为什么 CORS 需要在跨域请求前进行预校验 (Preflight)

最新推荐文章于 2022-07-27 23:16:44 发布
最新推荐文章于 2022-07-27 23:16:44 发布
阅读量1.3k 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://juejin.im/post/5c2713c4e51d451ffd257405
版权

大家都知道浏览器在发起复杂跨域请求前会先发送一个 OPTIONS 请求来进行预校验
校验通过后才会正式将携带参数的请求发送给服务器
平时谈论的大多是什么情况下会需要预校验
不知道大家有没有仔细考虑过浏览器为什么会这么做?
不这么做会不会导致什么问题?

下面先来看看 W3C 协议 中的说法:

To protect resources against cross-origin requests that could not originate from certain user agents
before this specification existed a preflight request is made to ensure that the resource is aware of this specification.

光看这段文字可能大家还是一头雾水,下面让我们用一个例子来更加形象的描述一下这个问题
假设浏览器并不会发送预检验(Preflight)请求,而是直接发送正式请求来判断是否允许跨域
我们向服务器发送一个跨域的 DELETE 请求 https://www.a.com/deleteuser?id=123 来删除一个用户

服务端正确设置了 CORS

这种情况下无论是否先发起预检验请求都没有问题
假设不发送,服务器也可以直接根据正式请求的来源域以及请求头来判断是否接受该跨域请求
未通过则返回告诉浏览器不允许该跨域请求
反之请求通过了跨域校验则继续按正常流程处理

服务端未正确设置 CORS

比如服务端使用的仍是在 CORS 出现前开发的代码
这个时候如果浏览器不做预检验,直接将真实请求发至服务器来判断是否满足跨域条件
服务器接受到了如上的 DELETE 请求,由于并未设置过 CORS
也就是说服务器会默认浏览器发来的请求都是满足同源策略的
便直接将该请求当作普通请求进行处理
在这种情况下浏览器的同源策略就不攻自破了

预检验请求为什么能解决这个问题

大家都知道,预检验请求是一个不携带任何具体参数的 OPTIONS 请求
采用 CORS 的服务器会正确的根据请求头来判断是否接受该跨域请求,并返回相应的响应告知浏览器
未采用的服务器接受到请求也会正常处理
但是返回的响应中不会正确的包含 Access-Control-Allow-* 等响应头
浏览器接收到预检验请求的响应后会根据响应头来判断是否支持跨域
只有当响应头满足 CORS 的相关设置才会继续发送正式的跨域请求

