cors在服务器还是接口_CORS服务端跨域

最新推荐文章于 2023-04-04 08:00:19 发布
最新推荐文章于 2023-04-04 08:00:19 发布
阅读量240 收藏
点赞数
文章标签: cors在服务器还是接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34489345/article/details/113004856
版权

跨域,通常情况下是说在两个不通过的域名下面无法进行正常的通信,或者说是无法获取其他域名下面的数据,这个主要的原因是,浏览器出于安全问题的考虑,采用了同源策略,通过浏览器对JS的限制,防止恶意用户获取非法的数据。比如这样的一个场景,恶意用户仿造一个银行的官网,在用户输入框中嵌套了银行的页面,如果是没有同源策略的限制,那么恶意用户则可以通过这样的一种方法来获取银行用户的卡号和登录密码,这样对于浏览器来说是没有安全性可言的。同时也可以有效的规避了大部分的XSS攻击(XSS攻击原理:通过向用户界面中注入script脚本,然后在脚本中获取用户的token等身份信息,然后将身份信息发送到恶意用户指定的地方,在正常用户还没有推出的时候,也就是token等身份信息还有效的时候,通过这些信息强制登录,将正常用户挤下系统。)

这是网上的说法,简单的说就不同域名、端口号、协议的网站是不能通信的,然而要通信,交换信息,就发生了跨域。

为什么不能通信,这里就得说到同源策略了。

服务器端需设置以下响应头:

Access-Control-Allow-Origin: | * //授权的访问源

Access-Control-Max-Age: //预检授权的有效期,单位:秒

Access-Control-Allow-Credentials: true | false //是否允许携带 Cookie

Access-Control-Allow-Methods: [, ]* //允许的请求动词

Access-Control-Allow-Headers: [, ]* //额外允许携带的请求头

Access-Control-Expose-Headers: [, ]* //额外允许访问的响应头

我们看到,Access-Control-Allow-Credentials 响应头会使浏览器允许在 Ajax 访问时携带 Cookie,但我们仍然需要对 XMLHttpRequest 设置其 withCredentials 参数,才能实现携带 Cookie 的目标。

示例代码如下:

var xhr = newXMLHttpRequest();

xhr.withCredentials= true;

注意,为了安全,标准里不允许 Access-Control-Allow-Origin: *,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循“同源策略”,只有用目标服务器域名设置的 Cookie 才会上传,而且使用 document.cookie 也无法读取目标服务器域名下的 Cookie。

同源策略

URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。反之就不是同源。简单的说下,这篇文章主要说的是CORS跨域的方法。

本人用的是node.js搭建的简单服务器。

首先我们创建一个文件夹server.js,接下来我们使用 http.createServer() 方法创建服务器,并使用 listen 方法绑定 8888 端口。

函数通过 request, response 参数来接收和响应数据。代码如下

ee5d27043200af8cdaf260f57a86113b.png

response.setHeader('Access-Control-Allow-Origin','http://localhost:8080');,允许某些来源、某些接口、某些方法以某些形式被跨域调用。

response.header('Access-Control-Allow-Methods', 'PUT, GET, POST, DELETE, OPTIONS');

response.writeHead(200, {'Content-Type': 'json'});// response.setHeader(name, value)//name响应头的类型,注意这个名字是不区分大小写。 value 响应头的值

这样我们在cmd里运行我们写的这个服务器

9d234254d6de14fa1c8e5e969977ed99.png

e0fdbd72dc1ac1668ea273de26c93410.png

我们看到这个服务器成功的搭建了。

然后现在我们来跨域。

c0767d65960c8f5a3cdc3feb3207643c.png

项目中的代码,我就不再开一个服务器专门写了,意思理解了就好。

6cdb0220822b811df8c165a04463698d.png

ce24bf503061b4dc4237bd9b658cd76f.png

我们成功的跨域拿到了数据。

简单 CORS

同时满足以下条件:

动词限制,只允许是:

HEAD

GET

POST

请求头限制,只允许出现:

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type 且只允许是:

application/x-www-form-urlencoded

multipart/form-data

text/plain

简单请求浏览器会直接发送该请求,并附加 Origin 头,比如:

