HTTP之跨域

最新推荐文章于 2024-07-24 09:17:42 发布
最新推荐文章于 2024-07-24 09:17:42 发布
阅读量1.4k 收藏 27
点赞数 39
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45364386/article/details/134819918
版权

HTTP之跨域

在这里插入图片描述

跨域(Cors)

Cors => 跨域资源共享

同源策略:端口、域名、协议
跨域构成的条件:

  • 端口不同
  • 协议不同
  • 域名不同

只要不同源

两种请求

简单请求

两个条件:

  1. 请求方法是:HEAD,GET,POST
  2. header中只能包含以下请求字段:
    1. Accpet
    1. Accpet-Language
    1. Conten-Language
    1. Content-Type(所指的媒体类型值仅仅限于下列三者之一)
        1. text/plain
        1. multipart/form-data
        1. application/x-www-form-urlencoded
浏览器不同的处理方式

对于简单请求来说,如果请求跨域,那么浏览器会放行让请求发出。浏览器会发出cors请求,并携带origin

GET/cors HTTP/1.1
Origin:http://www.baidu.com
Host:api.alice.com
Accept-Language:en-US
Connections:keep-alive
User-Agent:Mozilla/5.0
...

此时不管服务端返回的是什么,浏览器都会把返回拦截,并检查返回的responseheader中有没有Access-Control-Allow-Origin,这个头部信息的值通常为请求的Origin值,表示允许该来源的请求说明资源是共享的,可以拿到。

Access-Control-Allow-Origin: http://www.baidu.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin

该字段是必须的。
它的值要么是请求时Origin字段的值,要么是一个*,表示接收任意域名的请求。
如果Origin头部信息的值为*(表示允许来自任何来源的请求)但这种情况下需要谨慎使用,应为它存在安全隐患。如果没有这个头信息,说明服务端没有开启资源共享,浏览器会认为这次请求失败终止这次请求,并且报错。

Access-Control-Allow-Credentials

该字段可选。
它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求中。
设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器,这个值也只能设为true,如果服务器不需要浏览器发送Cookie,删除该字段即可。

withCredentials属性

CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发送到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段

Access-Control-Allow-Credentials:true
非简单请求

只要不满足简单请求的条件,都认为是非简单请求。

先发送OPTIONS 预检请求
OPTIONS请求按照简单请求的方式处理

目的:保护客户端的安全,防止不受信任的网站利用用户的浏览器向其他网站发送恶意请求。

  • Access-Control-Request-Method:告诉服务器实际发送的HTTP请求方法。
  • Access-Control-Request-Header:告诉服务器实际请求所携带的自定义的头部信息。
OPTIONS /resources/post-here/ HTTP/1.1
Host: bar.other
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://www.baidu.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

服务器根据以上信息决定,该请求是否被允许

服务器回应:
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
什么时候会触发OPTIONS(预检请求)呢?
  1. 跨域的时候:Access-Control-Request-Headers:X-PINGOTHER,Content-Type
  2. 发送跨域的时候:使用PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH等请求方法。

