跨域ajax原理,跨域 ajax 请求之 cors 原理解析

最新推荐文章于 2023-09-29 16:14:27 发布
最新推荐文章于 2023-09-29 16:14:27 发布
阅读量381 收藏
点赞数
文章标签: 跨域ajax原理

9ac5e4e30859fb63569e5fad0d8d2230.png本博客不欢迎:各种镜像采集行为,请尊重知识产权法律法规。大家都是程序员,不要闹得不开心。

本文是系列文章,上一篇文章地址是:https://newsn.net/say/cross-domain-ajax-jsonp.html 。本文主要说两个高级点的跨域话题,即:接口cookie传递及不使用jsonp如何设置跨域。

027da9c3094e01e16b420e23ab64f62a.png跨域 ajax 请求之 cors 原理解析(图1-1)

原理描述

目前的最新浏览器下面,都可以不使用jsonp来跨域了,就是说还使用传统的json。当然了,前端请求的时候,要特殊写上点代码,后端处理的时候,也需要发出特殊的header头,整个过程才能畅通。

另外,默认情况下,跨域的话,是不会发送cookie的。而服务器端接口需要做权限判断之类的话,就需要cookie上的支持。这个时候,同样需要做些设置。

前端代码

好了,先整体的来说。下面是前端相关代码,以jquery为例:$.ajaxSetup({

crossDomain: true,

xhrFields: {

withCredentials: true

}

});

这个非常简单,设置上这个之后,页面上所有的ajax请求都不用特殊写代码了,都会默认支持跨域传递cookie。是不是很简单?

如果你不这么整体的来写的话,每个ajax请求都需要额外添加crossDomain和xhrFields这2个属性。貌似真心不是很方便。$.ajax({

url:'https://newsn.net/',

type:'GET',

dataType:'json',

success:function (data) {},

crossDomain: true,

xhrFields: {

withCredentials: true

}

});

后端代码

后端服务器端,需要发送这些header头到客户端,苏南大叔下面的demo是php版本的。Access-Control-Allow-Credentials:true

Access-Control-Allow-Headers:*

Access-Control-Allow-Methods:GET,POST,OPTIONS

Access-Control-Allow-Origin:*

Access-Control-Max-Age:864000

这里要特别强调的是:Access-Control-Allow-Origin这个属性,设置为*肯定可以。不过,这就非常不安全了,因为这个就是来控制到底哪个域名可以跨域访问接口的。所以,这个属性,一定要设置为具体的网址才好,注意要设置为 https://yourdomain.com:port 类似这样的,http和https一定要区分好,端口号如果有的话,也一定要带上。当然了,这些header是php发出的,还是nginx发出的,都是可以的。

nginx代替php发出特定header

可能,nginx发出header似乎更合适一些。那么下面贴出的就是可能的nginx设置。

参考文章:https://enable-cors.org/server_nginx.htmllocation / {

if ($request_method = 'OPTIONS') {

add_header 'Access-Control-Allow-Origin' '*';

#

# Om nom nom cookies

#

add_header 'Access-Control-Allow-Credentials' 'true';

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

#

# Custom headers and headers various browsers **should** be OK with but aren't

#

add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

#

# Tell client that this pre-flight info is valid for 20 days

#

add_header 'Access-Control-Max-Age' 1728000;

add_header 'Content-Type' 'text/plain charset=UTF-8';

add_header 'Content-Length' 0;

return 204;

}

if ($request_method = 'POST') {

add_header 'Access-Control-Allow-Origin' '*';

add_header 'Access-Control-Allow-Credentials' 'true';

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

}

if ($request_method = 'GET') {

add_header 'Access-Control-Allow-Origin' '*';

add_header 'Access-Control-Allow-Credentials' 'true';

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

}

}

下面的是另外一个我使用过的配置:server {

listen 443 ssl;

server_name blogd.newsn.net;

ssl_certificate /application/nginx/ssl/newsn.net.crt;

ssl_certificate_key /application/nginx/ssl/newsn.net.key;

ssl_session_timeout 5m;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

access_log /data/logs/nginx/cloud/access.log json;

error_log /data/logs/nginx/cloud/error.log error;

set $ACAO 'http://blog.newsn.net https://blog.newsn.net';

if ($http_origin ~* ^(http|https)://blog\.newsn\.net$) {

set $ACAO $http_origin;

}

add_header Access-Control-Max-Age 864000;

add_header Access-Control-Allow-Credentials true;

add_header Access-Control-Allow-Origin '$ACAO';

add_header Access-Control-Allow-Headers X-Requested-With;

add_header Access-Control-Allow-Methods GET,POST,OPTIONS;

location /robots.txt {

root html;

