跨域资源共享cors

于 2024-08-18 20:34:59 发布
阅读量212 收藏 3
点赞数 1
分类专栏: 项目相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42564451/article/details/141304580
版权

跨域资源共享(CORS)

1. 跨域资源共享(CORS)

是一种机制,用于放宽浏览器的同源策略,使得一个域可以访问另一个域的数据。随着互联网应用的日益复杂,CORS成为解决跨域问题的标准方法之一。

2. 浏览器的同源策略

浏览器为了安全起见,遵循同源策略(Same-origin policy),即只有当请求的源(协议、域名、端口)与资源所在的源完全相同时,才允许进行交互。这种策略有效地防止了某些类型的攻击,但也限制了跨域数据的访问。

示例:
假设你有一个网站 example.com 并且想要请求来自 data.example.org 的资源,如果没有CORS的支持,浏览器会阻止这个请求。

3. CORS基本原理

CORS通过HTTP头部信息来控制跨域访问的权限,允许服务器指定哪些源可以访问其资源。

  • 简单请求:当请求符合以下条件时,被视为简单请求:

    • 方法为 GETHEADPOST
    • Content-Type 头部的值仅限于 application/x-www-form-urlencodedmultipart/form-datatext/plain

  • 预检请求:对于不符合简单请求条件的请求,浏览器会自动发送一个预检请求(OPTIONS方法),以询问服务器是否允许实际请求。预检请求会包含:

    • Access-Control-Request-Method 头部,指示实际请求的方法;
    • Access-Control-Request-Headers 头部,列出实际请求中可能会包含的自定义头部。

示例:
一个简单的GET请求可以直接发送到服务器,而一个包含自定义头部的POST请求则会先发送一个预检请求。

// 客户端发起预检请求
fetch('https://api.example.com/data', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-Custom-Header': 'XYZ'
  },
  body: JSON.stringify({key: 'value'})
});

// 服务器收到预检请求
OPTIONS /data HTTP/1.1
Host: api.example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type, x-custom-header
Origin: http://example.com
...
4. CORS的实现
  • 服务端配置
    • 在服务端响应中添加 Access-Control-Allow-Origin 头部来指定允许访问的源。
    • 可能还需要添加其他头部,如 Access-Control-Allow-MethodsAccess-Control-Allow-Headers

示例:
在Node.js Express中配置CORS中间件。

const express = require('express');
const cors = require('cors');

const app = express();

app.use(cors());

app.get('/data', function(req, res) {
  res.json({message: 'Hello from server!'});
});

app.listen(3000);
  • 客户端示例
    • 使用JavaScript发起跨域请求,例如使用 fetch API 或 XMLHttpRequest
    • 确保请求遵守CORS规则。

示例:
使用 fetch 发起一个GET请求。

fetch('https://api.example.com/data')
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error(error));
5. CORS的最佳实践
  • 使用严格但必要的 Access-Control-Allow-Origin 配置。
  • 对于预检请求,合理设置 Access-Control-Allow-MethodsAccess-Control-Allow-Headers
  • 考虑使用 Access-Control-Max-Age 减少预检请求频率。

示例:
在服务端响应中设置CORS头部。

app.options('/data', function(req, res) {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization, X-Requested-With');
  res.status(200).send('');
});
6. CORS的安全考量
  • 确保 Access-Control-Allow-Origin 不被滥用,避免安全风险。
  • 限制敏感操作的跨域访问。

