浏览器跨域访问控制(CORS)

最新推荐文章于 2024-03-05 23:43:02 发布
最新推荐文章于 2024-03-05 23:43:02 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Web 文章标签: 跨域 浏览器 CORS CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39805244/article/details/128424512
版权

一. 什么是跨域?

出于安全考虑,浏览器限制页面脚木发起跨域请求,所以XMLHttpRequestfetch API是遵循同源策略的。

例如,在http://domain-a.com 页面用XMLHttpRequest向http://domain-b.com 发起HTTP请求,这就是跨域。

补充:CSS、JS和图片等静态资源是不受同源策略限制的。

二. 为什么要限制跨域?

如果没有跨域限制,很容易发生下面这种情况:

  1. 首先,用户登陆银行网站https://www.bank.com, 返回用户认证信息并存在cookie。

  2. 然后,用户打开恶意网站http://www.hacker.com, 网页向https://www.bank.com 发起http请求。

  3. 最后,银行网站取出cookie, 验证用户身份无误并返回数据,造成了数据泄露。

这是一个典型的CSRF攻击。黑客在恶意网页向第三方网站发送伪造请求,造成数据泄露等危害。

但有些场景是存在跨域的。例如,在前后端分离的网站(前后端域名不同),前端网页怎么跨域请求后端服务呢?

三. 怎么实现跨域访问控制?

为了保证安全地进行跨域资源共享,就有了CORS机制,它允许服务器对跨域请求进行访问控制

首先,把请求分为两类: simple requestpreflight request, 两者区别在于后者对服务器有副作用

simple request:

在XMLHttprequest出现之前,就已经有<form>与服务器进行数据交互。

类似<form>的称为simple request, 必需满足以下两点:

HTTP Method为: GET、 POST、 HEAD。

HTTP Header 为:

  • Accept、 Accept - Language、Content -Language。
  • Content-Type: text/plain、multipart/ form-data、application/x-www-form-ur lencoded。
  • Range:只允许简单的范围值,例如bytes=256-。
  • 没有使用ReadableStream对象。

simple request使用originAccess-Control-Allow-Origin来完成访问控制。

浏览器请求时带上origin (HTTP Header), 表示请求来源。

服务器响应时返回Access-Control-Allow-Origin (HTTP Header), 表示允许访问的源。

浏览器判断请求源origin是否在服务器允许访问的范围内Access-Control-Allow-origin,如果不在范围内,则返回失败。

preflight request :

如果请求对服务器有副作用,浏览器会先用OPTIONS方法发送一个preflight request,检查服务器是否允许跨域请服务器确认允许之后,浏览器才发起实际请求。避免跨域请求对服务器数据造成未预期的影响。

第一次OPTIONS请求:

  • origin: 请求源。

  • Access-Control-Request-Method: 跨域请求的HTTP Method

  • Access-Control-Request-Headers: 跨域请求的HTTP Headers

对应响应:

  • Access-Control-Allow-Origin: 允许跨域的源。

  • Access-Control-Allow-Methods: 允许跨域的HTTP Method。

  • Access-Control-Allow- Headers: 允许跨域的HTTP Headers。

浏览器根据prefight request的请求和响应报文进行判断,如果服务器允许跨域,就发起真实请求,否则返回失败。

总结

一次跨域请求过程一般如下:

