【跨源资源共享(CORS】

最新推荐文章于 2024-09-15 23:08:29 发布
最新推荐文章于 2024-09-15 23:08:29 发布
阅读量333 收藏
点赞数
文章标签: http java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43177627/article/details/124784224
版权

学习目标:

了解CORS

学习内容:

跨源资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。

跨源HTTP请求的一个例子:运行在 https://domain-a.com 的 JavaScript 代码使用 XMLHttpRequest 来发起一个到 https://domain-b.com/data.json 的请求。

出于安全性,浏览器限制脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest 和 Fetch API 遵循同源策略。这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源,除非响应报文包含了正确 CORS 响应头。

–跨源域资源共享(CORS)机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequest 或 Fetch)使用 CORS,以降低跨源 HTTP 请求所带来的风险。

何为跨资源:域名不同、协议不同、端口号不同(一样不同即为跨资源)
有好几种方法设置CORS,我们来一一介绍。

使用@CrossOrigin
第一种方法是使用@CrossOrigin注解,可以在@RestController的class级别或方法级别定义一个@CrossOrigin,例如:

@CrossOrigin(origins = "http://local.liaoxuefeng.com:8080")
@RestController
@RequestMapping("/api")
public class ApiController {
    ...
}

上述定义在ApiController处的@CrossOrigin指定了只允许来自local.liaoxuefeng.com跨域访问,允许多个域访问需要写成数组形式,例如origins = {“http://a.com”, “https://www.b.com”})。如果要允许任何域访问,写成origins = "*"即可。

如果有多个REST Controller都需要使用CORS,那么,每个Controller都必须标注@CrossOrigin注解。

使用CorsRegistry
第二种方法是在WebMvcConfigurer中定义一个全局CORS配置,下面是一个示例:

@Bean
WebMvcConfigurer createWebMvcConfigurer() {
    return new WebMvcConfigurer() {`在这里插入代码片`
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/api/**")
                    .allowedOrigins("http://local.liaoxuefeng.com:8080")
                    .allowedMethods("GET", "POST")
                    .maxAge(3600);
            // 可以继续添加其他URL规则:
            // registry.addMapping("/rest/v2/**")...
        }
    };
}

这种方式可以创建一个全局CORS配置,如果仔细地设计URL结构,那么可以一目了然地看到各个URL的CORS规则,推荐使用这种方式配置CORS。

使用CorsFilter
第三种方法是使用Spring提供的CorsFilter,我们在集成Filter中详细介绍了将Spring容器内置的Bean暴露为Servlet容器的Filter的方法,由于这种配置方式需要修改web.xml,也比较繁琐,所以推荐使用第二种方式。

某些请求不会触发 CORS 预检请求。本文称这样的请求为“简单请求”,请注意,该术语并不属于 Fetch (其中定义了 CORS)规范。若请求 满足所有下述条件,则该请求可视为“简单请求”:

使用下列方法之一:
GET
HEAD
POST

预检请求
与前述简单请求不同,“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。

如下是一个需要执行预检请求的 HTTP 请求:

const xhr = new XMLHttpRequest();
xhr.open(‘POST’, ‘https://bar.other/resources/post-here/’);
xhr.setRequestHeader(‘X-PINGOTHER’, ‘pingpong’);
xhr.setRequestHeader(‘Content-Type’, ‘application/xml’);
xhr.onreadystatechange = handler;
xhr.send(‘Arun’);
Copy to Clipboard
上面的代码使用 POST 请求发送一个 XML 文档,该请求包含了一个自定义的请求首部字段(X-PINGOTHER: pingpong)。另外,该请求的 Content-Type 为 application/xml。因此,该请求需要首先发起“预检请求”。

