跨域资源共享 CORS 简述

最新推荐文章于 2022-10-05 21:24:58 发布
最新推荐文章于 2022-10-05 21:24:58 发布
阅读量205 收藏 1
点赞数
分类专栏: 前端 文章标签: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40302130/article/details/84847182
版权

阮一峰网路日志:http://www.ruanyifeng.com/blog/2016/04/cors.html

跨域资源共享 CORS 简述

跨域资源共享 CORS 解决了ajax同源使用的限制。

现在基本所有浏览器都支持跨域访问,浏览器在ajax请求跨域时自动添加一些头信息,并另外单独发一次请求。
实现CORS通信的关键是在服务器端实现CORS功能。
就是说:
1.CORS就是前端在发送ajax请求才会出现限制;
2.实现CORS,前端代码不用改,后端配置CORS接口。实现CORS,前端代码不用改,后端配置CORS接口。

CORS基本流程

简单请求:simple request
非简单请求:not-so-simple request;
简单请求特点:
1 请求方法:HEAD、GET、POST;
2 请求头信息只能存在的字段:Accept、Accept-Language、Last-Event-ID、Content-Type(只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain)
只要同时满足以上两个特点,就是简单请求。否则就是非简单请求。

简单请求流程:

对于简单请求,浏览器直接发送CORS请求,在头信息中添加Origin字段。

Origin字段:
字段的值用来说明本次请求的来源(协议 + 域名 + 端口)。
服务器流程:
1 获取这个值
2 判断是否在许可范围内
3 False --> 返回一个正常HTTP响应。
响应头信息不会包含Access-Control-Allow-Origin字段;
浏览器在响应头内没有解析到该字段时,会抛出一个错误;
错误会被XMLHttpRequest的onerror的回调函数捕获。
注意:这种错误不能通过状态码识别,因为HTTP回应的状态码有可能是200。
回调函数:一个通过函数指针调用的函数。
4 True —> 执行5

5 服务器返回的响应,多出头信息字段:
- Access-Control-Allow-Origin: http://api.bob.com
必须有的字段,值是Origin字段的值, 或者*表示任意域名。
- Access-Control-Allow-Credentials: true
可选字段,值为bool值,True表示允许请求携带cookie。默认为False。
- Access-Control-Expose-Headers: FooBar
可选字段,XMLHttpRequest对象的getResponseHeader()方法只能
拿到6个基本字段:Cache-Control、Content-Language、
Content-Type、Expires、Last-Modified、Pragma。
如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
- Content-Type: text/html; charset=utf-8
三个头信息都是以Access-Control-开头
withCredentials属性
CORS请求默认不发送cookie和HTTP认证。
需要发送cookie一方面需要服务器指定Access-Control-Allow-Credentials字段。
另一方面需要在ajax请求中打开withCredentials属性 设置为True。
需要发送cookie时,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。

非简单请求流程

预检请求preflight
非简单那请求:比如PUT或DELETE请求方法,或者Content-Type字段是application/json。
非简单请求的跨域请求,在正式建立通信之前,会先来一发预检请求(HTTP查询请求)。
预检请求方法是OPTIONS,浏览器自动执行。
预检请求的响应
服务器返回响应,内容为跨域请求允许范围和请求格式。

浏览器正常请求和响应
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,
就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,
也都会有一个Access-Control-Allow-Origin头信息字段。
请求时,头信息Origin字段是浏览器自动添加。
响应时,Access-Control-Allow-Origin字段是每次必定包含的。
在这里插入图片描述

与JSONP

CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
http://newhtml.net/using-cors/
https://github.com/ottoyiu/django-cors-headers/