浏览器发起请求,origin和host 不同就会触发CORS机制,并自动带上origin。

服务器收到请求,根据实际的跨域访问控制需要,返回允许跨域的源。

浏览器收到响应,判断请求源不在服务器允许的范围内,则返回失败。

对服务器有副作用的跨域请求,浏览器会先发一个预检查请求,检查服务器是否允许跨城。

服务器确认允许之后,浏览器才发起实际请求。避免跨城请求对服务器数据造成未预期的影响。

程序员ys567
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Django解决ajax跨域访问问题
01-21
这篇文章主要给大家介绍了关于Django跨域请求问题解决的相关资料,文中介绍的实现方法包括:使用django-cors-headers全局控制、使用JsonP,只能用于Get方法以及在views.py里设置响应头,只能控制单个接口,需要的朋友可以参考下。 使用Django在服务器端写了一个API,返回一个JSON数据。使用Ajax调用该API: 但是,Chrome浏览器提示错误: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 这是由于CORS导致的。 什么是CORSCORS
Flask配置Cors跨域的实现
01-20
1 跨域的理解 跨域是指:浏览器A从服务器B获取的静态资源,包括Html、Css、Js,然后在Js中通过Ajax访问C服务器的静态资源或请求。即:浏览器A从B服务器拿的资源,资源中想访问服务器C的资源。 同源策略是指:浏览器A从服务器B获取的静态资源,包括Html、Css、Js,为了用户安全,浏览器加了限制,其中的Js通过Ajax只能访问B服务器的静态资源或请求。即:浏览器A从哪拿的资源,那资源中就只能访问哪。 同源是指:同一个请求协议(如:Http或Https)、同一个Ip、同一个端口,3个全部相同,即为同源。 2 跨域的处理 跨域的这种需求还是有的,因此,W3C组织制定了一个Cross-
跨域资源共享(CORS):详解跨域请求的限制与解决方法
最新发布
你若盛开,清风自来
03-05 1408
💡 本文将带你深入了解跨域资源共享(CORS)的概念,探讨浏览器跨域请求的限制以及如何有效地解决这些问题。掌握 CORS 的原理和应对策略,将有助于你在前端开发中更好地实现资源共享。跨域是指在一个域下的网页尝试访问另一个域下的资源。例如,一个在的网页尝试访问的资源。跨域()是一种安全策略,由浏览器 enforced,限制跨域 HTTP 请求。跨域问题主要发生在浏览器端,服务器端由于协议设计的原因,不存在跨域问题。浏览器跨域请求主要涉及到同源策略(Same-Origin Policy)。
SpringBoot实现前后端分离的跨域访问(CORS
02-25
简单来说,CORS是一种访问机制,英文全称是Cross-OriginResourceSharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin即可。CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个”预检”请求,待服务器批准后才能真正发起跨域访问请求。根据官方文档W3C规范-CORS的描述,目前CORS使用了如下头部信息:注:请求
[详解] 不得不知道的 HTTP进阶——重点突击(三)【面试必问】
欢迎来到我的知识星球!!!
06-21 778
目录​编辑HTTP 内容协商什么是内容协商?内容协商的种类为什么需要内容协商内容协商标头AcceptAccept-CharsetAccept-LanguageAccept-EncodingContent-TypeContent-EncodingContent-LanguageHTTP 认证通用 HTTP 认证框架代理认证Proxy-AuthenticateProxy-Authorization禁止访问Authorization 和 Proxy-Authorization 标头HTTP 缓存不同类型的缓存不缓
HTTP headerAccess-Control-开头的响应头
hulinhulin的专栏
03-31 5057
Access-Control-Allow-Credentials Access-Control-Allow-Credentials响应报头指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露。 Credentials可以是 cookies, authorization headers 或 TLS client certificates。 当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET请求不是预检的,所以如果请求使用凭证的资源,如果此资源不
Access-Control-Request-Headers: authorization 401
热门推荐
黄大仙儿的专栏
06-28 2万+
后端加了Authorization验证,前端在header里加了authorization,然而结果还是401,发现是跨域先要发一个预检请求,参考https://segmentfault.com/a/1190000006095018解决方案参考https://segmentfault.com/q/1010000012364132if (request.getMethod().equals("OPT...
