常用跨域方法总结(2)——CORS

最新推荐文章于 2022-11-22 19:21:19 发布
最新推荐文章于 2022-11-22 19:21:19 发布
阅读量128 收藏
点赞数
文章标签: 前端 json ViewUI
原文链接:https://segmentfault.com/a/1190000015397204
版权

常用跨域方法总结(2)——CORS

上篇文章介绍了几种常用的跨域方法:常用跨域方法总结,本片为上一篇的补充,对比较重要的Cross Origin Resource Sharing详细介绍。

CORS

出于安全原因,从脚本内发起的跨源HTTP请求会受到一定限制。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非使用CORS头文件。

跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。

若要利用CORS来进行跨域获取资源,还需要服务端的配合。
这里分为两种场景:简单请求和非简单请求

简单请求

什么样的请求才属于简单请求呢,让我们先来看MDN的一段定义

  • 必须使用下列方法中的一种:

    • GET
    • HEAD
    • POST

  • 请求首部字段不能超出以下几种

    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type (需要注意额外的限制)
    • DPR
    • Downlink
    • Save-Data
    • Viewport-Width
    • Width

  • Content-Type 的值仅限于下列三者之一:

    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded
  • 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
  • 请求中没有使用 ReadableStream 对象。

同时满足以上5种条件,则可以视为简单请求。
先跑例子吧。
首先上服务端代码:

var http = require('http');
http.createServer(function (req, res) {
  res.setHeader("Access-Control-Allow-Origin","*");
  res.end(JSON.stringify({'success':true,msg:'今天,我就是要用cors来跨域'+Math.random()}));
}).listen(8080)

很简单有没有,
Access-Control-Allow-Origin:限制发起跨域请求的来源,*表示不限制
请求首部字段下文详细介绍
前端代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<script>
var xhr = new XMLHttpRequest()
xhr.open('get', 'http://localhost:8080')
xhr.onreadystatechange = function () {
  if (xhr.readyState === 4) {
    console.log(JSON.parse(xhr.responseText))
  }
}
xhr.send()
</script>
</body>
</html>

结果肯定是请求成功啦

clipboard.png

clipboard.png

非简单请求

简单来说吧,不符合简单请求的都是非简单请求(怎么感觉这么大白话呢- -)详见CORS

与前述简单请求不同,“非简单请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。

还是先上代码
服务端:

var http = require('http');
http.createServer(function (req, res) {
  res.setHeader("Access-Control-Allow-Origin","*");
  res.setHeader("Access-Control-Allow-Headers", "Content-Type");
  res.setHeader("Access-Control-Allow-Methods","PUT,GET,POST,DELETE,OPTIONS");
  res.end(JSON.stringify({'success':true,msg:'今天,我就是要用cors来跨域'+Math.random()}));
}).listen(8080)
console.log('正在监听8080')

Access-Control-Allow-Headers::预检请求响应的首部字段定义了实际请求中允许携带的额外的首部字段。
Access-Control-Allow-Methods:预检请求响应的首部字段定义了实际请求所允许使用的 HTTP 方法。(笔者做实验的遇到了一个小插曲,simple method会不受此限制,详见为什么 Access-Control-Allow-Methods 不起作用?
前端

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<script>
var xhr = new XMLHttpRequest()
xhr.open('get', 'http://localhost:8080')
xhr.setRequestHeader('Content-type','text/html') // 添加了非简单请求的Content-Type
xhr.onreadystatechange = function () {
  if (xhr.readyState === 4) {
    console.log(JSON.parse(xhr.responseText))
  }
}
xhr.send()
</script>
</body>
</html>

结果肯定也是请求成功啦。

clipboard.png

clipboard.png

附带身份凭证的请求

这里有一点要注意的地方,这里还是说一下吧

一般而言,对于跨域 XMLHttpRequest 或 Fetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest 的某个特殊标志位。

也就是前端请求的时候:xhr.withCredentials = true

对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“ ”。若请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“”,请求将会失败。

请求与响应首部字段总结

这块内容MDN已经很详细了,为了方便阅读,笔者还是整理过来了。

HTTP 请求首部字段

请注意,这些首部字段无须手动设置。 当开发者使用 XMLHttpRequest 对象发起跨域请求时,它们已经被设置就绪。
Origin首部字段表明预检请求或实际请求的源站。(注意,不管是否为跨域请求,ORIGIN 字段总是被发送。)
Access-Control-Request-Method,用于预检请求,表示实际请求的方法
Access-Control-Request-Headers,用于预检请求,表示实际请求中添加的额外的首部字段

