跨域资源请求-----CORS

最新推荐文章于 2022-03-20 00:35:36 发布
最新推荐文章于 2022-03-20 00:35:36 发布
阅读量271 收藏 1
点赞数
分类专栏: 自学笔记 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43160001/article/details/99064569
版权

1.概念:

支持CORF请求的浏览器一旦发现ajax请求跨域,会对请求做一些特殊处理,对于已经实现CORS接口的服务器,接受请求,并作出回应。

2.特殊情况:

如果发送的跨域请求为"非简单请求",浏览器会在发出此请求之前首先发送一个请求类型为OPTION的"预检请求",验证请求源是否为
服务端允许源,这些对于开发者来说是感觉不到的,由浏览器代理。

2-1.简单请求:

	*请求方法:HEAD GET POST
	*HTTP的头部信息不超过以下几种字段:Accept 
									Accept-Language 
									Content-Language 
									Last-Event-ID 
									Content-Type:application/x-www-form-urlencoded、multipart/form-data、text/plain
	*浏览器判断跨域为简单请求时候,会在Request Header中添加Origin(协议+域名+端口)字段,表示我们的请求源,CORS服务端会将该字段
	 作为跨域标志。
	 CORS接受到此次请求后,首先会判断Origin是否在允许源(由服务端决定)范围之内,如果验证通过,服务端会在Response Header添加
	 Access-Control-Allow-Origin、Access-Control-Allow-Credentials等字段。
	 Access-Control-Allow-Origin:表示服务端允许的请求源
	 Access-Control-Allow-Credentials:表示是否允许发送Cookie
	 浏览器收到Response后会判断自己的源是否存在Access-Control-Allow-Origin允许源中,如果不存在会抛出"同源检测异常"
	
	*总结:简单请求只需要CORS服务端在接受到携带Origin字段的跨域请求后,在response header中添加Access-Control-Allow-Origin
		  等字段给浏览器做同源判断。

2-2.非简单请求

	*不满足以上简单请求特征的请求为"非简单请求"。
	*进行非简单请求时候,浏览器会首先发出类型为OPTION的"预检请求",请求地址相同,CORS服务端对"预检请求"处理,并对Response Header
	 添加验证字段,客户端接受到预检请求的返回值进行一次预检判断,验证通过后,主请求发起。

3.核心:客户端不需要对跨域请求做任何特殊处理。

绝境羔羊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS和CSRF--学习笔记
weixin_45951911的博客
12-04 3895
一、CORS 和 CSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服
Django之CORF跨域请求设置
yunlibiqing的博客
11-03 706
安装 pip install django-cors-headers 注册应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 注册中间件 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 添加跨域请求白名单 # CORS CORS_ORI...
安全之同源策略、CSRF 和 CORS
lpq1201的博客
03-21 359
同源策略 SOP 同源策略(Same-origin policy,简称 SOP) 跨站请求伪造(Cross-site request forgery,简称 CSRF) 跨域资源共享(Cross-Origin Resource Sharing,简称 CORS) 先解释何为同源:协议、域名、端口都一样,就是同源。 你之所以会遇到 跨域问题,正是因为 SOP 的各种限制。但是具体来说限制了什么呢? 如果你说 SOP 就是“限制非同源资源的获取”,这不对,最简单的例子是引用图片、css、js 文件等资源的时候就允
Cors跨域资源请求详解
1
03-20 5279
介绍 Cors全称为“跨域资源共享”(Cross-origin resource sharing),是一个W3C标准,一种浏览器机制,可实现对位于应用程序域之外的资源的受控访问,对你的应用来源(域)之外的资源(比如图像或字体)的请求称为跨域请求。那么为什么会出现Cors呢,首先要了解到同源策略,同源策略(Sameoriginpolicy)简称SOP,是一种约定,同源策略限制了网站与源域(来源)以外的资源进行交互的能力,每当跨不同来源 (域)发出请求而没有跨来源配置时,服务器将报告错误。而Cors就是通过特
CORS与CSRF
weixin_34318272的博客
05-18 2061
为什么80%的码农都做不了架构师?>>> ...
cors-filter-2.5.jar
09-07
标题中的“cors-filter-2.5.jar”是一个Java Web应用程序使用的库,专门用于处理跨域资源共享(CORS)的问题。CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源...
跨域请求资源-jsonp和cors区别.pdf
最新发布
04-09
不同域之间相互请求资源,就算作“跨域”。 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,...
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域资源共享(CORS,Cross-Origin Resource Sharing)是W3C制定的一项标准,用于允许浏览器安全地进行跨域请求,以解决传统的同源策略限制。标题“TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter”提及...
npm-cors-proxy:NPM注册表的Cors代理
05-15
`npm-cors-proxy`作为NPM注册表的CORS代理,是前端开发者处理跨域问题的有效工具。它简化了与NPM注册表的交互,确保在开发环境中能够顺利进行包的搜索、安装和更新。了解并熟练使用这个工具,可以提高开发效率,特别...
django-cors-headers-3.0.2.tar.gz
01-03
**标题解析:** "django-cors-headers-3.0.2.tar.gz" 是一...综上所述,"django-cors-headers-3.0.2.tar.gz" 提供了一个强大的工具,帮助 Django 开发者轻松实现跨域请求的管理和安全性,确保 web 应用程序的正常运行。
探讨跨域请求资源的几种方式(总结)
11-29
跨域请求资源的几种方式,具体如下: 1.什么是跨域 2.JSONP 3.proxy代理 4.cors 5.xdr 由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表 JSONP 这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。 [removed] var _script = document.createElement('script'); _script.type = "text/javascript";
【全栈修炼】CORS和CSRF修炼宝典
ywb201314的专栏
05-15 192
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。 一、CORS 和 CSRF 区别 先看下图: CORS 和 CSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scri
探讨跨域请求资源的几种方式
weixin_33881041的博客
02-01 125
什么是跨域 JSONP proxy代理 cors xdr   由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表(来源)      JSONP   这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。 1 <...
跨域请求资源几种方式
lt_yl的博客
11-16 957
 什么是跨域JSONPproxy代理corsxdr      由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表(来源)    一 。JSONP形式   这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。       1
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
热门推荐
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
CORS跨域请求及实现机制
笑释一切的博客
01-03 1万+
一、什么是CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。只要服务器实现了CORS接口,就可以跨源通信。 CORS有两种请求,简单请求和非简单请求。 二、同源 跨域就等于从百度访问谷歌的资源,URL由协议、域名、端口和路径组...
cors跨域资源请求修复建议
05-23
跨域资源请求是指在一个域下的网页去请求另一个域下的资源,由于浏览器的同源策略,这种请求是会被禁止的。为了解决跨域问题,可以考虑以下几种方案: 1. JSONP:JSONP通过动态创建script标签,将需要获取的数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值