CORS 跨域, 也许这篇就够了

最新推荐文章于 2024-01-07 16:32:14 发布
最新推荐文章于 2024-01-07 16:32:14 发布
阅读量130 收藏
点赞数
文章标签: 运维 网络 json
原文链接:https://juejin.im/post/5c0fd718f265da612d191e4e
版权

CORS前奏

了解CORS跨域之前,也许我们还应该对跨域这么个东东的一些概念要有些了解。

1. 什么是跨域

广义上的跨域是指一个 域下的文档或脚本试图去请求另一个域下的资源。比如: 资源跳转(a链接)、资源嵌入(link, script)、脚本请求(js发起ajax请求)等。而我们通常所讨论的跨域是指的是狭义上的跨域,指的是由浏览器同源策略限制的一类请求场景。那么什么是同源策略,同源策略又限制了什么。

2. 什么是同源策略

同源指的是如果两个页面的协议,端口和域名都相同,则两个页面具有相同的源,只要其中之一不同,则那这两个源就不相同。

3. 同源策略限制了什么
  • Cookie、LocalStorage 和 IndexDB 无法读取。
  • DOM 无法获得(内嵌iframe中,父子页面不能获取DOM)。
  • AJAX 请求不能发送。
4. 为什么有同源策略的限制

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

  1. Cookie、LocalStorage 和 IndexDB 无法读取限制。(原因比如:访问一个恶意网站,获取到所有网站下的cookie信息, 如果有某个已登录的网站, 登录验证放在cookie里, 那就可以伪装你的身份去访问该 网站。)
  2. DOM 无法获得(内嵌iframe中,父子页面不能获取DOM)。(原因比如:一个恶意 网站,iframe嵌入一个正规网站的, 这样就可以获取到用户的登录信息和密码。 )
  3. AJAX 请求不能发送。 (原因比如: 没限制直接就可以用脚本把服务器给打爆了。)
5. 解决跨域的方法
  • JSONP
  • location.hash
  • document.domain
  • window.name
  • window.postMessage
  • WebSocket
  • CORS 接下来要重点讨论下的是CORS是如何解决ajax请求跨域的。

CORS正文

CORS(跨域资源共享)是一种机制,允许 Web 应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。CORS的使用要浏览器和服务端同时支持,并配合使用, IE要大于10。

1. 怎么工作的

js中进行一个跨域的ajax请求,浏览器判断该请求是简单请求还是复杂请求,简单请求就直接发送, 复杂请求就先发送一次预检请求, 预检请求成功后, 再发送完整的请求, 整个过程对用户是无感知的。那么什么是简单请求和复杂请求呢?

2. CORS的简单请求和复杂请求

简单请求需要同时满足以下两个条件:

  • 请求是以下方法之一: GET、HEAD、POST
  • 不得人为设置以下集合之外的其他首部字段:
Accept
Accept-Language
Content-Language
Content-Type (需要注意额外的限制):
(text/plain
multipart/form-data
application/x-www-form-urlencoded)
复制代码

非简单请求就认为是复杂请求(比如PUT、DELETE请求, content-type设置为appliction/json等), 就需要发送预检请求。

3. CORS是如何工作的(如何确定是否允许跨域)

确定是否允许跨域就需要浏览器和服务器共同协作完成,主要就是通过特定的一些响应头来完成。预检请求还需要有特定的请求头。那么特定请求头分别有哪些以及是如何配合使用的。

