跨域资源共享 CORS(Cross-origin resource sharing)

最新推荐文章于 2024-04-12 10:25:40 发布
最新推荐文章于 2024-04-12 10:25:40 发布
阅读量7.9k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012125579/article/details/65436129
版权

跨域资源共享 CORS(Cross-origin resource sharing)

一、简介

CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

二、两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)
- 只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)请求头中的Content-Type请求头的值是下列之一
application/x-www-form-urlencoded、multipart/form-data、text/plain
(3)满足以上两个条件且未设置自定义请求头或者xhr.upload 里面未添加事件监听

  • 凡是不同时满足上面三个条件,就属于非简单请求。
  • 浏览器对这两种请求的处理,是不一样的。

三、简单请求

3.1 基本流程

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

Host:media.xxxx.com
Origin:http://newsky.xxxx.com

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获

如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。

Access-Control-Allow-Credentials:true
Access-Control
最低0.47元/天 解锁文章
Gavin13140
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
资源共享CORS协议介绍
03-07
资源共享CORS协议介绍, cross-origin resource sharing layer
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on ...
WEB资源共享Cross-origin Resource Sharing(CORS)
weixin_30813225的博客
09-17 297
资源共享(CORS):浏览器同源策略中的同源指协议+名+端口三者完全一致,其中任何一个不同即为 1. 浏览器同源策略是隔离潜在恶意文件的安全机制,限制信息传递和使用的边界,不是信息的保密机制。<img><script><link>以及表单提交都可实现请求,但可能会不同程度受同源策略的限制,因浏览器不同而异; 2. 资源共享(CORS...
html5 资源共享,CORS(Cross-Origin Resource Sharing) 资源共享
weixin_39568659的博客
05-31 449
CORS全称:Cross-Origin Resource Sharing中文意思:资源共享?好吧,目前中文方面的资料还比较少,能搜索到的那仅有的几篇相关介绍,也几乎是雷同的。最近工作上也有用到CORS的地方,随便做点分享吧,也当是笔记。大家也知道,XMLHttpRequest接口是Ajax的根本,而Ajax考虑到安全性的问题,是禁止访问资源的。也就是说:www.a.com的页面无法通过Aj...
处理项目扫描出来的一些常见漏洞bug(java相关)
jennycisp的博客
04-12 1117
很多时候,一些项目,或许都会有一定的系统安全要求。一般常见于政府项目比较多!!!项目做完后,都需要做一些安全的扫描:包括以下方面:1.服务器安全漏洞问题扫描2.项目安全漏洞问题扫描3.中间件安全漏洞扫描(例如:mysql、oracle、redis、nacos等)那我们今天就来讲讲第2点,项目安全漏洞的场景问题!!!来,上干货!!!
script标签中的crossorigin属性
文摘资讯
11-23 1534
在前端监控逐渐完善的今天,页面中错误日志的上报可以说对我们的日常工作带来了极大的帮助。而使用 window.onerror 事件来捕获 js 脚本中的错误信息是重要的手段 。但是对于的...
[笔记.CORS漏洞]资源共享Cross-origin resource sharing
:: Dotnet Fantasy ::
08-19 322
资源共享产生的原因: 1、访问网站资源的请求,最终都是浏览器发起的; 2、向A网站的请求,可以是用户访问A网站的页面引发,也可以是用户访问其他页面间接引发(如:其他网站页面中的img标签src到A网站); 3、请求是否正常被执行,取决于浏览器和被请求的网站服务(A网站) 浏览器提供判断需要的信息——头信息之中的Origin等字段 网站服务来判断是否接受调用 整个CORS通信过程由浏览器背后完成,使用者基本感受不到
Spring Boot 中遇到Insecure CORS configuration问题
非衣鲲化的博客
05-09 5240
问题描述: 由于使用了CORS(Cross-Origin ResourceSharing)这个技术,当Access-Control-Allow-Origin设置为*的时候,容易遭到攻击。 解决方案: 方案一: 将Access-Control-Allow-Origin设置为固定的访问URL,springboot框架中,可以使用@CrossOrigin注解,在方法的上打...
