从原理上来浅谈 CORS

最新推荐文章于 2023-04-04 15:38:01 发布
最新推荐文章于 2023-04-04 15:38:01 发布
阅读量482 收藏
点赞数 1
分类专栏: 关于CROS的个人理解 文章标签: CROS

  我们对于同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好:

URL 说明 是否允许
http://www.a.com/a.js / http://www.a.com/b.js 同一域名下 允许
http://www.a.com/lab/a.js /http://www.a.com/script/b.js 同一域名下不同文件夹 允许
http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允许
http://www.a.com/a.js https://www.a.com/b.js 同一域名,不同协议 不允许
http://www.a.com/a.js http://70.32.92.74/b.js 域名和域名对应ip 不允许
http://www.a.com/a.js http://script.a.com/b.js 主域相同,子域不同 不允许
http://www.a.com/a.js http://a.com/b.js 同一域名,不同二级域名(同上) 不允许(cookie这种情况下也不允许访问)
http://www.cnblogs.com/a.js http://www.a.com/b.js 不同域名 不允许

以上表格系统的阐述了如何算是跨域。

那么下面我们
今天我们着重讲讲对抗同源策略的方法:
CORS——Cross-origin resource sharing(跨来源资源共享)

由于HTML 5的概念形成,在原有XHR的基础上提出了XMLHttpRequest Level2(XHR2),在XHR2中对CORS有了很好的支持。(除了远古的IE8,IE9这些老古董)

我们先看看看CORS日常是怎么实现跨域的

<?php  
•  /*
•  这里是简单的一个CORS Demo
•  *///通过请求体获取$_POST的name,gender
• $ret = array(  
•     'name' => isset($_POST['name'])? $_POST['name'] : '',  
•     'gender' => isset($_POST['gender'])? $_POST['gender'] : ''  
• );  
•   
• //HTTP_ORIGIN是请求头中的信息,在浏览器中直接展示为Origin
• $origin = isset($_SERVER['HTTP_ORIGIN'])? $_SERVER['HTTP_ORIGIN'] : '';  
• //此处是允许跨域的白名单
• $allow_origin = array(  
•     'http://www.client.com',  
•     'http://www.client2.com'  
• );  
• //判断当前Origin来源是否在白名单内,是的话就允许设置一套三式Header头让他跨域  if(in_array($origin, $allow_origin)){ 
•      //关键点是这里的一套三式 
•     header('Access-Control-Allow-Origin:'.$origin);  //允许的域名
•     header('Access-Control-Allow-Methods:POST');  //允许的方法
•     header('Access-Control-Allow-Headers:x-requested-with,content-type');  //服务器支持的头信息
• }  
•   
• echo json_encode($ret);  
• ?> 

关键词在header('Access-Control-Allow-*':) 一套三件,不同如果无法通过这一套三件的洗礼,那么就报类似下面这样的错:


XMLHttpRequest cannot load http://b.com. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://a.com' is therefore not allowed access.

这个就是浏览器同源策略造成的,如果我们没有设置Header头三件套的话('Access-Control-Allow-*':)那么对一切跨域请求操作浏览器都是拒绝的~。

但是随着互联网的发展,同源策略严重影响了项目之间的连接(尤其是大项目,有几个域名需要进行沟通的),W3C标准推出了“跨来源资源共享——CORS”。

回到前面的那段实例代码,我们来分析分析 请求-》处理-》返回 一套流程的来龙去脉。

CORS的背后基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求响应是应该成功还是应该失败。
当Http请求发起(可以通过更新操作去测试POST,或者用JavaScript请求测试GET)的时候(不分跨不跨域)会类似带着以下请求头信息:

Origin:http://www.csdnblog.com

返回头也会夹带着类似如下信息:

Access-Control-Allow-Credentials:true 
Access-Control-Allow-Origin:http://www.csdnblog.com

一来一回的请求决定的请求决定了改请求是否会被浏览器通过,如果返回头中没有这个头部,或者有头部但是源信息不匹配(就是说返回头%-Allow-Origin中没有当前请求站点的域名),那么浏览器就会帮我们驳回这次请求,同源策略在这里发挥了作用。

通过这一来一回我们不难发现其实浏览器判断是否驳回的标准就是返回头中是否有 Access-Control-Allow-% 这个信息,并且判断这个信息是否合法(即这个信息是否是与请求头中的Origin对应的上),对应的上就通过,对应不上就驳回。

既然搞懂这个我们就可以理解为何通过CORS设置两三行Header代码既可以轻松跨域了吧?

服务端代码设置Header返回头告诉浏览器“谁谁谁是允许访问我的,你看到这家伙就给我放行吧~“。

所以如果在服务端代码中设置:

header('Access-Control-Allow-Origin:*')