mophite
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AJAX-跨域请求
weixin_34220179的博客
06-18 424
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
CORS跨域资源共享简述
weixin_30657999的博客
08-10 67
什么是CORS? 默认情况下,为预防某些而已行为,浏览器的XHR对象只能访问来源于同一个域中的资源。但是我们在日常实际开发中,常常会遇到跨域请求的需求,因此就出现了一种跨域请求的方案:CORS(Cross-Origin Resource Sharing)跨域资源共享CORS背后的原理是:使用自定的HTTP头部与服务器进行沟通,从而由服务器决定响应是否成功。 如何使用CORS? 使用CORS需要...
跨域请求和跨域资源共享CORS)的基本介绍
weixin_41702436的博客
03-27 397
上图展示了跨域请求和跨域资源共享CORS)的概念: 1.浏览端加载的内容为domain-a.com的web文档,该web文档加载domain-a.com中的其他资源时,发起的请求(同域请求)都是被允许的,如果要加载domain-b.com中的资源时,此请求将会被阻止,被阻止的请求为跨域请求。(补充:该阻止过程可能是浏览端限制了跨域请求的发起,也可能是跨域请求正常发起了,但是浏览端拦截了返回结果...
CORS(跨域资源共享)的简单认识
風的博客
04-16 174
CORS(GPS技术)/CORS(网络通信技术): CORS(跨域资源共享) cors站-原理 弄懂CORS 关于CORS跨域问题的理解 HTTP访问控制(CORSCORS 跨域 实现思路及相关解决方案 CORS简介 cors - npm网站 Spring Boot 2中对于CORS跨域访问的快速支持 ...
12:CORS跨域设置-Java Spring
Yeats_Liao的博客
10-05 1951
12:CORS跨域设置-Java Spring
CORS(跨域资源共享)漏洞解决方法
热门推荐
BHSZZY的博客
07-23 2万+
最近,测试环境上的项目被360测试人员检测出来有一个CORS漏洞,以下记录下漏洞问题与解决方法。 一、低危漏洞:CORS漏洞问题 测试人员访问某个url,将请求头中的Origin字段修改为任意值,结果仍然能获得正确的响应报文,就说明有CORS漏洞。 当CORS的设置不正确时,就会带来安全问题;当响应头中的Access-Control-Allow-Origin设置为null或*时,表示信任任何域,这时候就可能引入安全问题。 修复方法是合理配置CORS,判断Origin是否合法;具体说就是不让在nginx或t
跨域资源共享 CORS 详解
09-02
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
跨域资源共享CORS协议介绍
03-07
跨域资源共享CORS协议介绍, cross-origin resource sharing layer
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
[SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例.rar
11-30
**SpringBoot + Ajax + CORS 前后端分离:跨域资源共享详解** 在现代Web开发中,前后端分离已经成为一种常见的架构模式。SpringBoot作为Java领域的一个轻量级框架,常用于构建后端服务,而Ajax则在前端用于实现异步...
【HTTP】简述你对HTTP控制访问(CORS)的理解。
dropout的博客
03-20 593
WPS 2020前端面试题
跨域资源共享
潘威威的博客
09-30 209
什么是跨域问题 参考: http://www.ruanyifeng.com/blog/2016/04/cors.html https://segmentfault.com/a/1190000015597029 Java服务端跨域问题的解决 上面已经介绍了什么是跨域问题,那么作为Java开发者,如果遇到了跨域问题,改怎么解决呢? 1、定义过滤器 public class CrossFilter ...
前端跨域方法CORS
WEB_YH的博客
02-24 7826
1、cross-domainCORS:是需要浏览器和服务器同时支持,IE浏览器不能低于IE10。整个跨域过程不需要用户的参与,从表面上看,CORS与ajax没有区别,代码相同,但是一旦浏览器发现跨域,它会自动在HTTP头部中添加附加信息(例如domain),关键在于服务器是否实现CORS接口。CORS请求分为简单请求和非简单请求。只要满足上面的两大条件就是简单请求,否则就是非简单请求。一、简单请...
学习通过后端配置cors游览器解决跨域访问
阿洪的博客
12-26 2791
学习通过后端配置cors游览器解决跨域访问 现在的游览器ie10以上的都可以浏览器直接发出CORS请求。体来说,就是在头信息之中,增加一个Origin字段。然后node后端 router.get('/getData', function(req, res, next) { //设置允许跨域请求 var reqOrigin = req.header("origin"); if(r...
HTTP(二)、跨域资源共享CORS
CSDN前端知识共享
09-08 5213
2.跨域资源共享CORS跨域简介 当访问一个资源文件时,如果从非该资源文件所在的服务器不同域名或者端口处进行访问时,该资源会发起一个跨域请求。 例如,网站A的地址是http://www.domain-a.com ,该网站中HTML页面通过 img 标签中的 src 属性请求http://www.domain-b.com/static/xxx.png 图片资源,此时,就发生了...
nginx 跨域资源共享CORS
最新发布
03-01
nginx 跨域资源共享CORS)是一种机制,许在一个域名下的网页应用访问另一个域名下的资源。为了实现跨域资源共享,需要在nginx配置文件中进行相应的配置。 以下是nginx实现跨域资源共享的配置步骤[^1]: 1. 打开nginx配置文件(一般为nginx.conf)。 2. 在http块中添加以下配置,启用CORS: ```shell http { ... server { ... location / { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range'; } ... } ... } ``` 3. 保存并关闭配置文件。 4. 重新加载nginx配置文件,使配置生效。 通过以上配置,nginx会在响应头中添加相应的CORS头信息,允许跨域访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值