跨源资源共享CORS)策略
ZJQ的博客
07-23 177
CORS策略通过服务器配置的HTTP响应头来控制哪些跨域请求被允许。这既保护了网站资源不被恶意访问,也允许了合法的跨域请求,从而促进了Web应用之间的数据共享和交互。在配置CORS策略时,需要权衡安全性和灵活性,避免过度开放资源访问权限。
跨源资源共享CORS
norang的博客
05-24 317
15.2 跨源资源共享CORS) XHR 是一个浏览器层面的 API,向我们隐藏了大量底层处理,包括缓存、重定向、 内容协商、认证,等等。这样做有两个目的。第一,XHR 的 API 因此非常简单,开发人员可以专注业务逻辑。其次,浏览器可以采用沙箱机制,对应用代码强制施加 一套安全限制。 XHR 接口强制要求每个请求都严格具备 HTTP 语义:应用提供数据和 URL,浏览器格式化请求并管理每个连接的完整生命周期。类似地,虽然 XHR API 允许应用添加自定义的 HTTP 首部(通过 setRequestH
透彻理解跨域资源共享(CORS)
2201_75632987的博客
09-15 1459
透彻理解跨域资源共享(CORS)
SpringBoot 处理CORS跨域问题
Groople的专栏
03-06 588
在开发REST应用时,很多时候,是通过页面的JavaScript和后端的REST API交互。 在JavaScript与REST交互的时候,有很多安全限制。默认情况下,浏览器按同源策略放行JavaScript调用API,即: 如果A站在域名a.com页面的JavaScript调用A站自己的API时,没有问题; 如果A站在域名a.com页面的JavaScript调用B站b.com的API时,将被浏览器拒绝访问,因为不满足同源策略。 同源要求域名要完全相同(a.com和www.a.com不
跨源资源共享
weixin_44019875的博客
07-20 215
Cors 跨源资源共享跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头 一些非简单请求方法(get/head/post)都需要一个预检请求option 来确定服务器是否可以发送请求。服务器也可以通过预检请求
Python-TheftFuzzer是一种工具可以模拟跨源资源共享CORS实现中常见的错误配置
08-10
Python-TheftFuzzer 是一个专门针对跨源资源共享(Cross-Origin Resource Sharing,简称CORS)实现错误配置进行检测的工具。CORS 是一种Web安全机制,允许浏览器在某些情况下从不同源加载资源,以放宽同源策略的限制...
跨域资源共享 CORS 详解
09-02
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
play-cors:对 Play 的跨源资源共享 (CORS) 支持
06-26
对 Play 的跨源资源共享 (CORS) 支持 实现跨源资源共享 (CORS) 的可配置过滤器和操作构建器。 请参阅完整的。 请参阅。 设置 play-cors 是为 Play 2.3.x 以及 Scala 2.10.x 和 2.11.x 构建的。 Bintray 提供了二...
JavaScript:CORS跨源资源共享
山水子农
06-07 2784
XHR的一个主要约束是同源策略,即:相同域、相同端口、相同协议,可以通过跨域资源共享CORS(Cross-Origin Resourse Sharing)实现跨域资源共享。其基本思想是通过自定义HTTP头让浏览器与服务器沟通,从而决定请求或响应是应该成功还是失败。发送get/post请求时,给它添加一个额外的Origin头部,其中包含请求页面的源信息(协议,域名和端口),以便服务器根据这个头部信息
跨来源资源共享CORS
Delion
05-19 1134
跨来源资源共享 跨来源资源共享CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略[1],是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSO
JavaScript】跨源资源共享CORS和其他跨域技术(Comet、JSONP、SSE、Web Sockets)
季诗筱的博客
05-30 4486
通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况下XHR对象只能访问与包含它的页面位于同一个域中的资源,这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求也是很重要的。一、CORS跨源资源共享CORS(Cross-Origin Resource Sharing),跨源资源共享,是W3C的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器该如何沟通。其背后的基本思想
跨源资源共享 (解决跨域问题)
sinat_55275851的博客
09-15 788
跨源资源共享 (解决跨域问题)
CORS -- 跨源资源共享(待补充)
HH_beibei的博客
01-10 245
例如,如果一个网站的资源位于https://haha.com,那么它就不能发出对https://xixi.com的请求,除非xixi.com允许跨域请求。同源限制指定Web服务器应该允许在网页上允许的脚本访问来自网页的源(托管网页的服务器的域名、协议和端口号)的数据,但应阻止脚本访问来自不同源的数据。如果服务器允许这个请求,他会发送一个状态码为200的响应,并在响应中发送Access-Control-Request-Method头,表示允许的方法列表。如果我们的请求是非同源的,将会受到以下限制。
浏览器材阻止了跨源资源共享CORS)怎么设置
最新发布
09-30
当浏览器阻止跨源资源共享(Cross-Origin Resource Sharing,简称CORS)时,通常是因为当前网页(源站)试图从其他域名获取资源,而这通常是出于安全考虑,防止恶意网站滥用。为了设置允许特定源访问,你需要在服务器端,特别是那些提供API服务的服务器上进行配置。以下是常见的几种情况下的设置方法: 1. **HTTP响应头设置**: 对于使用HTTP的服务器(例如Node.js的Express框架),可以在`response headers`里添加`Access-Control-Allow-Origin`字段。例如: ```javascript res.header('Access-Control-Allow-Origin', 'http://example.com'); ``` 这会允许来自'http://example.com'的请求。 2. **JSONP支持**: 如果你想支持跨域GET请求,可以使用JSONP(JSON with Padding)。服务器端在响应时包含一个预先约定的函数名(比如`callback`)作为包裹,客户端再解析出来。 3. **代理转发**: 如果你的服务器是基于HTTPS,可以设置一个代理服务器(例如Nginx),它可以从任意来源获取资源,然后转给目标服务器。 4. **CORS中间件**:许多现代Web框架提供了支持CORS的库,如Spring Boot的CORS配置或Django的corsheaders库。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值