CORS权限控制

最新推荐文章于 2022-06-13 00:45:15 发布
最新推荐文章于 2022-06-13 00:45:15 发布
阅读量178 收藏
点赞数
原文链接:http://www.cnblogs.com/mydia/p/7503581.html
版权

CORS权限控制

CORS是一种新的数据交互标准。

依旧是XHR请求,但是克服了ajax的跨域问题。

请求类别

CORS主要分为两种请求方式:简单请求和非简单请求

只要满足两个条件就是简单请求:

  1. 请求的方法是HEAD或GET或POST

  2. HTTP的头部信息不超出以下字段:Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type

其中Content-Type的值只可以是application/x-www-form-urlencoded、multipart/form-data、text/plain.

其余都是非简单请求

简单请求 simple request

浏览器发起一个简单请求,在头信息中多加了一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

服务器依据设置判断是否允许来自Origin的地址的访问,如果允许就返回请求的值。

Access-Control-Allow-Origin: http://api.bob.com

返回的值中会有Access-Control-Allow-Origin字段,代表允许的地址值。

Access-Control-Allow-Origin 可以设置为 * ,代表允许任何地址访问。

非简单请求

发起非简单请求时,浏览器会先发起依次预检请求,检查Origin、Access-Control-Request-Method和Access-Control-Request-Headers之后,做出回应。

xhr.setRequestHeader('X-Custom-Header', 'value'); //xhr请求中自定义的头部字段

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header //包含的头部自定义字段
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

预检请求的回应

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com // 允许的地址
Access-Control-Allow-Methods: GET, POST, PUT // 允许的方法
Access-Control-Allow-Headers: X-Custom-Header // 允许的头部自定义字段
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100 // max代表此条预检请求有效期为100s,此期间内无需发起预检请求。
Connection: Keep-Alive
Content-Type: text/plain

转载于:https://www.cnblogs.com/mydia/p/7503581.html

weixin_30657541
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
auth 权限控制
07-26
在IT行业中,权限控制是构建安全、稳定系统的关键部分,特别是在Web应用开发中。"Auth权限控制"项目是一个用于学习的实例,旨在帮助开发者理解如何实现简单但有效的权限管理策略。这个项目的特点是其易用性和对跨域...
权限控制,js控制js控制js控制权限控制
04-28
开发者可以利用CORS(Cross-Origin Resource Sharing)来控制哪些源可以发起请求,实现跨域权限控制。 3. **本地存储权限**:localStorage和sessionStorage允许JavaScript在用户的浏览器中存储数据。然而,对于这些...
跨域资源共享 CORS 详解
嘿嘿
05-31 272
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 (图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园) 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS
Spring Boot 的CORS 支持
探索er的博客
04-02 1019
Springboot 跨域请求 (CORS 支持)
跨域CORS解决办法
qq_45406325的博客
06-13 3974
跨域是由浏览器的同源策略产生的一种自卫行为。一个URL由协议protocol / 主机host / 端口port组成,这三部分都相同时为同源。当前url和请求url不同源时就会产生跨域。
JAVA web项目跨域
weixin_30483495的博客
06-02 161
CORS跨域请求控制方法 1.http请求头 Origin: 普通的HTTP请求也会带有,在CORS中专门作为Origin信息供后端比对,表明来源域。 Access-Control-Request-Method: 接下来请求的方法,例如PUT, DELETE等等 Access-Control-Request-Headers: 自定义的头部,所有用setRequestH...
HTTP访问控制(CORS)
FY19951211的博客
10-20 2299
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),...
Tomcat下的配置CORS
07-26
CORS通过设置HTTP头部信息,如Access-Control-Allow-Origin,来控制跨域请求的权限。当服务器返回这些头部信息时,浏览器会检查并允许相应的跨域请求。CORS支持预检请求(OPTIONS),以确保服务器允许特定的请求方法...
.net mvc 权限设计
11-11
- 还可以使用AuthorizeCore方法自定义权限检查逻辑,以实现更复杂的权限控制。 3. 数据库设计: - SQL Server 2012用于存储用户和角色信息,通常包括AspNetUsers、AspNetRoles、AspNetUserRoles、AspNetClaims等...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
【Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
跨域图片资源权限(CORS enabled image)
weixin_33858249的博客
06-14 2145
HTML 规范文档为 images 引入了 crossorigin 属性, 通过设置适当的头信息 CORS , 可以从其他站点加载 img 图片, 并用在 canvas 中,就像从当前站点(current origin)直接下载的一样. crossorigin 属性的使用细节, 请参考 CORS settings attributes...
CORS是什么(跨域)
thj_blog
02-26 2768
**CORS **(Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的[HTTP头]组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 同源安全策略, 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。 同源策略限制了从同一个源加载的...
既然 cors 配置可以做跨域控制,那可以防止 CSRF 攻击吗
zhangzhangdan的博客
07-30 788
CORS 一点用也没有 form 提交不通过 CORS 检测,你可以在本地进行测试 即使通过 xhr 及 fetch 进行提交被 CORS 拦住,但是对于简单请求而言,请求仍被发送,已造成了攻击
HTTP 访问控制(CORS)
xia744510124的专栏
08-25 3335
跨域请求:请求不属于自己域(domain)下资源。例如,一个来自http://domain-a.com域下的HTML page请求http://domain-b.com域的图片资源。当今,网站中许多页面从别的域下加载像CSS stylesheets, images and scripts资源。   出于安全考虑,浏览器会限制跨域脚本执行请求。例如,XMLHttpRequest遵循同源策略(所谓同源

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值