HTTP 请求响应字段

Access-Control-Allow-Method,预检请求的响应,表示允许的接下来的实际请求的方法。(笔者做实验的遇到了一个小插曲,simple method会不受此限制,详见为什么 Access-Control-Allow-Methods 不起作用?
Access-Control-Allow-Origin,指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。
Access-Control-Allow-Credentials,当浏览器(比如xhr)的credentials设置为true时是否允许浏览器读取response的内容。当用在对preflight预检测请求的响应中时,它指定了实际的请求是否可以使用credentials(如果请求credentials为true时,该响应首部字段需要设置为true)。
Access-Control-Allow-Headers,预检请求的响应,表示允许的接下来的实际请求的额外的首部字段。预检请求的响应。其指明了实际请求中允许携带的首部字段。
Access-Control-Expose-Headers,在跨域访问时,XMLHttpRequest对象的getResponseHeader()方法只能拿到一些最基本的响应头,Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma,如果要访问其他头,则需要服务器设置本响应头。
Access-Control-Max-Age:指定了预检请求的结果能够被缓存多久

最后

到这里笔者对跨域算是比较熟悉了,感谢各位的阅读,如有不对的地方,欢迎大家批评指正。
还有,最好是对每个例子都有实际运行理解更深刻哦。

Reference

HTTP访问控制(CORS)