######a. 服务端响应头

  • Access-Control-Allow-Origin:这个字段是必须的,代表的是允许跨域的源, '*'代表任意的源。
  • Access-Control-Allow-Methods: 这个字段也是必须的, 代表允许跨域的http请求方法。
  • Access-Control-Allow-Credentials: 非必须的, 表示是否允许发送cookie, 默认是false,如果设置为true则同时还需要客户端要设置xhr.withCredentials = true才能起作用, 两者是共存的(其中的cookie带的是目标域的cookie)。
  • Access-Control-Allow-Headers: 非必须的,表示允许的请求头, 如果预检请求中包括了Access-Control-Request-Headers, 则服务端必须设置该字段。
  • Access-Control-Max-Age:非必须的,用来指定本次预检请求的有效期,单位为秒。即将CORS的响应配置缓存在浏览器端, 在缓存生效时间内,下次请求不用发送预检请求。 需要注意的是: 浏览器的disable-cache要关掉
  • Access-Control-Expose-Headers:可选字段, 客户端只能根据响应获取到以下的响应头:
Cache-Control
Content-Language
Content-Type
Expires
Last-Modified
Pragma
复制代码

如果想要获取额外的响应头信息, 则需要将其设置在这个字段中。

b. 客户端预检请求头
  • Access-Control-Request-Method: 该字段是必须的,用来表示览器的CORS请求会用到哪个HTTP方法。
  • Access-Control-Request-Headers: 该字段是非必须的,指定浏览器CORS请求额外发送的头信息字段。
针对简单请求情况:

不会发送预检请求, 直接是发起真正的请求,只要 Access-Control-Allow-Origin与Access-Control-Allow-Methods正确的设置就能发起请求。

