【跨源资源共享(CORS】

最新推荐文章于 2024-02-23 16:37:29 发布
最新推荐文章于 2024-02-23 16:37:29 发布
阅读量291 收藏
点赞数
文章标签: http java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43177627/article/details/124784224
版权

学习目标:

了解CORS

学习内容:

跨源资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。

跨源HTTP请求的一个例子:运行在 https://domain-a.com 的 JavaScript 代码使用 XMLHttpRequest 来发起一个到 https://domain-b.com/data.json 的请求。

出于安全性,浏览器限制脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest 和 Fetch API 遵循同源策略。这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源,除非响应报文包含了正确 CORS 响应头。

–跨源域资源共享(CORS)机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequest 或 Fetch)使用 CORS,以降低跨源 HTTP 请求所带来的风险。

何为跨资源:域名不同、协议不同、端口号不同(一样不同即为跨资源)
有好几种方法设置CORS,我们来一一介绍。

使用@CrossOrigin
第一种方法是使用@CrossOrigin注解,可以在@RestController的class级别或方法级别定义一个@CrossOrigin,例如:

@CrossOrigin(origins = "http://local.liaoxuefeng.com:8080")
@RestController
@RequestMapping("/api")
public class ApiController {
    ...
}

上述定义在ApiController处的@CrossOrigin指定了只允许来自local.liaoxuefeng.com跨域访问,允许多个域访问需要写成数组形式,例如origins = {“http://a.com”, “https://www.b.com”})。如果要允许任何域访问,写成origins = "*"即可。

如果有多个REST Controller都需要使用CORS,那么,每个Controller都必须标注@CrossOrigin注解。

使用CorsRegistry
第二种方法是在WebMvcConfigurer中定义一个全局CORS配置,下面是一个示例:

@Bean
WebMvcConfigurer createWebMvcConfigurer() {
    return new WebMvcConfigurer() {`在这里插入代码片`
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/api/**")
                    .allowedOrigins("http://local.liaoxuefeng.com:8080")
                    .allowedMethods("GET", "POST")
                    .maxAge(3600);
            // 可以继续添加其他URL规则:
            // registry.addMapping("/rest/v2/**")...
        }
    };
}

这种方式可以创建一个全局CORS配置,如果仔细地设计URL结构,那么可以一目了然地看到各个URL的CORS规则,推荐使用这种方式配置CORS。

使用CorsFilter
第三种方法是使用Spring提供的CorsFilter,我们在集成Filter中详细介绍了将Spring容器内置的Bean暴露为Servlet容器的Filter的方法,由于这种配置方式需要修改web.xml,也比较繁琐,所以推荐使用第二种方式。

某些请求不会触发 CORS 预检请求。本文称这样的请求为“简单请求”,请注意,该术语并不属于 Fetch (其中定义了 CORS)规范。若请求 满足所有下述条件,则该请求可视为“简单请求”:

使用下列方法之一:
GET
HEAD
POST

预检请求
与前述简单请求不同,“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。

如下是一个需要执行预检请求的 HTTP 请求:

const xhr = new XMLHttpRequest();
xhr.open(‘POST’, ‘https://bar.other/resources/post-here/’);
xhr.setRequestHeader(‘X-PINGOTHER’, ‘pingpong’);
xhr.setRequestHeader(‘Content-Type’, ‘application/xml’);
xhr.onreadystatechange = handler;
xhr.send(‘Arun’);
Copy to Clipboard
上面的代码使用 POST 请求发送一个 XML 文档,该请求包含了一个自定义的请求首部字段(X-PINGOTHER: pingpong)。另外,该请求的 Content-Type 为 application/xml。因此,该请求需要首先发起“预检请求”。

