前端工程师须知的CORS知识

最新推荐文章于 2023-10-19 11:42:02 发布
最新推荐文章于 2023-10-19 11:42:02 发布
阅读量263 收藏
点赞数
文章标签: 前端 操作系统 xhtml ViewUI
原文链接:https://juejin.im/post/5cbaa6ef5188253feb5855be
版权

背景

前端和后台请求交互,若请求者(Client)和资源者响应者(Server)处在不同的域名,会发生跨域请求,不同域是指HTTP协议、域名、端口有一个或全都不相同。出于安全考虑浏览器限制了从脚本内发起的资源跨域请求,CORS是解决跨域请求的一种机制。

一、什么CORS

CORS全称“跨域资源共享”,它是一种机制通过添加额外的HTTP头部告诉浏览器,允许origin上的web应用访问不同源服务器资源,可以在XMLHttpRequest、Fetch中使用CORS发起跨域请求。

二、CORS工作原理

对于前端开发使用CORS发起跨域请求不需要额外工作,当请求发生时浏览器会自动设置相应的HTTP头部信息(下面介绍道),服务器端需要做相应的头部设置来控制跨域权限。

1. 发起请求

对于使用CORS发起跨域请求可分为简单请求和非简请求两种,简单请求不会触发OPTIONS预检请求,可直接发起跨域请求,非简单请求会触发OPTIONS预检请求,向服务器发起一些询问信息,例如:是否允许这次跨域请求、告知用什么请求方法、是否支持在HTTP头里携带自定义字段。

1.1 简单请求

简单请求可直接向服务器请求,只要服务器同意这次跨域求,浏览器就能获取到服务器返回的资源,在请求中只要同时满足以下条件就属于简单请求。

a. 使用GET、POST、HEAD 三者之一的请求方法。

b. 不得设置Accept 、 Accept-Language、 Content-Language,Content-Type之外的头部信息集合字段,对于Content-Type的值不能设置text/plain, multipart/form-data, application/x-www-form-urlencode之外的 值。

c. 请求中的任意XMLHttpRequestupload对象均未设置任何监听器。

d. 请求中没有使用 ReadableStream 对象。

简单例子
var request = new XMLHttpRequest()
var url = 'http://bar.other/resources/public-data/'

function callOtherDomain() {
  if(invocation) {    
    invocation.open('GET', url, true);
    invocation.onreadystatechange = handler;
    invocation.send(); 
  }
}
//发起请求
callOtherDomain()
复制代码

请求发出时Client与Server间通过HTTP头部字段处理跨域权限。

HTTP请求头信息
1. GET /resources/public-data/ HTTP/1.1
2. Host: bar.other
3. User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; 
4. rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
5. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
6. Accept-Language: en-us,en;q=0.5
7. Accept-Encoding: gzip,deflate
8. Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
9. Connection: keep-alive
10. Referer: http://foo.example/examples/access-control/simpleXSInvocation.html
11. Origin: http://foo.example
复制代码
服务器响应头部信息
1. HTTP/1.1 200 OK
2. Date: Mon, 01 Dec 2008 00:23:53 GMT
3. Server: Apache/2.0.61 
4. Access-Control-Allow-Origin: *
5. Keep-Alive: timeout=2, max=100
6. Connection: Keep-Alive
7. Transfer-Encoding: chunked
8. Content-Type: application/xml
复制代码

Client通过Origin字段告诉Server我是来自http://foo.example的请求,允许我访问你的资源吗?Server做出回应并在响应头里带上Access-Control-Allow-Origin:* 表示我允许所有的外域访问我的资源。

如果将Access-Control-Allow-Origin值设置成http://foo.example,表示Server上的资源只允许来自http://foo.example的源访问。后台开发一般会在此添加请求源白名单来控制允许那些请求源访问服务资源。

如果Origin不是Access-Control-Allow-Origin允许的源,浏览器将拦截请求响应内容,无法获取到服务器资源。

1.2 非简单请求

只要不满足简单请求的都属于非简单请求。非简单请求会在正式发起资源访问请求前触发一个options 预检请求,options请求不会对服务器造成资源影响。 只要满足下列条件之一就会触发预检请求:

a. PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH。

b. 在请求头中设置Accept Accept-Language、 Content-Language、 Content-Type (需要注意额外的限制)、 DPR、 Downlink、 Save-Data、 Viewport-Width、 Width的字段。

c. Content-Type 的值不属于application/x-www-form-urlencoded、 multipart/form-data、 text/plain三者之一。

d. 请求中的XMLHttpRequestUpload 对象注册了任意多个事件监听器。

e. 请求中使用了ReadableStream对象。

再次借用MSDN中的例子说下

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/post-here/';
var body = '<?xml version="1.0"?><person><name>Arun</name></person>';
    
function callOtherDomain(){
  if(invocation)
    {
      invocation.open('POST', url, true);
      invocation.setRequestHeader('X-PINGOTHER', 'pingpong');
      invocation.setRequestHeader('Content-Type', 'application/xml');
      invocation.onreadystatechange = handler;
      invocation.send(body); 
    }
}
// 发起请求
callOtherDomain()
复制代码

