CORS(跨域)请求总结和测试

最新推荐文章于 2024-05-22 09:56:05 发布
最新推荐文章于 2024-05-22 09:56:05 发布
阅读量665 收藏 4
点赞数
文章标签: json git
原文链接:http://www.cnblogs.com/cqhaibin/p/7067429.html
版权
一、简单请求与非简单请求

跨域请求分为简单与非简单请求,同时满足以下两种条件的可以确定为简单请求。 简单请求的请求方法

请求方法说明
head发送头部信息
get 
post 

简单请求的HTTP头信息

http头信息说明
accept指定客户端可以接受哪类信息,eg: image/git
accept-language指定客户端可以接受的自然语言,如果没有指定,认为各语言都可以。eg:accept-language: zh-cn
content-language描述实体报头和资源所用的自然语言。没有设置该规则认为实体内容将提供给所有的语言阅读
Last-Event-ID最后一次接收到事件的标识符
content-type实体报文和资源的类型,只限于三个值:application/x-www-form-unlencoded、multipart/form-data、text/plain

二、简单请求处理原理

请求头说明
Access-Control-Allow-origin指定可以跨域访问的网站,可以设置为*,表示所有res.setHeader("Access-Control-Allow-origin","http://localhost")
Access-Control-Allow-Credentials有这个头或者值为true,表示可接受跨域的cookies。而withCredentials是客户端设置是否传递cookies到服务器。
Access-Control-Expose-Headers默认cors请求。客户端的xmlHttpRequrest只能拿到Cache-Control、Content-Language、Content-Type、Exprise、Last-Modified、Pragma等6个字段,其他头就需要通过Access-Control-Expose-Headers来指定

注意事项

  1. 设置了Access-Control-Allow-Credentials为true,或者有这个头,那么Access-Control-Allow-Origin就不能用*。
  2. 发送cookie时,Access-Control-Allow-Origin不能为*,cookie依然同源,只有服务器域名设置的cookie才会上传的。
  3. 原网页代码中的document.cookie也无法读取服务器域名下的cookie(客户端),通过xmlHttp.getResponseHeader("set-cookies")也不可以的。
  4. xmlHttp可以获取到foo、boo对象
res.setHeader("Access-Control-Allow-origin","*"); 
res.setHeader("Access-Control-Expose-Headers", "foo,boo"),
res.setHeader("foo", "foo");
res.setHeader("boo", "boo");

三、非简单请求处理原理

如果请求方法是PUT、DELETE,或者Content-type的类型为applicetion/json的。非简单请求两大步骤:

  1. 预验证“请求”,浏览器会发送请求方法为options的请求,然后会带上如下三个头
头部名称说明
Origin表示发送请求发送的源域名
Access-Control-Request-Method需要跨域执行的请求方法(也可以叫动作)
Access-Control-Request-Headers指定cors请求会额外发送的头部信息,给客户端自定义头部的机会
  1. 服务判断是否指定了Access-Control-Allow-Origin头,并且值是可匹配的,验证通过则输出信息如下头部内容:
头部名称说明
Access-Control-Allow-Methods表明服务器支持的cors请求方法,多个用逗号隔开
Access-Control-Allow-Headers如果请求有了Access-Control-Request-Headers头,必须返回此头,表明服务器支持的所有头部信息,多个用逗号隔开
Access-Control-Allow-Credentials与简单请求一致
Access-Control-Max-Age指定本次预验证的有效期,单位:秒
注意:
  1. Access-Control-Request-Headers和Access-Control-Request-Method不需要开发者来设置,这是浏览器自动识别的.Access-Control-Request-Headers根据请求的自定义头生成,而Access-Control-Request-Method根据请求的方法生成。
  2. headers设置不对的表现:

3. 正确的设置:

四、跨域cookie的处理(不行)