Origin: localhost:8080

服务器会返回:

Access-Control-Allow-Origin: http://localhost:8080

Access-Control-Max-Age: 600Access-Control-Allow-Credentials: trueAccess-Control-Expose-Headers: X-Custom-Header

浏览器在收到服务器返回时,先检查是否允许访问,不允许则直接报错(可用 XMLHttpRequest.onerror 捕获)。

带预检查的 CORS

不满足简单 CORS 要求的请求,在正式请求前,浏览器会发送一次 OPTIONS 动词的请求

例如欲请求 PUT /xxx,想额外发送 X-Custom-Header 头,则会先发送:

OPTIONS /xxx HTTP/1.1Origin: http://api.bob.com

Access-Control-Request-Method: PUT

Access-Control-Request-Headers: X-Custom-Header

Host: localhost:8080

服务器返回:

HTTP/1.1 200OK

Access-Control-Allow-Credentials: trueAccess-Control-Allow-Headers: X-Custom-Header

Access-Control-Allow-Methods: PUT

Access-Control-Allow-Origin: http://localhost:8080

Access-Control-Max-Age:600Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH

Vary: Origin

浏览器检查完,一切顺利,才发送真正的请求。

叮嘱你
关注
处理跨域问题:CORS错误
iOS逆向与安全
04-25 248
【代码】处理跨域问题。
cors-test-server:一个简单的小服务器,可以玩耍并更好地了解各种CORS配置
05-16
CORS测试服务器 此客户端/服务器演示可用于与CORS配合使用,以更好地了解其工作原理。 使用 在一个终端中: virtualenv --python=python3 venv source venv/bin/activate pip install -r requirements.txt flask run 在另一个: cd static python -m http.server 8080 如果您使用的是python 2,请考虑升级(python 2在2020年1月1日正式终止生命),或者使用python -m SimpleHTTPServer而不是python -m http.server 。 一切运行localhost:8080/cors-test-table.html ,您可以访问localhost:8080/cors-test-table.html (或选择使用py
CORS跨域
liuyuede123的博客
10-13 857
跨域资源共享 (CORS) 是一种基于 HTTP 标头的机制,它允许服务器指示除其自身之外的任何来源(域、方案或端口),浏览器应允许从中加载资源。 CORS 还依赖于一种机制,浏览器通过该机制向托管跨域资源的服务器发出“预检”请求,以检查服务器是否允许实际请求。 在该预检中,浏览器发送指示 HTTP 方法的标头和将在实际请求中使用的标头。
CORS ———— 跨域解决方案之二
nainaiqiuwencun的博客
10-11 1万+
其他跨域方案请看: 1、JSONP跨域方案   以下介绍CORS跨域解决方案 一、什么是CORSCORS (Corss-Orign Resource Sharing) 是W3C工作草案,是一份浏览器技术的规范。定义了跨域资源访问时,浏览器和服务器之间如何通信,使用自定义的http头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。CORS在现代浏览器都支持,使用和普通的a...
服务端 Cros 配置解决跨域
aaa1222312的博客
07-29 192
<system.webServer> <httpProtocol>    <customHeaders>     <remove name="Access-Control-Allow-Origin" />     <remove name="Access-Control-A...
深入剖析.NETCORE中CORS(跨站资源共享)
最新发布
farway000的博客
04-04 481
前言由于现代互联网的飞速发展,我们在开发现代 Web 应用程序中,经常需要考虑多种类型的客户端访问服务的情况;而这种情况放在15年前几乎是不可想象的,在那个时代,我们更多的是考虑怎么把网页快速友好的嵌套到服务代码中,经过服务器渲染后输出HTML到客户端,没有 iOS,没有 Android,没有 UWP。更多的考虑是 防止 XSS,在当时的环境下,XSS一度成为各个站长的噩梦,甚至网站开发的基本要求...
SpringMVC CORS跨域测试包
02-10