示例:
限制允许的源,并禁用凭证传输。

app.use(cors({
  origin: 'http://example.com',
  credentials: false
}));
DebugDiver代码深处潜水员
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域资源共享 CORS 详解
09-02
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
[SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例.rar
11-30
总结,这个"SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例"旨在帮助开发者理解并实践CORS在SpringBoot后端和Ajax前端中的应用,解决跨域问题,提升Web应用的开发效率和用户体验。通过学习和运行这个样例...
跨域资源共享Cors
m_iNoError的博客
04-14 687
跨域资源共享Cors CORS是什么 跨域资源共享CORS,Cross-origin resource sharing),是W3C标准,是一种机制,它使用额外的HTTP头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 http://localhost:9000请求http://localhost:8761/eureka/...
「 典型安全漏洞系列 」10.跨域资源共享CORS漏洞详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-06 1873
跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发跨域攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。
Spring Boot:跨域资源共享CORS
kaven
02-10 702
跨源资源共享(Cross-origin resource sharing,CORS)是大多数浏览器实现的W3C规范,它允许以灵活的方式指定授权的跨域请求类型,而不是使用一些不太安全、功能也不太强大的方法,如IFRAME或JSONP。 CORS需要浏览器和服务器同时支持。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会感知到这些附
跨域资源共享 CORS
kanweilai2019的博客
01-04 402
跨源资源共享标准通过新增一系列 HTTP 头,让服务器能声明那些来源可以通过浏览器访问该服务器上的各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源)。另外,对那些会对服务器数据造成破坏性影响的 HTTP 请求方法(特别是 GET 以外的 HTTP 方法,或者搭配某些MIME类型的POST请求),标准强烈要求浏览器必须先以 OPTIONS 请求方式发送一个预请求(preflight request),从而获知服务器端对跨源请求所支持 HTTP 方法。在确认服务器允许该跨源请求的情况下,以实
跨域资源共享CORS详解及常见错误解决方案
ZTao-z的博客
06-29 3816
cors详解与常见错误解决方案介绍
跨域资源共享CORS漏洞
热门推荐
LuckySec
08-22 1万+
0x01 漏洞简介 跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。 这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击
跨域资源共享cors详解
u010772819的博客
09-26 290
http://www.ruanyifeng.com/blog/2016/04/cors.html
CORS 跨域资源共享
sekever的博客
04-03 574
浏览器一般使用 CORS跨域资源共享)来处理跨域问题。同源导致了不同源数据不能互相访问,而在开发中我们很多时候需要用第一个页面的脚本访问第二个页面里的数据,所以制定了一些允许跨域的策略。
跨域资源共享 CORS 详解( 阮一峰)
红尘紫陌博客
04-02 4816
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,...
跨域资源共享CORS协议介绍
03-07
跨域资源共享CORS)是一种安全机制,允许一个域(网站)上的Web应用访问另一个域上的资源。随着Web应用变得越来越复杂,为了增强用户体验,经常需要在一个域名下发起对另一个域名的HTTP请求。CORS的出现解决了...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
MySQL使用ssl连接,java通过ssl连接数据库
weixin_42564451的博客
07-08 2622
java 通过ssl连接数据库MySQL使用ssl连接,java通过ssl连接数据库MySQL驱动与MySQL版本的关系什么是SSL?MySQL5.7.34 ssl配置文件和参数MySQL服务器端配置ssl配置java环境通过ssl连接数据修改yml文件中jdbc连接url MySQL使用ssl连接,java通过ssl连接数据库 用了一天的时间去解决这个问题,事情要从一个异常开始说起。当我把项目war包部署到阿里云服务器上,启动后一开始出现了PKIX path building failed: sun.s
controller控制层接收前端json数据举例说明
weixin_42564451的博客
11-10 2079
controller控制层接收前端json数据举例说明json中数据含有多个json中包含单个数据时 json中数据含有多个 {"deviceName":"资产名称","deviceIp":"192.168.13.34","riskNumber":"90","deviceType":"shanghai","deviceFactory":"海康威视","model":"ipcamera","edition":"dcs-932lb1","os":"linux kernel","vulNumber":"13","
Java 中的事务管理
weixin_42564451的博客
08-02 1557
事务是数据库管理系统中一组逻辑操作单元,这些操作要么全部执行成功,要么全部失败。
JDBC深度剖析、在Java中的应用及优化
最新发布
weixin_42564451的博客
08-15 1266
JDBC为Java应用提供了统一的数据库访问方式,Spring和Spring Boot在此基础上提供了更高级的抽象和便利。
Spring Boot 应用中的事务管理与 Feign 调用问题分析及解决
weixin_42564451的博客
08-02 881
在微服务架构下,遇到这样的场景:一个服务需要调用另一个服务的接口来进行一系列操作,而这些操作又需要保证事务的一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值