具体的coding例子:github传送门

后记: 如果看完这篇还没理解,那就。。。再多看几遍(逃。。。),根据demo折腾下。
参考文章:
  1. www.ruanyifeng.com/blog/2016/0…
  2. www.html5rocks.com/en/tutorial…
  3. developer.mozilla.org/zh-CN/docs/…
  4. developer.mozilla.org/zh-CN/docs/…
  5. github.com/hijiangtao/…
weixin_34138521
关注
RTK基准站的启动——利用CORS网络获取基站启动坐标
Jiker Wang
12-20 2万+
RTK基准站的启动——利用CORS网络获取基站启动坐标
cocos creator动态加载资源
chuanyuyao91的博客
03-24 1206
动态加载资源要注意两点,一是所有需要通过脚本动态加载的资源,都必须放置在resources文件夹或它的子文件夹下。resources需要在 assets 文件夹中手工创建,并且必须位于 assets 的根目录 resources文件夹中的资源,可以引用文件夹外部的其它资源,同样也可以被外部场景或资源引用到。项目构建时,除了已在构建发布面板勾选的场景外,resources文件夹...
cors站点数据
03-14
cors站数据用于论文的写作和用处,了解一些可靠地信息。
CORS参考站数据读取
10-13
程序主要读取参考站采集的数据并存储GPS参考站数据,主要用于对GPS观测数据进行处理。
portproxy:TCP 代理,劫持 HTTP 以允许 CORS
07-07
端口代理 一个糟糕的 TCP 代理,它将所有请求中继到本地端口到远程服务器。 portproxy -port 8080 -raddr google.com:80 将代理localhost:8080上的所有 TCP 请求并将它们发送到google.com 。 劫持 HTTP 如果给出了http标志: portproxy -http -port 8080 -raddr google.com:80 代理将尝试检测 HTTP 请求。 如果 HTTP 请求包含Origin标头,则来自远程服务器的响应将被修改为包含Access-Control-Allow-Origin: *标头。 动机 此代理的唯一目的是绕过不执行 CORS 的远程 API。
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
react中fetch之cors跨域请求的实现方法
08-27
这篇文章将介绍如何在 React 中使用 CORS 实现跨域请求。 CORS 介绍 CORS(Cross-Origin Resource Sharing,跨来源资源共享)是一种机制,允许 Web 应用从不同域名下的服务器获取数据。它通过在 HTTP 头中添加一些...
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
GeoServer配置解决cors跨域问题的依赖jar包和配置说明.zip
05-12
geoserver跨域设置: 1、将cors-filter-2.4.jar和java-property-utils-1.9.1.jar,两个jar包文件放入geoserver目录下webapps\geoserver\web-inf\lib中。 2、打开geoserver目录下webapps\geoserver\web-inf中的web....
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10.整个CORS通信过程都是浏览器自动完成不需要用户参与。对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
RTMP协议视频直播点播平台EasyDSS播放WS-FLV视频流报AccesstoXMLHttpRequestat‘ws错误
EasyDSS官方技术博客
08-19 750
TSINGSEE青犀视频团队研发在更新升级视频平台时,都增加了WS-FLV的播放格式,之前的博文解决过EasyGBS新版ws_flv视频流无法播放问题,EasyDSS视频直播点播平台更新后也支持ws_flv视频流播放。 开发EasyDSS支持ws_flv视频流时,内部在做测试,也遇到了跟EasyGBS一样的问题——ws_flv视频流无法播放,但这个原因并不相同。我习惯于打开开发模式检查,果然发现了报错: AccesstoXMLHttpRequestat’ws://192.168.99.118:8080/
Cosos Creator 3.8 http通信 / 跨域问题
m0_58742564的博客
09-27 1022
如果后面执行communicationService.js的时候报错,可以就是没配置到package.json包里(再执行这条代码即可npm install cors --save)在这个例子中,只有​ "http://example.com"这个域名的网页可以向你的服务器发起请求。根据自己的系统进行相关的环境配置 ,最后确保终端能输出相应版本号。添加一个js文件(新建一个text文件,改后缀名即可),文件名可参考我的。如果你只想允许特定的域名对你的服务器发起请求,你可以这样配置。
CORS跨域带来的preflight request
咕咕鸡的博客
01-12 8220
cors跨域
三种主流流协议的浏览器播放解决方案
最新发布
m0_58699417的博客
01-07 1823
三种主流流协议的浏览器播放解决方案
vue 播放rtmp 直播拉流视频
weixin_44445363的博客
01-29 1803
一、写插件 <template> <video ref="videoPlayer" class="video-js vjs-default-skin vjs-big-play-centered" style="width: 100%; height: 100%" ></video> </template> <script> import videojs from "video.js"; import "video
跨域-原因及解决方案
qq_34941404的博客
08-07 693
跨域 如何判断跨域请求 在A地址(发起请求的页面地址)向B地址(要请求的目标页面地址)发起请求时, 如果A地址和B地址在:协议 域名 端口 不全相同,则说明请求时跨域的. 跨域请求报错的原因 请求是跨域的,并不一定会报错.普通的图片请求,css文件请求时不会报错的 跨域请求出现错误的条件:浏览器同源策略 && 请求时ajax类型 同源策略(Same origin policy):是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说
Jenkins API JS 跨域请求实现
码上行动
07-28 3623
背景 基于Jenkins做公司内部app持续集成 在Jenkins之上做一些定制化页面展现 符合app的一些编译习惯今天遇到的问题是想在自己搭建的平台web页面通过js直接调用Jenkins API ,这就涉及到跨域访问资源问题。通常解决方法是通过Jsonp? 先说解决办法–》安装插件CORS support for Jenkins ,这个插件专门干这个事情。安装后--》 系统管理-系统配置-CO
cocos 跨域访问_Cocos Creator 动态加载远程服务器图片资源
weixin_35426348的博客
01-15 1267
var url = "http://localhost:8080/pic/10001.png";//服务器图片路径var container = this.user_photo.getComponent(cc.Sprite);//图片呈现位置this.loadImg(container,url);//动态加载图片的方法loadImg: function(container,url){cc.load...
Spring MVC CORS 跨域实现源码详解与配置
总结,Spring MVC CORS跨域实现源码解析是一篇实用的技术指南,对于理解和配置Spring MVC框架中的跨域功能至关重要,有助于开发人员在实际项目中解决跨域问题,提升API的可用性和兼容性。理解并掌握这些配置方法将有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值