}

location / {

if ($request_method = 'OPTIONS') {

add_header Access-Control-Max-Age 864000;

add_header Access-Control-Allow-Credentials true;

add_header Access-Control-Allow-Origin '$ACAO';

add_header Access-Control-Allow-Headers X-Requested-With;

add_header Access-Control-Allow-Methods GET,POST,OPTIONS;

return 204;

}

proxy_pass http://blog-portal;

proxy_http_version 1.1;

proxy_set_header Connection "";

#proxy_set_header Host $host:$server_port;

proxy_set_header Host $host;

#proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

#proxy_set_header X-Forwarded-Proto $scheme;

}

}

server {

listen 80;

server_name blog.newsn.net;

rewrite ^(.*) https://blog.newsn.net$1 permanent;

}

结语

苏南大叔觉得,鉴于nginx设置如此繁杂,我们还是老老实实的用php输出header吧,其实蛮简单的。是不是?据说,上述设置中的js部分在ie低版本浏览器下面是不ok的。那么如果我们需要兼容ie低版本的话,那么还是老老实实的写不安全的jsonp,似乎是更好的解决方案。

93ddba5b688a6967c0a88c0220992c34.png

e6eebe3032abd035b5cf072fe954fec6.png 如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。

9ac5e4e30859fb63569e5fad0d8d2230.png 本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留作者链接。

