { ...
http 跨域资源共享详解
qq_42880714的博客
11-22 749
http 跨域资源共享详解
Access-Control-Request-Headers: authorization 401
黄大仙儿的专栏
06-28 2万+
后端加了Authorization验证,前端在header里加了authorization,然而结果还是401,发现是跨域先要发一个预检请求,参考https://segmentfault.com/a/1190000006095018解决方案参考https://segmentfault.com/q/1010000012364132if (request.getMethod().equals("OPT...
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 4557
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
前后端分离项目,如何解决跨域问题
样young的博客
03-17 891
本文转自:http://www.imooc.com/article/292349 SpringBoot实战电商项目mall(20k+star)地址:https://github.com/macrozheng/mall 摘要 跨域资源共享CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。 什么是...
java跨系统和跨域_java web服务解决跨域问题
weixin_32533375的博客
02-27 328
问题1:浏览器页面跨域请求报错相信很多程序员都遇到过跨域的问题,如何解决一直是一件很头疼的情,我就描述下我遇到的问题,及解决办法。什么是跨域,请自行脑补。需要添加maven依赖,在web.xml文件里配置过滤器:com.thetransactioncompanycors-filter2.6CORScom.thetransactioncompany.cors.CORSFiltercors.allo...
CORS——跨域请求那些
weixin_33730836的博客
02-08 638
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
CORS跨域资源共享CORS
05-12
CORS机制允许浏览器向跨域服务器发送XMLHttpRequest请求,从而实现跨域资源共享CORS机制的核心是在服务器端设置响应头部信息,告诉浏览器是否允许跨域访问。如果服务器端返回的响应头部信息中包含了Access-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值