SpringBoot解决跨域问题
老刀
05-27 1422
一、同源策略 源 [origin] 就是访问URL(协议、域名和端口号)。如:http://127.0.0.1:8080这个URL。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源. 若地址里面的协议、域名和端口号均相同则属于同源。 例:判断下面的URL是否与 http://www.a.com/test/index.html 同源 地址 说明 ...
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 4708
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
关于renren-fast跨域部分
NerfmePlz的博客
11-09 1059
浏览器——》发送预检请求给服务如localhost:8000——服务检测到跨域请求,根据如上代码的配置处理请求并响应——》浏览器收到服务允许跨域,发送真正请求。浏览器——》发送预检请求到网关——》网关配置跨域,filter处理请求头,增加允许跨域部分——》服务发现跨域,处理允许跨域部分——》返回浏览器,renren-fast在io.renren.config.CorsConfig中配置了跨域请求的处理配置类。浏览器——》发送预检请求到网关——》网关没有配置跨域,不允许跨域请求——》服务器不发送真正请求。
chorm浏览器跨域插件
11-15
由于Web 端的远程加载受到浏览器CORS 跨域策略限制,如果对方服务器禁止跨域访问,那么会加载失败,而且在 WebGL 渲染模式下,即便对方服务器允许 http 请求成功之后也无法渲染,这是 WebGL 的安全策略的限制 ...
http 跨域资源共享详解
qq_42880714的博客
11-22 779
http 跨域资源共享详解
解决跨域的方式?
欣欣酱博客
04-08 4872
Ajax解决跨域方案一:(jsonp) jsonp:jsonp是json的一种使用模式,可以让网页从别的域名那里获取数据。 Ajax解决跨域方案二:(cors) 当Ajax发送请求时,服务器会返回一个响应头,相当于服务器指定了可以访问该接口的白名单。 Ajax解决跨域方案三:(服务器转发) 服务器端向第三方服务器发送请求,得到数据并返回给客户端。 扩展:和跨域有关的cors几个响应头和请求头。(九个) 请求头三个:origin access-control-request-headers
前端跨域解决方案之CORS详解
m0_51945510的博客
04-21 5222
前端跨域解决方案之CORS详解has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
谷歌浏览器cors跨域的解决方法(亲测有效)
m0_66202404的博客
05-08 2719
解决cors跨域的有效方法
解决跨域问题详解,CORS、iframe通信技术等一次吃透
qq_43406318的博客
11-07 1231
指的是在web开发中,一个网页试图从一个不同域(域名、协议或端口)的网站上请求资源,如数据、脚本或样式表。浏览器出于安全考虑实施了同源策略(Same-Origin Policy),以限制跨域请求,这意味着默认情况下,网页只能访问与自己相同域的资源。当面临跨域访问问题时,通常有几种常见情况:跨域AJAX请求:使用XMLHttpRequest或Fetch API从一个不同域的服务器获取数据。这种情况下,浏览器会阻止请求。
浏览器跨域请求的机制:CORS
fe_watermelon的博客
04-29 1835
大家好,我是前端西瓜哥。因为同源策略(Cross-Origin Policy)的存在,浏览器在一个域名下发送另一个域名的 Ajax 请求时,返回的数据通常会被浏览器拦截,让开发者无法拿到返回结果。这里说 “通常”,是因为浏览器额外提供了一种可以正常使用 Ajax 请求非同源域名接口的机制,也就是我们接下来要说的 跨源资源共享(CORS, Cross-Origin Resource Sharing)。CORS 会在上图中的第三步中发挥作用。简单来说,就是请求 b.com 的 HTTP 响应头字段中的一些头字段
跨域cors解决跨域
weixin_50769390的博客
11-17 1654
跨域问题及Springboot处理cors跨域
掌握 CORS 跨域请求,读这篇文章就够了
360技术
11-22 2752
在 Web 前后端分离架构模式下,跨域(跨源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨源 HTTP 请求,同源没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域、JSONP 请求跨域跨域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
google浏览器 跨域
12-15
通过设置正确的CORS头信息,服务器可以控制允许访问的域,请求方法和头信息等。 2. JSONP(JSON with Padding):Google浏览器支持JSONP来进行跨域请求。JSONP是一种通过动态创建标签来实现的跨域请求,由于标签不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值