weixin_34403693
关注
跨域解决方案CROS最简单演示——JSP演示示例
oscar999的专栏
03-13 790
关于跨域访问的基本概念可以参考: 跨域访问的相关概念及解决方法 CORS ,Cross-Origin Resource Sharing,跨域资源共享。使用CORS可以实现使用AJAX访问跨域的资源。 CORS作为跨域访问的服务端解决方案,也是开发中最为常用跨域访问方案。 演示示例 本篇的演示示例类同: 跨域解决方案之—JSONP 演示环境: 两个Tomcat tomcat9-1 , 端口8080, 项目app1 tomcat9-2, 端口9090,项目app2 演示目录如下: [外链图片转存失败,源站可
【幻妙音符——HTML 实现(效果+代码)】前端面试:解释什么是跨域请求(Cross-Origin Request)?如何处理跨域问题?| JSONP,CORS,代理服务器,WebSocket
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
01-19 3043
鉴于篇幅以及图片大小,效果仅展示一部分,具体特效欢迎大家体验~ 代码 这是HTML代码,主要是引用的JS部分代码。 index.html <!DOCTYPE html> <html > <head> <meta charset="UTF-8"> <title>主要引用JS代码~</title> <link rel="stylesheet" href="css/style.css"> </head>
CORS 跨域请求 - 2
purple_lumpy的博客
05-29 205
前面一篇,我们通过在服务器端使用了 header 中'Access-Control-Allow-Origin' 使得跨域请求可以获取数据。那么是不是使用了这个header 就可以使得所有跨域请求都成功呢?否! 下面我们就来讲一下,浏览器跨域请求的一些限制。 首先,我们把之前的html 页面中ajax 请求用fetch 写一下。如下。 <!DOCTYPE html> &lt...
cors数据类型_CORS跨域学习篇
weixin_42511702的博客
01-11 269
原标题:CORS跨域学习篇CORS跨域访问什么是CORS全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。CORS漏洞利用CORS技术窃取用户敏感信息同源策略简介同源策略是浏览器最核心也是最基本的安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的dom、cookie、session、ajax等操作的权限资源。同源有三个条件:协议、域名、端口相同同源检测的示例检测...
跨域实现方式CORS
le的博客
11-22 129
之前我们已经了解到跨域的实现方式jsonp,今天来讲讲另外一种:CORS. 什么是CORS CORS:全称为 Cross-origin resource sharing,即跨域资源共享,它允许浏览器向跨域服务器发送 Ajax 请求,克服了 Ajax 只能同源使用的限制。 实现原理 当客户端发送请求时,若浏览器端发现该请求为跨域的,则会自动在请求头中添加origin字段,origin值是发送请求的...
CORS 解决跨域问题
05-13 146
浏览器的同源安全策略 是由 NetScape 提出的著名的安全策略,所有支持 javaScript 的浏览器都使用这个策略。同源策略限制了一个源中加载文本或脚本与来自其它源中资源的交互方式,同源策略是浏览器最核心也最基本的安全功能。 怎样算跨域呢? 请求协议http,https的不同 域domain的不同 端口port的不同(IE 未将端口号加入到同源...
ajax跨域请求问题中xhr2的解决方案
lzf的博客
06-12 2204
转载自:http://blog.csdn.net/zhourenfei17/article/details/72312503 对于跨域请求目前常用的有三种方式,1:代理,2:JSONP,3:XHR2,前面两种方式我这边不做介绍,相关的帖子有很多,但是对于XHR2的跨域处理方式很多都介绍的很简单,这边对XHR2处理跨域请求做一个简单的讲解。 首先先贴js端代码: [javasc
jQuery使用ajax跨域请求获取数据
12-10
总结来说,jQuery的`$.ajax()`方法提供了强大的跨域请求能力,通过设置不同的参数,我们可以灵活地定制请求行为,适应各种Web应用的需求。在处理跨域问题时,理解同源策略和CORS机制至关重要,同时掌握jQuery的ajax...
跨域请求的几种方式
12-27
### 跨域请求的几种方式 ...综上所述,JSONP和CORS是两种常用跨域请求解决方案。JSONP适用于简单的GET请求场景,而CORS则更为通用,可以处理各种类型的HTTP请求。在实际项目中,应根据具体需求选择合适的技术方案。
Ajax跨域问题及其解决方案.docx
10-26
这是目前最常用跨域解决方案之一,主要通过在服务端添加CORS(Cross-Origin Resource Sharing)配置来实现。 - **服务端配置示例**(Java): ```java @Configuration public class CorsConfig implements ...
跨域CORS解决办法
qq_45406325的博客
06-13 4073
跨域是由浏览器的同源策略产生的一种自卫行为。一个URL由协议protocol / 主机host / 端口port组成,这三部分都相同时为同源。当前url和请求url不同源时就会产生跨域
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 498
03Web服务器基础-19. HTTP协议请求部分详解
掌握 CORS 跨域请求,读这篇文章就够了
最新发布
360技术
11-22 2939
在 Web 前后端分离架构模式下,跨域(跨源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨源 HTTP 请求,同源没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域JSONP 请求跨域跨域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
总结-使用CORS解决跨域问题
weixin_48726650的博客
07-18 1305
前端来说跨域应该是不陌生的,解决跨域的方案有很多种。而我司前端接口调用也正是CORS的方式,所以难免在联调阶段会遇见一些CORS跨域的问题,下面通过一个简单的demo验证一下CORS解决跨域的过程中,对一些不清楚的知识点做一个简单的总结 示例 demo 已经放在GitHub 上, 其中目录client文件夹托管客户端代码、server目录作为处理CORS的服务端,分别把两端的代码跑起来,就可以进行CORS相关配置的学习了 对CORS的了解可以先看下一下阮老师的这两篇文章: 1、浏览器同源政策及其规避方.
跨域CORS有关的几个请求头和响应头以及预检请求
印第安米饭
12-12 4760
关于预检请求: 我们经常看到请求里偶尔会带着一个OPTIONS请求,这并不是我们人工添加的,为什么会出现呢? 原来在CORS跨域资源共享时,如果这次请求符合预检请求触发条件,就会被认为请求有一定风险,服务器它就不敢主动帮我们接受请求了,就需要由我们指定这次跨域请求哪些安全哪些不安全,所以会比普通cors请求多一步,需要提前通过OPTIONS方法的预检请求,和服务器确认我们的请求符合不符合条件: ...
跨域解决方案之CORS及其相关概念
weixin_44471490的博客
08-26 611
在讲解 CORS 之前先了解以下几个概念 同源策略 同源策略(Same origin policy)是一种约定,是浏览器限制一个域名与另外一个域名的资源的交互的规则,是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果一个请求地址里面的协议、域名和端口号都相同,就属于同源。 举个例子,判断下面URL是否和http://www.a.com/a/a.html同源: http://ww.
浅谈跨域CORS
Mr_RedStar的博客
03-28 1490
CORS简介 CORS是全称是Cross-Origin Resource Sharing(跨域资源共享),是基于http1.1的一种跨域解决方案。值得注意的是,CORS对不同请求模式有不同的处理规范,我们将之分成简单请求、需要预检的请求、携带身份凭证的请求。 简单请求 问题:如何定义一个简单请求? 请求方法仅限于get、post、head; 请求头仅包含安全的字段,常见的安全字段大概是Accept、Accept-Language、Content-Language、Content-Type、DPR、Down
HTTP(二)、跨域资源共享(CORS
CSDN前端知识共享
09-08 5241
2.跨域资源共享(CORS跨域简介 当访问一个资源文件时,如果从非该资源文件所在的服务器不同域名或者端口处进行访问时,该资源会发起一个跨域请求。 例如,网站A的地址是http://www.domain-a.com ,该网站中HTML页面通过 img 标签中的 src 属性请求http://www.domain-b.com/static/xxx.png 图片资源,此时,就发生了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值