是的,这样的话任何域名都可以请求你的服务器了,当然这样子你的服务器也就非常危险了。


Theflashdye
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS原理详解
qq_44197554的博客
05-31 4399
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
cors原理
qq_40409143的博客
12-01 1167
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
跨域的原理及跨域的解决办法
weixin_43800477的博客
11-17 1597
跨域 跨域就是使用ajax获取数据的时候,如果当前界面的地址和所需要请求的服务器的地址的协议,域名,端口不同,就会产生跨域。 跨域的表现就是获取不到数据,并且报错,报错信息会显示在控制台上。 出现跨域的原因是因为浏览器的同源策略限制。同源的意思就是就是两个页面具有相同的协议,域名和端口号,同源策略是一种约定,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。 浏览器发起跨域的请求,服务器端的代码正常执行,并且会正常返回数
跨域 问题 原理以及解决方法
Monster的博客
12-26 1492
深入讲解一下CORSCORS其实就是跨域资源共享,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。:出现的较晚,它是W3C标准,属于跨域Ajax请求的根本解决方案。
CORS原理(为什么会发OPTIONS方法及问题总结)
haonan_z的博客
12-23 905
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器需要服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Contr
浅谈CORS RTK技术在岩移监测中的应用
06-18
本文在介绍了CORSRTK原理及技术的基础上,阐述了传统岩移监测的方法和实际工作中遇到的困难,提出了一种新的方法-采用CORS RTK技术进行岩移监测,通过对比验证了该技术的可行性,并对其精度进行了论证。
Springboot跨域CORS处理实现原理
08-19
主要介绍了Springboot跨域CORS处理实现原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
浅谈传统RTK单基站CORS和网络CORS的特点.pdf
05-16
传统RTK与网络rtk在CORS基站作业流程,各自优势对比分析。
浅谈Koa2框架利用CORS完成跨域ajax请求
08-27
主要介绍了浅谈Koa2框架利用CORS完成跨域ajax请求,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
九种跨域方式实现原理(完整版)
weixin_33724570的博客
01-25 569
前言 前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。 本文完整的源代码请猛戳github博客,纸上得来终觉浅,建议大家动手敲敲代码。 一、什么是跨域? 1.什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同...
CORS跨域的原理
yan的秘密基地
05-04 1888
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Control-
跨域原理及解决方案
Insist_bin的博客
08-02 975
前言 跨域是什么,为什么会有跨域?跨域的解决方法是什么?常用的是什么?原理是什么? 什么是跨域 跨域是指从一个域名去请求另一个域名的资源。 严格来说,只要域名,协议,端口任何一个不同,就视为跨域。 跨域场景 以下这种看上去再相似也没有用,都是跨域。 主域不同 http://www.chrome.cn/index.html http://www.chomper.cn/server.php 子域名不同 http://abc.chomper.cn/index.html http:/.
CORS实现原理
文生同学
03-21 2294
1.简介 CORS,跨域资源共享,需要浏览器和服务器同时支持,基本思想为使用自定义的HTTP头部让浏览器和服务器通信 2.分类 浏览器将CORS分为两类: 简单请求 HEAD,GET,POST, HTTP头部信息不超出几个字段 非简单请求 HEAD请求 只请求页面的首部,可以判断一个资源是否存在 3.简单请求 浏览器直接发出CORS请求,在头信息中添加一个Origin字段,用来...
聊聊跨域的原理与解决方法
顺仔的小窝
06-20 1411
背景 在最近的项目中,遇到这样一个场景:合作方开发H5页面并部署在合作方的服务器上,但页面中嵌入了我方的SDK,SDK会直接调用我方的接口,如下图: 但是控制台中却会收到如下报错: Access to XMLHttpRequest at 'http://example1.com/test' from origin 'http://example2.com' has been blocked by CORS policy: Response to preflight request doesn't pass
什么是 CORS?它是如何工作的 ?
oYiQiYi1的博客
03-31 4646
如果你正在阅读本文,我想应该是你在进行一些 API 调用时在浏览器控制台中遇到与 CORS 相关的奇怪错误。今天我们将了解这些错误是什么以及如何解决它。 我们的浏览器有一些安全策略,以便数据传输是安全的,并且在数据到达最终用户之前不会受到破坏数据的攻击。现代浏览器的策略之一被称为同源策略,这仅仅意味着网页可以访问同源的资源。 什么是同源 简单来说同源即三个相同: 协议相同 域名相同 端口相同 如下图所示 现在假设从源 https://localhost:3000 请求 https://e.
CORS原理及详细使用(转载)
友人C君的博客
05-02 6287
CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请求类型:...
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2178
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Spring CORS 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 3423
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
cors解决跨域的原理
最新发布
08-25
CORS(跨域资源共享)是一种浏览器机制,用于解决在同源策略限制下的跨域访问问题。同源策略是浏览器的一种安全策略,它要求网页只能从同一个域名、协议和端口加载资源。 CORS工作原理如下: 1. 客户端发起跨域请求:当客户端发送一个跨域请求时,浏览器会在请求头中添加一个Origin字段,表示请求的来源。 2. 服务器响应预检请求(可选):对于某些需要特殊处理的请求(如带有自定义的头信息、使用特殊HTTP方法等),浏览器会先发送一个预检请求(OPTIONS请求),询问服务器是否允许该跨域请求。预检请求携带了一些额外的信息,如请求方法、自定义头部等。 3. 服务器处理预检请求并返回响应:服务器接收到预检请求后,根据请求的信息判断是否允许该跨域请求。如果允许,服务器会在响应头中添加一些字段,如Access-Control-Allow-Origin(指定允许的源)、Access-Control-Allow-Methods(指定允许的方法)等。 4. 浏览器根据响应决定是否发送真正的请求:浏览器接收到服务器的响应后,会进行判断。如果响应中包含了正确的CORS头信息,并且服务器允许该跨域请求,浏览器会发送真正的请求。否则,浏览器会阻止真正的请求,并抛出一个错误。 需要注意的是,CORS只在浏览器中起作用,不同浏览器对CORS的支持程度可能有所不同。另外,服务器端也需要进行相应的配置,以允许跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值