的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS资源共享Cross-Origin Resource Sharing
01-06
的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS资源共享Cross-Origin Resource Sharing
你可能不知道的CORS资源共享
12-09
但是我们在日常实际开发中,常常会遇到请求的需求,因此就出现了一种请求的方案:CORSCross-Origin Resource Sharing资源共享CORS背后的原理是:使用自定的HTTP头部与服务器进行沟通,从而由...
Apache中配置支持CORS资源共享)实例
09-15
资源共享CORSCross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的名、协议或端口)获取资源。在传统的同源策略限制下,浏览器禁止了不同源之间的AJAX请求,以保护用户数据的...
关于web端漏洞及安全性问题的浅谈
weixin_43178103的博客
09-01 3577
前言: 本人以总结自己的错误,以及经验分享为初衷记录该文,希望可以帮助到一些新加入的朋友们 前段时间在部署了以python语言开发,django框架工具进行搭建的web后端程序,在反向nginx服务器,及uwsgi web服务器的支持下,并发数稳定在2000左右(小型企业非对外开放项目) 由于项目的特殊性,也是作为小白,第一次接触到项目的部分的安全性问题* 项目试运行阶段,甲方发送人工渗透测试检测漏洞 6处低危漏洞,11处中危漏洞,2处高危漏洞,对于一个项目开发人员,看到自己的项目有许多漏洞,还是挺意外的
资源共享(Cross-origin resource sharing)CORS
Coder
01-07 2976
说起,很多web程序员并不陌生,出于对安全问题的考虑,1995年由Netscape提出同源策略,浏览器在发送Ajax请求时,只接收同服务器响应的数据资源;那么什么才算同呢?很简单,协议、名、端口全部相同才算同一下,三个条件有一个不一致,都不算同,既; 因此,即使是我们自己的名服务器,而二级名或三级名不一致,也会出现,如:http://img.xiling.me与h...
CORS资源共享漏洞靶场演示
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 2132
CORS资源共享Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同的请求发生时,就出现了的现象。 漏洞盒子公益联盟领袖证书。
CORS解决ajax问题
热门推荐
Saytime
05-31 2万+
一、介绍 CROS是现在主流解决问题的方案,未来估计也是趋势。 1. 资源共享CORSCross-Origin Resource Sharing (CORS) 是W3c工作草案,它定义了在访问资源时浏览器和服务器之间如何通信。CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。2. CORS与JSONPCORS与JSONP相
CORS漏洞浅析
来到了学渣的博客
05-06 2337
CORS (Cross-OriginResource Sharing资源共享) 其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通。因为开发者需要进行进行获取资源,应用场景,在a.com,想获取b.com中的数据,常用的2种方法进行一种为JSONP,一种为CORS.还有html标签也能,有以下几种img, iframe,ink, script等。 简单流程 假设用户登陆一个...
资源共享CORS漏洞
LuckySec
08-22 1万+
0x01 漏洞简介 资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站读取受害网站的敏感信息。 这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击
关于的ajax——Cross-Origin Resource Sharing (CORS)
hongweigg的专栏
09-04 1万+
CORS浏览器支持:Firefox 3.5+, Safari 4+, Chrome, Safari for iOS, and WebKit for Android Js代码   //页面A: http://shawn.test2.com/crossAjax.html  function create(){                var objXMLHTTP = new
apache配置 - 资源共享(Cross-Origin Resource Sharing)
捉刀人
12-30 8619
假定要允许ajax的ssl访问:修改以下配置conf/extra/httpd-ssl...Header add Access-Control-Allow-Origin *Header add Access-Control-Allow-Methods "GET, POST, OPTIONS"Header add Access-Control-Allow-Headers "Content-Type"
strict-origin-when-cross-origin是什么意思
最新发布
06-15
`strict-origin-when-cross-origin` 是一个同源策略的安全选项,它在 Web 开发中用于控制浏览器如何处理资源共享Cross-Origin Resource Sharing, CORS)。这个策略定义了当从一个源(origin)请求另一个不同源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值