  1. 跨域是设置不了cookie的。服务端输出的cookie无效
  2. ajax获取set-Cookies头(客户端),会提示错误

转载于:https://www.cnblogs.com/cqhaibin/p/7067429.html

weixin_30376509
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试实践基础:CORS跨域集成
战神/calmness的博客
11-06 1312
目录 一、CORS漏洞原理 二、 漏洞挖掘 三、 检测方法 方法一: 方法二: 方法三: 四、 存在点 五 案例 1 利用CORS头部中错误配置的通配符(*) 2 利用错误匹配的不完整域名 3 利用XSS请求跨域站点 4 利用safari进行cors 5 高级利用手法: 利用再现: 工具 一、CORS漏洞原理 cors是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了...
Django配置跨域并开发测试接口
01-19
1.跨域原理 1. 首先浏览器安全策略限制js ajax跨域访问服务器 2. 如果服务器返回的头部信息中...那么, 浏览器可以让js 请求该服务器 2.django cors设置: 1. 安装包 pip install django-cors-headers 2. 注册应用 INS
SpringMVC CORS跨域测试
02-10
SpringMVC CORS跨域测试
CORS跨域浅谈
h1234561234561的博客
11-14 288
cors(全程:跨域资源共享cross-origin-resource-shaw) 实质就是在服务器后台程序中设置允许不同域发送过来的请求cors存在两种请求方式,简单请求和非简单请求。 一、判断请求是否为跨域请求,当为跨域请求时,判断是否为简单请求或者是非简单请求 1、判断是否为跨域请求 当我们发送请求时,浏览器会检测我们页面所在域名是否与请求链接所在域名为同一域名。若校验为同源,则直接发送请...
Spring Boot 竟然能够通过CORS来实现跨域
程序员麦冬的博客(公众号同名)
09-08 426
1.同源策略 很多人对跨域有一种误解,以为这是前端的事,和后端没关系,其实不是这样的,说到跨域,就不得不说说浏览器的同源策略。 同源策略是由 Netscape 提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。所谓同源是指协议、域名以及端口要相同。同源策略是基于安全方面的考虑提出来的,这个策略本身没问题,但是我们在实际开发中,由于各种原因又经常有跨域的需求,传统的跨域方案是 JSONP,JSONP 虽然能解决跨域但是有一个很大的局限性
Spring API 的 CORS 测试
HONEY MOOSE
11-04 529
在开发 API 和前端的时候,最麻烦的就是一个 CORS 测试。 你不知道你的 API 是否允许 CORS,也不知道是不是因为前端的原因。 但是 CORS 这个跨域访问确实让人非常头疼。 ## 写个页面 为了解决这个问题,我们用 HTML 写了个页面,这个页面可以对跨域访问进行一些小测试。 请查看页面在 GitHub 上的完整源代码: https://github.com/cwiki-us-demo/java-tutorials/blob/master/src/main/resources/htm
测试跨域
zlsdmx的博客
12-14 3613
目录: 1、什么是跨域 2、常见跨域场景 3、跨域处理办法 4、跨域自测方法 5、spring官网说法 https://howtodoinjava.com/spring5/webmvc/spring-mvc-cors-configuration/ 正文 1、什么是跨域 跨源资源共享 简称CORS CORS (Cross-origin resource sharing) allows a webpa...
CORS跨域访问漏洞
m0_73896875的博客
07-13 5051
全称是“跨域资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决跨域资源访问限制的机制。它允许在浏览器中进行跨域请求,并控制跨域请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的域名、协议和端口必须与资源所在的域名、协议和端口完全匹配。如果两个资源的域名、协议和端口不匹配,浏览器会限制跨域请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的跨域请求
CORS跨域测试文件
Java进阶之路
04-02 1062
众所周知,跨域解决方案有两种,一种是后端使用拦截器或者过滤器解决,一种是前端JOSNP解决,推荐后端过滤器解决。 下面HTML文件可以测试后端跨域配置是否生效 <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=gbk" /> <meta name="keywords" content="j
Django跨域资源共享问题(推荐)
01-20