龇牙咧嘴是我本人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Python-TheftFuzzer是一种工具可以模拟跨源资源共享CORS实现中常见的错误配置
08-10
TheftFuzzer是一种工具,可以模拟跨源资源共享CORS实现中常见的错误配置
跨源资源共享CORS
诗渊的博客
07-27 6618
本博文中介绍了跨域的另一种思想:跨源资源共享CORS),介绍了CORS的基本的思想以及在IE和其他浏览器中的实现方法,最后给出了兼容各大浏览器的CORS的实现方法。
SpringBoot 处理CORS跨域问题
Groople的专栏
03-06 528
在开发REST应用时,很多时候,是通过页面的JavaScript和后端的REST API交互。 在JavaScript与REST交互的时候,有很多安全限制。默认情况下,浏览器按同源策略放行JavaScript调用API,即: 如果A站在域名a.com页面的JavaScript调用A站自己的API时,没有问题; 如果A站在域名a.com页面的JavaScript调用B站b.com的API时,将被浏览器拒绝访问,因为不满足同源策略。 同源要求域名要完全相同(a.com和www.a.com不
四、跨域问题——跨源资源共享
最新发布
Small__BUG的博客
02-23 1277
跨域问题(CORS),是在Web应用开发中,常见的问题内容。理解跨域的根因,对于问题的解决尤为重要。
跨源资源共享
weixin_44019875的博客
07-20 172
Cors 跨源资源共享跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头 一些非简单请求方法(get/head/post)都需要一个预检请求option 来确定服务器是否可以发送请求。服务器也可以通过预检请求
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
flask-cors:跨源资源共享CORS)对Flask的支持
04-28
烧瓶CORS Flask扩展,用于处理跨源资源共享CORS),使得跨源AJAX成为可能。 这个软件包有一个简单的理念:当您想要启用CORS时,您希望针对域中的所有用例启用它。 这意味着不会混用不同的允许的标头,方法等。 ...
play-cors:对 Play 的跨源资源共享 (CORS) 支持
06-26
对 Play 的跨源资源共享 (CORS) 支持 实现跨源资源共享 (CORS) 的可配置过滤器和操作构建器。 请参阅完整的。 请参阅。 设置 play-cors 是为 Play 2.3.x 以及 Scala 2.10.x 和 2.11.x 构建的。 Bintray 提供了二...
JavaScript:CORS跨源资源共享
山水子农
06-07 2730
XHR的一个主要约束是同源策略,即:相同域、相同端口、相同协议,可以通过跨域资源共享CORS(Cross-Origin Resourse Sharing)实现跨域资源共享。其基本思想是通过自定义HTTP头让浏览器与服务器沟通,从而决定请求或响应是应该成功还是失败。发送get/post请求时,给它添加一个额外的Origin头部,其中包含请求页面的源信息(协议,域名和端口),以便服务器根据这个头部信息
跨来源资源共享CORS
Delion
05-19 1103
跨来源资源共享 跨来源资源共享CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略[1],是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSO
JavaScript】跨源资源共享CORS和其他跨域技术(Comet、JSONP、SSE、Web Sockets)
季诗筱的博客
05-30 4401
通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况下XHR对象只能访问与包含它的页面位于同一个域中的资源,这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求也是很重要的。一、CORS跨源资源共享CORS(Cross-Origin Resource Sharing),跨源资源共享,是W3C的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器该如何沟通。其背后的基本思想
跨源资源共享 (解决跨域问题)
sinat_55275851的博客
09-15 622
跨源资源共享 (解决跨域问题)
CORS -- 跨源资源共享(待补充)
HH_beibei的博客
01-10 180
例如,如果一个网站的资源位于https://haha.com,那么它就不能发出对https://xixi.com的请求,除非xixi.com允许跨域请求。同源限制指定Web服务器应该允许在网页上允许的脚本访问来自网页的源(托管网页的服务器的域名、协议和端口号)的数据,但应阻止脚本访问来自不同源的数据。如果服务器允许这个请求,他会发送一个状态码为200的响应,并在响应中发送Access-Control-Request-Method头,表示允许的方法列表。如果我们的请求是非同源的,将会受到以下限制。
跨域资源共享问题 tomcat7.0配置CORS(跨域资源共享)
一名屌丝程序员的秘密花园
06-25 627
doGet/doPost 请求出现异常时,往往是这个问题 平时我们做前台页面时可能会遇到浏览器以下提示(浏览器控制台):     已阻止跨源请求:同源策略禁止读取位于 http://xxx.xxx.com 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin') 这种情况就是跨域请求被阻止,这样可能会导致当前网站的css、
跨域资源共享CORS
kalinara的博客
07-28 356
CORS (Cross-Origin Resource Sharing) 定义了访问跨域资源时,浏览器与服务器如何进行沟通。 其基本思想是: 使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定 请求/响应 是成功还是失败。当浏览器发送一个简单请求GET或POST时,会在头部附加一个Origin字段,用来说明请求页面的源信息(协议、域名、端口),以便服务器根据这个头部信息来决定是否给予响应。
服务器端配置支持跨域请求。具体方法可以参考跨域资源共享CORS)协议的相关文档。
06-08
CORS协议是一种跨源资源共享的机制,允许服务器端在响应中加入一些头部信息,从而让浏览器知道哪些源站是被允许访问的。具体配置方法如下: 1. 在服务器端设置响应头Access-Control-Allow-Origin,用于指定允许的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值