参考资料

水平有限,如有错误欢迎指正

END

weixin_34150830
关注
CORS 跨域中的 preflight 请求
weixin_30627341的博客
11-14 407
我们知道借助Access-Control-Allow-Origin响应头字段可以允许跨域 AJAX, 对于非简单请求,CORS 机制跨域会首先进行 preflight(一个 OPTIONS 请求), 该请求成功后才会发送真正的请求。 这一设计旨在确保服务器对 CORS 标准知情,以保护不支持 CORS 的旧服务器。 简单请求 简单请求具体是指请求方法是简单方法且请求头是简单头的 HTT...
表单校验
weixin_46982032的博客
01-29 366
在点击确定 修改名称 或者添加新的用户应该使用$refs.表单的引用.validate对表单进行验证 验证通过在发起后台请求 如果老是报修改失败 仔细核对请求参数的id 或者名称 是否与后台响应参数一致 比如 id 有可能是叫cat_id ,name可能是叫cat_name ...
解决 Ajax:Ensure CORS response header values are valid 跨域问题
做一只猫的博客
07-27 7781
解决原生Ajax跨域问题和其他笨笨问题
数据拼接三要素
rediculous的专栏
04-06 1711
什么是数据拼接 ~   任何在机器间传递多组相互独立报文且不能保证每一组报文各自同时传达的通信方式都需要数据拼接。   所谓“一组报文”是指具有独立含义(或空含义)的命令、文件、数据、信号等二进制数字。一组报文可以看作是一个二进制数字,数值大小相同的报文具有相同的含义,但具有相同含义的报文不一定有相等的数值大小。   不能保证每一组报文各自同时传达的通信方式,是指无法从物理层保证所传输的数字相互独...
【VUE项目实战】28.实现添加用户功能(2)-校验与发起新增请求
程序猿之洞
01-03 2742
接上篇《27.实现添加用户功能(1)-表单渲染和校验规则实现》 上一篇我们实现了新增用户表单的渲染和校验规则的实现,本篇我们来完成用户新增的校验和网络请求的发起。 一、表单校验 我们来实现在添加用户的表单校验功能,即我们填写完用户信息在点击“确定”按钮时,调用一个函数,在函数中对整个表单数据进行一个验证,确保在真正提交后台之所有数据是合法的。 首先我们为“确定”按钮绑定一个点击事件函数: <!-- 底部区 --> <span slot="footer" class="
java redirect 跨域_[转] 重定向 CORS 跨域请求
weixin_39832628的博客
02-13 2979
非简单请求不可重定向,包括第一个preflight请求和第二个真正的请求都不行。简单请求可以重定向任意多次,但如需兼容多数浏览器,只可进行一次重定向。中间服务器应当同样配置相关CORS响应头。中间服务器设置当跨域请求被重定向时,中间服务器返回的 CORS 相关的响应头应当与最终服务器保持一致。 任何一级的 CORS 失败都会导致 CORS 失败。这些头字段包括Access-Control-Al...
java重定向跨域问题_重定向 CORS 跨域请求
weixin_30338049的博客
02-26 5218
TL;DR非简单请求不可重定向,包括第一个preflight请求和第二个真正的请求都不行。简单请求可以重定向任意多次,但如需兼容多数浏览器,只可进行一次重定向。中间服务器应当同样配置相关 CORS 响应头。中间服务器设置当跨域请求被重定向时,中间服务器返回的 CORS 相关的响应头应当与最终服务器保持一致。 任何一级的 CORS 失败都会导致 CORS 失败。这些头字段包括Access-Contr...
uniapp中请求cors跨域解决方法
最新发布
09-20
### 回答1: 在 uni-app 中,解决跨域请求的方法有以下几种: ...总结起来,解决UniApp中的CORS跨域问题,需要在后端服务器进行相关CORS设置,并在UniApp中添加请求头信息,确保请求能够正常跨域访问后端接口。
Token跨域问题Response to preflight request doesn‘t pass access control check
qq_45925974的博客
01-21 1372
记录一次使用token遇到的跨域问题 一、问题介绍 端vue使用axios发送请求,给每个请求的请求头添加token,后端使用Javaweb的filter处理跨域问题 1. 一开始是这样处理跨域的,登录的时候挺正常的,token获取到了 CORSFilter.java public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOExcep.
Nginx跨域漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-14 1871
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成跨域问题,如下测试结果 ## 跨域 跨域是指使用一个域(网站)下的文档或脚本可去请求获取到另一个域(网站)下的资源的可能风险。 ## 处理 ...
CORS跨域限制以及请求验证
weixin_30685047的博客
12-03 330
我们可以通过“Access-Control-Allow-Origin”,实现跨域请求,那是不是所有跨域请求都可以通过设置Access-Control-Allow-Origin实现跨域请求呢?显然不是,它也会有一些限制 //server.js const http = require('http'); const fs = require('fs'); http.c...
CORS——跨域请求那些事儿
weixin_33730836的博客
02-08 660
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
CORS
老王的智能终端安全专栏
03-02 3617
http://www.html5rocks.com/en/tutorials/cors/ Cross-Origin Resource Sharing (CORS) is a W3C spec that allows cross-domain communication from the browser. By building on top of the XMLHttpRequest o
CORS跨域带来的preflight request
咕咕鸡的博客
01-12 8220
cors跨域
vue请求携带cookie与预检请求处理方案
strike2206的博客
09-19 2147
携带cookie发起请求 端axios设置: withCredentials:true 后端设置(PHP) // 设置身份检测 header('Access-Control-Allow-Credentials:true'); // 设置指定访问域名 header('Access-Control-Allow-Origin:http://xxx.com'); 同时,由于可能存在多域名访...
CORS跨域资源共享漏洞验证测试
afei001
01-17 3302
目录 1.言 2.CORS漏洞概述 3.漏洞验证 3.1 curl指定Origin验证 3.2 Burpsuite抓包验证 3.3 CORS_Scanner工具验证 4.CORS_POC.html 5.漏洞修复 1.言 之在对网站进行安全性测试时,使用AWVS漏扫发现存在一个CORS跨域资源共享漏洞。记录一下验证及修复方式。 afei 漏洞等级:高危 2.CORS漏洞概述 CORS(跨源资源共享)定义了一种机制来支持客户端跨源...
vue 设置Header验证token登录
weixin_41262185的博客
10-31 3667
1、 cookies.js文件 //设置cookie // export function setCookie ((_keyname, _value, _live) { export function setCookie (_keyname, _value) { // let d = new Date(); // d.setDate(d.getDate()+_live); ...
什么是CORS? 以及跨域怎么实现跨域请求的?
04-05
浏览器发现AJAX请求跨域时,会自动添加一个额外的请求头:Origin,服务器收到请求后,根据Origin判断是否允许该请求,如果允许则在响应头中添加Access-Control-Allow-Origin字段,浏览器收到响应后,根据该字段判断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值