在前后端集成测试的时候,就遇到了一些web安全相关的问题,cors跨域资源共享就是其中之一。 cors问题介绍 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web...
IE9 IE8 ajax跨域问题的快速解决方法
12-09
网上解决办法均是 在发起请求之前添加 jQuery.support.cors=true;但是,线下测试,是ok的,一放到服务器上,又出现了新的eroor:readyState: 0, status: 0, statusText: “Error: 拒绝访问… 最后,问题是这样解决的...
guide-cors:有关如何在Open Liberty中启用跨域资源共享(CORS)的指南
04-02
CORS及其目的跨域资源共享(CORS)是W3C规范和机制,可用于从当前域之外的域请求受限制的资源。 换句话说,CORS是一种使用来自与您不同来源的API的技术。 CORS对于从您自己的网站请求不同类型的数据很有用。 这些...
IE9版本以下ajax 跨域问题可行解决方法
12-11
ajax跨域请求数据在谷歌火狐我本地IE11都是没问题的。 让测试就发现问题了,IE8下请求不到数据,然后我查看一下自己写的js看有没有不兼容问题,可是都没有啊,为什么就请求不到呢。 我把ajax的error打印出来提示no ...
跨域测试与解决
清茶的博客
12-17 3360
目录 前言 浏览器的同源策略 如何允许跨域访问 如何验证后端服务是否跨域 java后端支持跨域配置 前言 一直想写的一个自用cv工程一直懒得写,本文主要目的是存放java后台开启跨域配置代码,用于复制,顺便整理一下笔记中的跨域内容 浏览器的同源策略 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的重要安全机制 如果两个页面的协议、域名和端口均一模一样,则认为两个页面具有相同的源,下表给出相对 http://store.comp
CORS跨域资源共享漏洞复现——详细利用方法,漏洞危害最大化
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-15 4136
CORS跨域资源共享漏洞,漏洞复现,cors的利用方式以及让危害最大化。
PostMan 跨域测试
热门推荐
Joker_ZJN的博客
07-14 1万+
使用PostMan进行跨域测试
CORS漏洞利用检测和利用方式
丶没胡子的猫
09-01 4374
CORS漏洞利用检测和利用方式 CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。 检测方式: 1.curl访问网站 curl https://www.junsec.com -H "Origin: https://test.com" -I 检查返回包的 Access-Control-Allow-Origin 字段是否为https://test.com 2.burpsuite发送请求包,
检查是否存在跨域问题
hlonelier的博客
06-30 3401
跨域请求的响应头通常包括 "Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"、"Access-Control-Allow-Headers" 等字段,它们指示了允许跨域请求的源、方法和头部。如果请求的状态是 "Blocked"(被阻止)或响应头中包含 "Access-Control-Allow-Origin"(允许跨域请求的源)相关的字段,就表示存在跨域问题。需要注意的是,由于浏览器的同源策略限制,跨域请求受到一些安全限制。
Android 中资源文件夹RES/RAW和ASSETS的使用区别
最新发布
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-22 648
/ 读取res/raw/example.txt文件内容try {= null) {*res/raw:适用于简单的资源文件,文件名有严格要求,通过资源ID访问。1、优点:直接通过资源ID访问,性能较好。2、缺点:不支持复杂的文件夹结构,文件名有严格要求。3、适用场景:简单资源文件,如音频、视频、文本等*assets:适用于复杂的资源文件,支持文件夹层次结构,通过文件路径动态访问。通过合理选择和使用这两个文件夹,可以实现更高效的资源管理和访问,提升应用的组织性和性能。
cors跨域漏洞概述
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些响应头来明确指示哪些域被允许访问该资源。由于同源策略的限制,浏览器通常不允许从一个源加载另一个源的资源,但如果服务器明确指定了某些域可以访问该资源,浏览器就会允许跨域请求。 然而,CORS 也存在一些安全风险。其中最常见的是 CORS 跨域漏洞,攻击者可以利用这种漏洞来盗取用户数据或执行恶意脚本。攻击者可能会伪造一个跨域请求,然后向服务器发送一个 HTTP 请求,服务器在响应中添加了允许其它域名访问该资源的头部,攻击者就能够获取到服务器返回的数据。 为了防止 CORS 跨域漏洞,服务器需要对来自非法域名的跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值