weixin_39932330
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax请求(cors实现),ajax请求CORS实现)
weixin_42511217的博客
08-05 965
场景:目前有项目A(基于servlet的WEB项目),和项目B(基于spring boot的WEB项目),使用同一CAS提供单点登陆,如今须要两个项目互相调用接口数据,因此涉及到ajax请求java调研:通过调研发现目前的ajax解决方案有两种,jsonp和cors,其中jsonp须要在返回值中携带回调函数,cors则须要在响应头中附加指定参数。比对实现方式和优劣点,决定使用cors来实...
Ajax请求(一):什么是CORS(1)
最新发布
erghtt的博客
03-27 900
面试题集可以帮助你查漏补缺,有方向有针对性的学习,为之后进大厂做准备。但是如果你仅仅是看一遍,而不去学习和深究。那么这份面试题对你的帮助会很有限。最终还是要靠资深技术水平说话。网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。建议先制定学习计划,根据学习计划把知识点关联起来,形成一个系统化的知识体系。学习方向很容易规划,但是如果只通过碎片化的学习,对自己的提升是很慢的。
问题详解:CORS问题+解决办法
weixin_45565886的博客
09-29 1万+
问题详解:CORS问题+解决办法
Ajax请求数据四部曲 cors解决问题
L_H_study的博客
02-13 407
Ajax请求数据四部曲 cors解决问题
Ajax请求问题及其解决方案
qq_51546137的博客
03-02 2796
我们的传统请求,比如说超链接、form表单,js代码以及直接在浏览器地址栏上写请求地址都不存在问题,能够从一个网站访问另外一个网站,但是我们的Ajax请求会存在问题,其主要是为了解决访问带来的安全隐患。因为浏览器中有一个内置对象XMLHTTPRequest。这个对象是每个网站不共享的,因此不能直接,这样设计是合理的,因为一旦共享该对象,这个对象有一个responseTest属性,那么你的网站就能通过该对象的这个属性拿到我的网站里面的信息,这是不安全的,因此Ajax不能直接
基于CORS实现WebApi Ajax 请求解决方法
12-08
CORS资源共享)是一种现代Web技术,用于允许浏览器绕过同源策略,从而实现请求。同源策略是浏览器内置的安全机制,它限制了来自不同源的JavaScript代码对资源的访问。在请求中,如果服务器不支持CORS...
JQuery的Ajax请求原理概述及实例
10-27
**Ajax请求原理概述** 在Web开发中,由于同源策略的限制,JavaScript通常只能访问与当前页面属于同一名下的资源。然而,有时我们需要从其他名获取数据,例如加载远程API或服务,这就涉及到了Ajax请求。...
Javaweb使用cors完成ajax数据交互
08-29
JavaWeb使用CORS完成AJAX数据交互 本文将对CORS的概念和JavaWeb使用CORS完成AJAX数据交互进行详细的介绍。 一、概念 是指浏览器不能执行其他网站的脚本,这是由浏览器的同源策略造成的,是浏览器...
ajaxCORS方案 JSONP请求方案.zip
01-06
在Web开发中,(Cross-Origin)是一个常见的问题,特别是在使用Ajax进行异步数据交互时。限制是浏览器为了安全原因而设置的一种机制,防止恶意网站通过脚本访问其他站点的数据。本文将深入探讨两种主要的...
Ajax请求CORS)问题
Clement-Xu的专栏
07-22 4957
用浏览器,通过XHR(XMLHttpRequest)请求其他名的数据时,会碰到CORS)问题。 CORS:Cross-Origin Resource Sharing  什么是? 简单的来说,出于安全方面的考虑,浏览器页面中的JavaScript无法访问其他服务器上的数据,即“同源策略”。而就是通过某些手段来绕过同源策略限制,实现不同服务器之间的通信。
ajax请求(cors实现),Web高级 AjaxCORS(示例代码)
weixin_36364419的博客
08-05 748
Asynchronous JavaScript and XML1. XMLHttpRequest前端开发都知道,不多说。var xhr = new XMLHttpRequest();xhr.onreadystatechange = function () {if (xhr.readyState !== 4) return;if (xhr.status >= 200 && xh...
CORS问题解决
u011925641的博客
09-13 624
CORS问题解决 简介 CORS是一个W3C标准,全称是”资源共享”(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
【nginx】nginx高级用法配置及讲解
細水、長流√的专栏
06-02 1759
2、nginx防盗链 3、nginx压缩静态文件 4、配置https 在对应的名注册服务商(阿里云、腾讯云等)处获取ssl证书信息 在下载到的ssl证书中获取nginx相关证书(包含两个文件:.key 和 .pom) 将对应的nginx证书上传到nginx所在服务的特定位置(如:/usr/loca/nginx/cert) 配置nginx(http默认端口为:80,https默认端口为:443) 如果进行完上述操作之后,发现启动nginx说咩有ssl模块,是
解决
zhanghongcai的专栏
11-17 200
1、jsonp 2、nginx 配置; server { listen 3002; server_name localhost; location /ok { proxy_pass http://localhost:3000; # 指定允许的方法,*代表所有 add_header Access-Control-Allow-Methods *; # 预检命令的缓存,如果不缓存每次会发送两次请求 add_header Access-Control-Max-Age 3600; # 带c
使用ajax区别必须到jquery,$.ajaxSetup()与$.ajax()区别
weixin_33235339的博客
08-05 330
ajaxsetup()其使用方法与ajax()并无区别,只是在其之后的ajax()不用再重复添加相同参数,节省了代码量。附:api中关于jquery.ajaxsetup([options])的描述和jquery 代码:描述:设置 ajax 请求默认地址为 “/xmlhttp/”,禁止触发全局 ajax 事件,用 post 代替默认 get 方法。其后的 ajax 请求不再设置任何选项参数。jque...
ajax请求CORS实现)
流浪的CCTV的博客
09-04 1万+
场景:目前有项目A(基于servlet的WEB项目),和项目B(基于spring boot的WEB项目),使用同一CAS提供单点登录,现在需要两个项目互相调用接口数据,所以涉及到ajax请求 调研:经过调研发现目前的ajax解决方案有两种,jsonp和cors,其中jsonp需要在返回值中携带回调函数,cors则需要在响应头中附加指定参数。比对实现方式和优劣点,决定使用cors来实现 ...
使用Nginx来解决的问题
weixin_30500105的博客
04-24 205
使用Nginx来解决的问题 nginx的版本:(查看nginx命令: /usr/local/nginx/sbin/nginx -v) nginx/1.4.3 问题是:前端项目名是 a.xxxx.com, 后端的接口名是 b.xxx.com,然后后端接口没有设置相关的响应设置头,因此就接口和我们名就会存在的情况,因此我们可以使用 nginx服务器来配置一下; 网上很多资料将...
记一次阿里云oss前端问题的解决方法!
热门推荐
xiaoxiaowaioye的博客
02-21 2万+
问题描述: 公司前端文件部署到阿里云oss,后端web是nginx,出现,提示如下 Access to fetch at Access to fetch at ‘https://xxx.xxxx.cn/gpas/register/partner/oNIciweVvYNrVBF3vE6IVmamAkpg?sourceType=public’ from origin ‘https://ossh5....
请求CORS
astrologer_的博客
04-22 327
CORS请求        ajax请求过程可能会碰到 CORS 头缺少 'Access-Control-Allow-Origin'的情况,出现这种情况的原因主要是CORS没有配置完善。本文主要梳理一下在ajaxcors方面遇到的疏忽问题。        请求端js代码,看起来和普通的ajax请求没有什么分别。var url = urlIp+"api/serverCors"; $.a...
Ajax解决方案:JSONP、CORS与代理请求
本文主要探讨了Ajax问题及其解决方案,包括JSONP、CORS和代理请求三种方式,并介绍了如何分析和识别Ajax问题。 ### 什么是Ajax Ajax是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值