在代码中可以看到,我们人为的自定义了X-PINGOTHER请求头字段(满足非简单请求b条件),并且Content-Type被设置application/xml (满足非简单请求c条件),所以该请求首先会触发一个options请求。

下面是options请求头的部分信息:

 1.OPTIONS /resources/post-here/ HTTP/1.1
 2.Host: bar.other
 3.User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
 4.Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 5.Accept-Language: en-us,en;q=0.5
 6.Accept-Encoding: gzip,deflate
 7.Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
 8.Connection: keep-alive
 9.Origin: http://foo.example
10.Access-Control-Request-Method: POST
11.Access-Control-Request-Headers: X-PINGOTHER, Content-Type
复制代码

options 请求告诉Server, 我是来自http://foo.example的请求,在正式请求时,我会在请求头中携带自定义字段X-PINGOTHER、Conten-Type并且我将通过POST发起请求,你同意不?以下是用于向Server询问的头部信息字段:

Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
复制代码

我们看下Server对options请求是如何回应的

1.HTTP/1.1 200 OK
2.Date: Mon, 01 Dec 2008 01:15:39 GMT
2.Server: Apache/2.0.61 (Unix)
3.Access-Control-Allow-Origin: http://foo.example
4.Access-Control-Allow-Methods: POST, GET, OPTIONS
5.Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
6.Access-Control-Max-Age: 86400
7.Vary: Accept-Encoding, Origin
8.Content-Encoding: gzip
9.Content-Length: 0
10.Keep-Alive: timeout=2, max=100
11.Connection: Keep-Alive
12.Content-Type: text/plain
复制代码

从上面的options响应头里得知, 首部字段 Access-Control-Allow-Origin表明服务器允许http://foo.example请求源访问资源。 字段 Access-Control-Allow-Headers 表明服务器允许请求头中携带字段 X-PINGOTHER 与 Content-Type。 Access-Control-Allow-Methods告知允许正式请求使用POST方法。 options请求结束,如果Server同意访问,接下来就会发起正式的请求,否则结束请求。

第6行代码中有一段Access-Control-Max-Age: 86400信息,这段信息的意思是说在接下来的86400秒内对于同一请求不用再发起options预检请求。Access-Control-Max-Age单位是秒,由后台设置但不能超过浏览器支持的最大有效时间,否则不会生效。

2. 附带身份凭证的请求

Fetch 与 CORS 可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨域 XMLHttpRequest 或 Fetch 请求,浏览器不会发送身份凭证信息。

如果要发送凭证信息,需要设置 XMLHttpRequest 的withCredentials=true,同时Server端也要设置响应的头部字段Access-Control-Allow-Credentials: true,才能在请求中携带身份凭证,否则,浏览器会拦截响应内容,不会把它返回给请求发送者。

需要注意,Server如果设置了Access-Control-Allow-Origin:*同时请求又携带了cookies信息,会导致请求失败。

3. 跨域请求头和响应头字段说明
3.1 请求头字段

Origin字段表明预检请求或实际请求的源站,origin 参数的值为源站 URI。它不包含任何路径信息,只是服务器名称,不管是否为跨域请求都会发送Origin字段。

Origin: <origin>
复制代码

Access-Control-Request-Method字段用于预检请求。其作用是,将实际请求所使用的 HTTP方法告诉服务器。

Access-Control-Request-Method: <method>
复制代码

Access-Control-Request-Headers字段用于预检请求。其作用是,将实际请求所携带的首部字段告诉服务器。

Access-Control-Request-Headers: <field-name>[, <field-name>]*
复制代码
3.2 响应头字段

Access-Control-Allow-Origin字段,origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。

Access-Control-Allow-Origin: <origin> | *
复制代码

Access-Control-Expose-Headers字段,设置浏览器可以拿到的头部字段白名单。 在跨域访问时,XMLHttpRequest对象的getResponseHeader()方法只能拿到一些最基本的响应头,Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,需要服务器设置本响应头,这就是Access-Control-Expose-Headers的作用。

Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header
复制代码

Access-Control-Max-Age字段,设置预检测请求能缓存多久,单位秒。

Access-Control-Max-Age: <delta-seconds>
复制代码

Access-Control-Allow-Credentials字段,指定了当浏览器的credentials设置为true时是否允许浏览器读取response的内容

Access-Control-Allow-Credentials: true
复制代码

Access-Control-Allow-Methods字段用于预检请求的响应。其指明了实际请求所允许使用的 HTTP 方法。

Access-Control-Allow-Methods: <method>[, <method>]*
复制代码

Access-Control-Allow-Headers 首部字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段。