好啦~这就是今天的新知识点【跨域】,看到这里有一点点了解了吗?
加油丫,正在进步的友友们~
在这里插入图片描述

阿布爱可乐
关注
  • 39
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域访问-需要设置HTTP响应标头设置
05-05
解决跨域访问-需要设置HTTP响应标头设置
Delphi HttpServer跨域
04-03
Delphi HttpServer跨域 CustomHeadersStringList.Add('Access-Control-Allow-Origin:*'); AResponseInfo.CustomHeaders := CustomHeadersStringList;
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5117
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
解决Spring Cloud Zuul跨域时出现重复Access-Control-Allow-Origin或者Access-Control-Allow-Credentials
yang_yzl11的博客
10-31 4048
前端报错: XMLHttpRequest cannot load http://localhost:8080/serviceA/api/serviceA/1337?cacheBuster=1470925389167. The Access-Control-Allow-Origin header contains multiple values 'http://localhost:3000, http://localhost:3000', but only one is allowed. Origin
Access-Control-Allow-Credentials为true时Access-Control-Allow-Origin必须指定一个确定的域名
当个码农写bug
07-19 2万+
如果服务器端开启了Access-Control-Allow-Credentials为true,假设服务器端设置了Access-Control-Allow-Origin为* 那意味这将cookie开放给了所有的网站, 假设当前是A网站,并且在cookie里写入了身份凭证 用户同时打开了B网站, 那么B网站给A网站的服务器发的所有请求都是以A用户的身份进行的, 这将导致CSRF问题 那为啥只能指定一个呢??? ...
nginx设置跨域
df981011512的博客
04-02 4021
1.CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 当前几乎所有的浏览器(Internet Explorer 8+, Firefox 3.5+, Safari 4+和 Chrome 3+)都可通过名为跨域资源共享(Cross-Origi...
CORS跨域的原理
yan的秘密基地
05-04 1965
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种"跨域"请求。因此实现CORS的关键是服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Control-
cocos http跨域访问nodejs
04-27
在这个场景中,我们讨论的是如何利用Cocos2d-x进行HTTP跨域访问Node.js服务器。在Web开发中,跨域(Cross-Origin)是一个常见但有时棘手的问题,特别是在涉及到不同源之间的数据交换时。本文将深入探讨Cocos2d-x与...
Http跨域
04-23
Http跨域详解】 在Web开发中,"跨域"是一个常见的术语,它涉及到浏览器的安全策略,即同源策略(Same-Origin Policy)。同源策略限制了来自不同源(协议+域名+端口)的Web页面之间的交互,比如JavaScript无法直接...
详解AngularJS如何实现跨域请求
11-25
本文将详细讲解AngularJS中的$http服务如何实现跨域请求。 首先,我们来看AngularJS中的核心服务$http。它是一个基于XMLHttpRequest对象(XHR)的HTTP服务,用于与服务器进行异步数据交互。例如,我们可以使用$...
geoserver跨域
05-09
`cors-filter-2.4.jar` 是一个专门用于处理跨域请求的过滤器,它基于Servlet规范,能够拦截HTTP请求并在响应头中添加必要的CORS设置。这个过滤器是Geoserver实现跨域功能的关键组件。在Geoserver中集成`cors-filter-...
http中解决跨域的几种方法(代码实测)
码农小默
06-01 6887
一、概念 1.什么是跨域跨域是浏览器安全机制,其实就是说你请求访问的域名与ajax请求地址不一致,浏览器会直接无法返回请求结果。 二、跨域的例子展示 1.项目demotesta 1.1.目录结构 1.2.pom.xml <dependency> <groupId>javax.servlet</groupId> <artifa...
跨域问题:Access-Control-Allow-Origin
技匠而已
02-17 1万+
博客来源: 项目合作的时候,出现跨域访问,虽然种种迹象表明、跨域不安全、对于合作项目,来说跨域也不是不可 解决办法:【项目完结后将跨域取消即可】 修改跨域问题在Java后端解决 web.xml中 <filter> <filter-name>crossDomain</filter-name> <filter-class>online.wenmeng.filter.crossDomain</filter-class>.
HTTP----跨域解决方式
m0_58794378的博客
03-10 2327
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
跨域请求携带cookie需配置Access-Control-Allow-Credentials为true
时清云的博客
05-04 1万+
一、跨域请求携带cookie,需要配置以下三方面: 1.前端请求时在request对象中配置"withCredentials": true; axios({ withCredentials: true, // ++ method: "get", url: "http://localhost:8080/crosslist", }).then((res) => { console.log(res); }); 2.后端要在跨域服务端在res
跨域http header设置
yeshen.org
03-27 1万+
跨域http header设置 跨域本质上是为了安全。不展开讲细节了,分享一下实际写代码中遇到的问题 有几个点, 1,跨域是在服务器端设置的,服务器端没有设置,在服务器端的nginx设置也可以,要设置几个值: Access-Control-Allow-Origin:* Access-Control-Allow-Methods:"POST, GET, OPTIONS, DELETE" ...
@RequestParam和@PathVariable 处理 HTTP 请求参数的注解
最新发布
xiexf20230814的博客
07-24 600
可解析前端get请求路径后以问号拼接的参数,查询参数是 URL 后面的问号 (// 在这里,name 和 age 将从 URL 的查询参数中获取。将 URL 路径中的变量绑定到控制器方法的参数上。可以设置参数是否是必需的(使用。) 后跟的一系列键值对,
http跨域 https不跨域
09-07
HTTPHTTPS之间存在跨域问题,需要经过一定的处理才能进行跨域请求。引用[1]中提到,当使用不同的端口访问时,也属于跨域。而引用中的示例也说明了跨域的情况,如不同的域名、不同的端口、不同的二级域名都会导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值