在给定的压缩包中,可能包含了客户端和服务端的代码示例,客户端可能是使用JavaScript或jQuery发起跨域请求,服务端则展示了如何配置和处理CORS请求。 6. **安全考虑**:虽然CORS提供了一种安全的跨域访问方式,但...
java redirect 跨域_[转] 重定向 CORS 跨域请求
weixin_39832628的博客
02-13 2992
非简单请求不可重定向,包括第一个preflight请求和第二个真正的请求都不行。简单请求可以重定向任意多次,但如需兼容多数浏览器,只可进行一次重定向。中间服务器应当同样配置相关CORS响应头。中间服务器设置当跨域请求被重定向时,中间服务器返回的 CORS 相关的响应头应当与最终服务器保持一致。 任何一级的 CORS 失败都会导致 CORS 失败。这些头字段包括Access-Control-Al...
如何解决前端跨域问题 ----- 通过CORS、NGINX、JSONP解决
Jeremy Liu的博客
07-21 1020
本文主要提供三个方式来解决跨域问题,分别是服务端配置`Access-Control-Allow-Origin`、反向代理、JSONP
服务端CORS跨域解决
yuhaifei_123的博客
12-18 834
服务端CORS跨域解决 代码: package com.loyou.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConf...
cors跨域_通过中间件设置cors跨域,让跨域资源共享变得更简单
weixin_39534780的博客
11-28 250
上一篇文章《详解CORS跨域内部机制,帮助前端克服浏览器同源策略》作者详细介绍了如何利用cors进行接口跨域,其中服务器需要设置几个响应头。显然,这是一个很通用的功能,所以这篇文章我们把它封装成一个中间件。我们接着上篇文章的demo继续开发,在上篇文章中我们采用koa做服务端,那么我们尝试封装一个koa的中间件。封装图1如图1,我们需要做的工作就是把图中红色区域的代码封装成一个中间件,我们把这个中...
springboot 使用过滤器解决跨域问题和无法获取到 header 中值的问题
wxw1997a的博客
06-05 3816
/** * 解决跨域问题 */ public class AccessControlAllowOriginFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpSer.
浏览器和服务器实现跨域CORS)判定的原理
weixin_33958366的博客
09-06 554
前端对Cross-Origin Resource Sharing 问题(CORS,中文又称'跨域')应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对...
服务器端解决跨域问题的三种方法
热门推荐
技术博客
03-01 4万+
服务端解决跨域请求
跨域请求系列之(二) ---------- tomcat实现服务端cors
oural的博客
03-21 765
1、介绍 tomcat实现cors的基础类是:org.apache.catalina.filters.CorsFilter,具体的类容请查看官网。使用tomcat实现跨域资源共享需要在web.xml文件中配置一个filter,这个filter是tomcat容器中的一个类,不需要导入任何的依赖,前提是你使用的servlet容器是tomcat。 filter的工作原理是:在HttpServletR...
CORS解决前后端跨域问题
m0_65912225的博客
05-31 987
CORS跨域跨域资源共享 cross-origin resource sharing 跨域资源共享——CORS 浏览器同源策略下的跨域访问解决方案: 如果站点A允许站点B的脚本访问其资源,必须在http响应中显示的告知浏览器:站点B是被允许的 访问站点A的请求,浏览器应告知该请求来自站点B; 站点A的响应中,应明确哪些跨域请求是被允许的。 简单请求: get / post / head 方法之一; 仅能使用cors安全的头部:Accept / Accept-Language / Conte
CORS跨域问题服务端的一个解决方法
wonking666的博客
08-29 1万+
上次写了一篇吐槽CORS的博客之后,今天再次出现此类问题。虽然对CORS已经了解的比较透彻,但这次的问题是一系列连锁问题引起的,最终对外表现为与一个不相关的错误,比较有迷惑性,所以有必要记录下来。   1.错误表现 先贴前端的报错异常: OPTIONS http://foo.com/test 405 (Method Not Allowed) Failed to load http://f...
ASP.NET Core中CORS跨域实现教程:从零开始
在ASP.NET Core中实现CORS跨域是为了让前端JavaScript应用程序能够与后端API进行通信,即使这些API运行在不同的域名、端口或协议上。CORS是一种W3C标准,允许服务器控制哪些源(origin)可以访问其资源,从而解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值