基于CORS解决跨域请求

最新推荐文章于 2023-06-15 15:57:37 发布
最新推荐文章于 2023-06-15 15:57:37 发布
阅读量347 收藏
点赞数
分类专栏: 前端 文章标签: CORS 跨域 跨域请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40929150/article/details/81214876
版权

跨域的概念

首先,什么是跨域?

跨域指的是,当一个网站向另一个非同源网站发送请求时,出于安全原因,浏览器限制从脚本(javascript)内发起的跨源HTTP请求。

所谓同源指的是,协议,域名,端口均相同。举个栗子:

http://localhost/index.html  访问  http://localhost/findOne.do (非跨域)

http://localhost:8080/index.html 访问 http://localhost/findOne.do (跨域,端口号不同)

http://localhost/index.html 访问 https://localhost/findOne.do (跨域,协议不同)

http://localhost/index.html 访问 http://127.0.0.1/findOne.do (跨域,域名不同)

当前流行的跨域解决方法有两种,一种是发送jsonp格式的请求,另一种就是基于cors解决跨域资源共享问题

 

CORS解决跨域请求

CORS将请求分为两种,一种为简单请求,另一种为预检请求(这里可以理解为复杂请求)。

简单请求和复杂请求的区别在于,是否在请求头(heads)添加了自定义字段。

对于简单请求,只需要在服务器端接口添加  response.addHeader("Access-Control-Allow-Origin","*")

/**
 * Cors跨域请求演示
 * @author:LiChong
 * @date:2018/7/26
 */
@RestController
@RequestMapping("/cors")
public class CorsController {

	@PostMapping("/demo")
	public void demo(HttpServletResponse response){
		response.addHeader("Access-Control-Allow-Origin","*");//这里指允许任何的跨域请求
		//response.addHeader("Access-Control-Allow-Origin","www.lichong.com");//只允许来自www.lichong.com的跨域请求
	}
}

对于复杂请求,我这里暂没有遇到这里的需求,以后遇到了再补充;

参考网站:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

Snovi-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【Web安全】CORS跨域资源共享漏洞
做自己喜欢的事,并将其发挥到极致!
11-07 849
跨域资源共享(CORS)是一种浏览器机制,允许网页使用来自其他页面或域的资产和数据。大多数站点需要使用资源和图像来运行它们的脚本。这些嵌入式资产存在安全风险,因为这些资产可能包含病毒或允许服务器访问外部攻击者。如果目标存在CORS跨域资源共享漏洞,并且在管理员没有退出网站的情况下,点击攻击者已经构造好的恶意网站,攻击者可以修改Origin字段为任意指定的值,实现绕过浏览器同源策略的限制,基于CORS漏洞发起恶意请求,实现对目标资源的恶意跨域访问,并读取服务器的响应结果,从而造成服务器的信息泄露。
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程
最新发布
代码讲故事
12-03 1292
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
django基于cors解决跨域请求问题详解
09-18
主要介绍了django基于cors解决跨域请求问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
概述 ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题,特别各种APP万花齐放的今天,API的跨域请求是不能避免的。 在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP, 当然这只是众多解决方法中一种,由于JSONP只支持GET的请求,如今的复杂业务中已经不能满足需求。而CORS(Cr
CSRF 跨站请求伪造及CORS跨域资源共享漏洞修复案例
Endeavour的博客
06-12 6871
跨站请求伪造(CSRF):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理:用户C访问正常网站A时进行登录,浏览器保存A的cookie;用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数...
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2172
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
CORS-跨域资源共享
Ciao's blog
11-12 327
项目搭建初期常见的跨域问题
跨域资源共享漏洞
qq_43504327的博客
03-15 528
CORS跨域资源共享
CORS跨域资源共享
多喝i热水的博客
09-07 224
目录 一、同源策略 二、跨域的判定 三、配置服务器实现跨域传输 四、CORS跨域漏洞验证 五、参考文献 一、同源策略 同源指的是域名(或IP),协议,端口都相同,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 同源的判定 以http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源 链接 结果 原因 http://www.example.com/..
CORS跨域资源共享
letterTiger的博客
04-06 497
CORS跨域资源共享)使用额外的HTTP头部来告诉浏览器,允许运行在origin(domain)上的Web应用访问来自不同源服务器上的指定资源。 浏览器访问一个web应用,这个web应用会发很多的跨域请求,例如加载不同源的JS/CSS脚本,或者加载不同源图片等。但是并没有发现请求的异常,这些资源是可以正常返回的。而通过JS发送的跨域HTTP请求却时常得到错误,所以跨域请求很常见,但是浏览器对于请...
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
详解基于angular-cli配置代理解决跨域请求问题
12-09
1.跨域请求产生 随着不同终端(Pad/Mobile/PC)的兴起,对开发人员的要求越来越高,纯浏览器端的响应式已经不能满足用户体验的高要求,我们往往需要针对不同的终端开发定制的版本。为了提升开发效率,前后端分离的需求...
CORS跨域资源共享漏洞复现——详细利用方法,漏洞危害最大化
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-15 3839
CORS跨域资源共享漏洞漏洞复现cors的利用方式以及让危害最大化。
CORS跨域资源共享漏洞复现、分析、利用及修复过程
热门推荐
weixin_46622976的博客
12-27 1万+
CORS漏洞测试
Springboot后端CORS跨域资源共享
comecny的博客
08-16 611
跨域
CORS(跨站资源共享)介绍
测试
12-03 528
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
跨域资源共享漏洞分析总结(含实战
qq_43571759的博客
04-29 6811
文章目录跨源资源共享(CORS)浏览器的同源策略概念特点主要功能跨域主要跨域请求方法JSONP跨域CORS跨域CORS的安全问题三种不安全的配置引起的安全问题通过CORS信任关系 利用XSS使用错误的CORS破坏TLS防御CORS如何预防基于CORS的攻击正确配置跨域请求只允许信任的网站避免将null列入白名单避免在内部网络中使用通配符CORS不能替代服务器端安全策略 跨源资源共享(CORS) 浏...
cors如何解决跨域
08-19
CORS跨域资源共享)是一种机制,允许服务器在响应中设置一些头信息,指示浏览器该服务器允许哪些跨域请求。以下是使用CORS解决跨域的基本步骤: 1. 服务器设置响应头:在服务器端,需要设置响应头来允许跨域请求。常见的响应头包括`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`等。 - `Access-Control-Allow-Origin`:指定允许访问的源,可以设置为特定的源或通配符`*`,表示允许任何源访问。 - `Access-Control-Allow-Methods`:指定允许的HTTP方法,如GET、POST等。 - `Access-Control-Allow-Headers`:指定允许的自定义请求头。 2. 浏览器发送预检请求(OPTIONS请求):对于某些复杂的跨域请求,浏览器会在实际请求之前发送一个预检请求,以确定服务器是否允许该跨域请求。预检请求使用HTTP方法OPTIONS,并包含一些额外的头信息,如`Access-Control-Request-Method`和`Access-Control-Request-Headers`。 3. 服务器响应预检请求:服务器接收到预检请求后,需要正确返回响应头以进行验证。响应中需要包含与实际请求相同的`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`等头信息。 4. 浏览器发送实际请求:如果预检请求通过验证,浏览器会继续发送实际请求。 需要注意的是,CORS是基于浏览器的同源策略来限制跨域请求的,因此只在浏览器环境中有效。对于非浏览器环境(如服务器间的请求),CORS并不适用。 此外,CORS并不能完全解决跨域问题,仍然有一些限制和安全考虑。例如,对于带有身份验证信息(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snovi-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值