Access-Control-Allow-Headers: <field-name>[, <field-name>]*
复制代码
4.兼容性

目前除了IE9及以下浏览不支持CORS外,其他浏览器基本的已经支持CORS。对于IE9及以下的浏览器可通过 XDomainRequest实现。

以上是我对CORS知识的梳理和记录,因为在以往工作中频繁遇到跨域问题,思来想去决定记录下来,为确保信息的正确性,极大的参照来官方文档,希望对有需要的小伙伴在处理跨域问题上有所帮助。

声明:本文的内容参考于MDN官方文档,包括上面用到的事例代码也是借用自MDN,若有侵权,请联系我删除相关内容。

weixin_34297704
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端大厂最新面试题-cors.docx
06-06
前端大厂最新面试题-cors.docx
前端开源库-lws-cors
08-30
前端开源库-lws-corsLWS-CORS,支持将跨源资源共享(CORS)头文件设置为LWS
跨域CORS解决办法
qq_45406325的博客
06-13 3746
跨域是由浏览器的同源策略产生的一种自卫行为。一个URL由协议protocol / 主机host / 端口port组成,这三部分都相同时为同源。当前url和请求url不同源时就会产生跨域。
前后端分离与跨域的解决方案(CORS的原理)
热门推荐
来自一个小码农的记录
08-23 7万+
前后端分离     前后端分离的好处 最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小。 后台错误不会直接反映到前台,错误接秒较为友好。 由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。     个人理解...
前端跨域之CORS详解
风萧萧兮易水寒
09-19 6292
CORS:跨源资源分享Cross-Origin Resource Sharing。 它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没...
前端跨域解决方案之CORS详解
m0_51945510的博客
04-21 5241
前端跨域解决方案之CORS详解has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
最新发布
FeelTouch Labs
10-19 1302
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
如何解决CORS跨域问题
superioc的博客
03-30 912
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
同源策略与跨域访问(jsonp和cors等)
liuqinhou的博客
03-22 209
分为简单请求(simple request)和非简单请求(not-so-simple request)简单请求,就是在头信息之中,增加一个Origin字段说明此跨域请求来自哪个域,如果请求的服务器返回Access-Control-Allow-Origin满足该域则可返回资源。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。在网页里,你如果引入其他网页的js,那这个页面的js是可以调用你网页的代码的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 3611
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS(跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
fastify-cors:加速 CORS
07-23
fastify-cors fastify-cors允许在 Fastify 应用程序中使用 。 支持 Fastify 3.x版本。 Fastify ^2.x兼容性请参考及相关版本。 Fastify ^1.x兼容性请参考及相关版本。 安装 npm i fastify-cors 用法 需要fastify-...
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
cors解决ajax跨域
04-14
cors解决ajax跨域
前端CORS跨域原理详细分析
qq_41968486的博客
04-18 2631
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 针对不同的请求
什么是跨域资源共享(CORS)?如何在前端中处理CORS问题?
官方推荐
10-08 1万+
什么是跨域资源共享(CORS)?如何在前端中处理CORS问题?
什么是跨域以及几种简单解决方案
不二青春
05-16 300
实际应用项目:http://github.crmeb.net/u/long 什么是跨域? 要明白什么是跨域之前,首先要明白什么是同源策略? 同源策略就是用来限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。那怎样判断是否是同源呢? 如果协议,端口(如果指定了)和主机对于两个页面是相同的,则两个页面具有相同的源,也就是同源。也就是说,要同时满足以下3个条件,才能叫同源: 协议相同 端口相同 主机相同 举个例子就一目了然了: 我们来看下面的页面是否与http://store.com..
前端跨域问题(CORS
yzc_sky的博客
08-17 1098
前端跨域问题(CORS) 文章目录前端跨域问题(CORS)跨域定义怎么才算跨域? 主要是总结浏览器CORS跨域处理方式,其他处理方式的认为是伪跨域处理方式,如iframe、window.name、window.postMessage。 跨域定义 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。 跨站 HTTP正常请求,但是结果被浏览器拦截了,就是跨域问题。 跨域问题只有在浏览器才会出现,javascript等
前端跨域方法之CORS
WEB_YH的博客
02-24 7812
1、cross-domainCORS:是需要浏览器和服务器同时支持,IE浏览器不能低于IE10。整个跨域过程不需要用户的参与,从表面上看,CORS与ajax没有区别,代码相同,但是一旦浏览器发现跨域,它会自动在HTTP头部中添加附加信息(例如domain),关键在于服务器是否实现了CORS接口。CORS请求分为简单请求和非简单请求。只要满足上面的两大条件就是简单请求,否则就是非简单请求。一、简单请...
前端cors解决跨域
07-28
3. CORS(跨域资源共享):如果目标服务器支持CORS,你可以在请求头中添加`Origin`字段,并且目标服务器需要在响应头中添加`Access-Control-Allow-Origin`字段来允许跨域请求。这样浏览器会根据响应头判断是否允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值