HTTP访问控制(CORS)

最新推荐文章于 2024-05-04 12:38:00 发布
最新推荐文章于 2024-05-04 12:38:00 发布
阅读量699 收藏
点赞数
分类专栏: Java 文章标签: cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luo_deng/article/details/50678215
版权

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。
正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问
HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。

隶属于 W3C 的 Web 应用工作组( Web Applications Working Group )推荐了一种新的机制,即跨源资源共享(Cross-Origin Resource Sharing (CORS))。这种机制让Web应用服务器能支持跨站访问控制,从而使得安全地进行跨站数据传输成为可能。需要特别注意的是,这个规范是针对API容器的。比如说,要使得 XMLHttpRequest 在现代浏览器中可以发起跨域请求。浏览器必须能支持跨源共享带来的新的组件,包括请求头和策略执行。同样,服务器端则需要解析这些新的请求头,并按照策略返回相应的响应头以及所请求的资源。这篇文章适用于网站管理员、服务器端程序开发人员以及前端开发人员。

1、web.xml

<!-- cors配置  chrome浏览器中配置在interceptor和controller均会出错,只能使用filter -->
    <filter>
      <filter-name>cors</filter-name>
      <filter-class>com.roden.interceptor.SimpleCORSFilter</filter-class>
    </filter>
    <filter-mapping>
      <filter-name>cors</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

2、filter

package com.roden.interceptor;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;

@Component
public class SimpleCORSFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        //解决微信不能打开图片的bug
        response.setHeader("Accept-Ranges", "byte");       
        chain.doFilter(req, res);
    }

    public void init(FilterConfig filterConfig) {}
    public void destroy() {}
}

参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

Roden
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP访问控制CORS
weixin_38097302的博客
08-28 495
CORS(Cross Origin Resource Sharing) 以下内容参考自: MDN web docs 是什么: 使用额外的HTTP头使得运行在一个域上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源与该资源本身所在不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求 CORS 首部字段 Access-Control-Allow-Origin 指示请求的资源能共享给哪些域。 Access-Control-Allow-Credentials 指示当请求的凭证
WAF技术及应用读书笔记(三)HTTP基础
ai_64的博客
10-03 483
第三章 HTTP校验和访问控制 3.1 HTTP 熟练掌握HTTP知识才能写出各种匹配规则实现访问控制。 3.1.1 HTTP简介 超文本传输协议,用于服务器和客户端打交道,交换信息。 3.1.2 统一资源定位符 表示从互联网取得资源的路径和方法,俗称网址。 <协...
跨域(HTTP访问控制CORS))
sinat_31089473的博客
06-16 911
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域; Access to XMLHttpRequest at 'http://localhost:88/api/sys/login' from origin 'http://localhost:8001' has been blocked by CORS policy: Response to preflight ..
小白兔快开门,我是你爸爸。WEB安全基础入门—访问控制漏洞和权限提升_访问权限修饰符控制漏洞(1)
最新发布
m0_74932057的博客
05-04 773
访问控制安全模型是对一组独立于技术或实现平台的访问控制规则的定义。访问控制安全模型在操作系统、网络、数据库管理系统以及后台、应用程序和网络服务器软件中实施。多年来,已经设计了各种访问控制安全模型,已将访问控制策略与业务或组织规则和技术变化相匹配。
HTTP访问控制
weixin_30587025的博客
02-22 248
HTTP访问控制 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fe...
跨域访问小结 HTTP-访问控制CORS
qq_35491812的博客
07-26 160
跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
access-control:在您的应用程序中轻松处理HTTP访问控制CORS
05-30
HTTP 访问控制 (CORS) access-control实现了 HTTP 访问控制,根据 W3 规范,它通常被称为 CORS。 代码非常简单,易于理解,因此也很容易做出贡献。 access-control带有一个非常简单的 API,所以它超级简单、超级棒...
HTTP访问.e.rar
04-05
6. **缓存机制**:HTTP支持缓存,通过Cache-Control、ETag、If-None-Match等头部可以控制资源的缓存策略,减少不必要的网络传输,提高页面加载速度。 7. **持久连接**:HTTP/1.1默认启用持久连接,允许在一个TCP...
SpringMVC CORS跨域测试包
02-10
4. **CORS响应头**:除了`Access-Control-Allow-Origin`,还有其他响应头用于控制CORS行为,如`Access-Control-Allow-Methods`(允许的方法)、`Access-Control-Allow-Headers`(允许的请求头)、`Access-Control-...
SpringBoot实现前后端分离的跨域访问(CORS
01-27
【SpringBoot实现前后端分离的跨域访问(CORS)】 CORS,即Cross-Origin Resource Sharing,跨域资源共享,是一种允许浏览器从不同源加载资源的机制。在前后端分离的架构中,由于前端和后端可能部署在不同的域名下...
访问控制允许起源:处理React和Express中的CORS错误
04-06
在开发Web应用时,尤其是使用React前端框架与Express后端服务器进行交互时,"访问控制允许起源"(Access-Control-Allow-Origin)是跨域资源共享(CORS)策略中的一个关键概念。CORS是一种机制,用于规范浏览器如何...
HTTP访问控制CORS
weixin_33805992的博客
05-04 207
序言 跨域资源共享「CORS」就是在不同的域名、协议、端口直接请求资源。本文主要讲述了什么是跨域,什么情况下会出现预检请求,我司的跨域安全访问 什么是跨域 同源策略 出于安全的原因,在没有被允许的情况下浏览器限制从不同源「origin」发起请求,也可能是跨站请求可以正常发起,但是返回结果被浏览器拦截了。 什么才能是同源 源:由协议+域名+端口组成,也就是说,这个三个要统一才同源 例: http:...
【详解跨域问题】HTTP访问控制(CORS)
purple尘的专栏
03-18 5131
转自:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 当一个资源请求一个其它域名或者另外一个端口的资源时会产生一个跨域HTTP请求(cross-origin HTTP request)。比如说,http://domaina.example的某HTML页面通过  src 请求 http:
HTTP访问控制CORS)一文讲解透彻http跨域的来龙去脉
ailiandeziwei的专栏
04-16 865
跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
cors
06-02
除了Access-Control-Allow-Origin字段,CORS机制还可以通过Access-Control-Allow-Methods和Access-Control-Allow-Headers字段来控制允许的请求方法和头部字段,以及Access-Control-Max-Age字段来控制预检请求的有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值