浏览器安全策略 & CORS

最新推荐文章于 2024-06-11 09:48:54 发布
最新推荐文章于 2024-06-11 09:48:54 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 前端 文章标签: 前端 http javascript
原文链接:https://blog.csdn.net/huangyilinnuli/article/details/118874626
版权

CORS全称Cross-Origin Resource Sharing, 即跨域资源共享,是一个由一系列HTTP头组成的系统,这些HTTP头决定浏览器是否阻止前端javascript代码获取跨域请求的响应。为什么需要CORS ? 这是因为浏览器存在同源安全策略,当我们在当前域请求另外一个域的资源时,浏览器默认会阻止脚本读取它的响应,这时CORS就有了用武之地。

同源策略

同源策略是浏览器的一个重要的安全策略,它用于限制一个源的文档或其加载的脚本如何与另外一个源进行交互,它能够隔绝恶意文档,减少被攻击的媒介。

同源的定义

如果两个URL的协议、主机名和端口号都是相同的,那么这两个URL就是同源的,

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
https://store.company.com/secure.html非同源协议不同
http://store.company.com:81/dir/etc.html非同源端口号不同
http://news.company.com/dir/other.html非同源主机名不同

也就是说当在http://store.company.com/dir/page.html这个网站中向https://store.company.comhttp://store.company.com:81http://news.company.com三个地址发起AXJX请求都会失败并且会报跨域的错误。这就是浏览器的同源策略,只能访问同源的数据。

源的修改

实际上,在一个源下可以修改当前源,比如在http://hello.word.com/index.html下,有一个脚本执行了以下语句:

document.domain = 'word.com'

   
   

   
   
  • 1

那么当前网站能与http://word.com通过同源检测,即允许访问http://word.com的数据。需要注意的是document.domain只能设置为当前域的父域, 并且在设置之后,端口号会变成null,例如还是在http://hello.word.com/index.html下执行以下语句会失败:

document.domain = 'hello2.word.com'

   
   

   
   
  • 1

跨源网络访问

事实上,不是所有跨源操作都被禁止。跨源操作主要分为三大类,跨源写操作跨源资源嵌入跨源读操作

  • 跨源写操作一般是被允许的。如超链接、重定向、表单提交。
  • 跨源资源嵌入一般也是被允许的。如嵌入<img /><video /><audio />等。
  • 跨源读操作不被允许,要实现跨源读操作,可以使用JSONPCORS

跨源访问

跨域(跨源)的解决方案主要有两种,JSONPCORS, 当然还可以是代理或者反代理的手段。

JSONP

JSONP是一种hack,并不是一种官方解决跨域的手段,JSONP只能进行GET请求。它主要是利用<script>标签来发起请求,来达到突破浏览器同源策略的目的。

<html>
  <head>
    <title>JSONP</title>
  </head>
  <body>
    <script>
      function myCallback(res) {
        console.log("result:", res);
      }
    </script>
    <!-- 发起请求 -->
    <script src="http://localhost:8080/getData?callback=myCallback"></script>
  </body>
</html>

   
   

   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

后端服务实现:

const http = require('http');

var data = {
name: ‘BruceLee’,
password: ‘123456’
};

const server = http.createServer((request, response) => {
console.log(‘url:’, request.url)
if (request.url.startsWith(’/getData’)) {
// 取到callback参数
const callbackFn = request.url.split(’=’)[1];
response.writeHead(200, {
‘Content-Type’: ‘application/json;charset=utf-8’
});

    <span class="token comment">// 返回一段 JavaScript 代码</span>
    response<span class="token punctuation">.</span><span class="token function">end</span><span class="token punctuation">(</span><span class="token template-string"><span class="token template-punctuation string">`</span><span class="token interpolation"><span class="token interpolation-punctuation punctuation">${<!-- --></span>callbackFn<span class="token interpolation-punctuation punctuation">}</span></span><span class="token string">(</span><span class="token interpolation"><span class="token interpolation-punctuation punctuation">${<!-- --></span><span class="token constant">JSON</span><span class="token punctuation">.</span><span class="token function">stringify</span><span class="token punctuation">(</span>data<span class="token punctuation">)</span><span class="token interpolation-punctuation punctuation">}</span></span><span class="token string">)</span><span class="token template-punctuation string">`</span></span><span class="token punctuation">)</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span>

});

server.listen(8080, () => {
console.log(‘The server is running at http://localhost:8080’);
});

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

其原理非常简单:

  1. 前端使用<script>http://localhost:8080/getData?callback=myCallback(这里的url携带callback参数是为了告诉后端,前端回调函数的名字是myCallback)请求一个js脚本,其实就是一段字符串。
  2. 后端取到它的callback参数,然后返回 myCallback({name: 'BruceLee',password: '123456'})
  3. 前端script标签在拿到脚本后自然会执行脚本,也就是执行myCallback({name: 'BruceLee',password: '123456'}),所以会调用myCallback函数。

CORS

前文已指出:CORS是一套跨域资源共享机制,它基于HTTP头实现。那么什么场景需要用到CORS? 它具体是怎样工作?又使用了哪些HTTP头?

用到CORS的场景

有四类场景需要用到CORS,

  1. 使用XMLHttpRequestFetch 发起的跨源 HTTP 请求。
  2. Web 字体 (CSS 中通过 @font-face使用跨源字体资源)。
  3. WebGL 贴图。
  4. 使用 drawImage 将 Images/video 画面绘制到 canvas。
CORS工作过程

CORS对那些可能对服务器数据产生副作用的请求需要在请求之前发送一个OPTIONS预检请求,从而获知服务器是否允许该跨源请求。我们这里把那些 ‘不需要发预检请求’ 的请求称为简单请求,满足以下条件的请求被称为简单请求。

  1. 使用GETHEADPOST
  2. 请求头仅包含允许人为设置的在Fetch规范定义的对CORS安全的字段集合。该集合为:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type (值仅限于text/plain, multipart/form-data,application/x-www-form-urlencoded
  3. 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;
  4. 请求中没有使用 ReadableStream 对象。

简单请求会直接发起请求,请求头会携带origin表明当前源,响应头需要返回Access-Control-Allow-Origin: *, *通配符表示允许任何源请求数据,可以使用具体的值来限制访问数据的源,比如当为Access-Control-Allow-Origin: http://foo.example,则表示只允许http://foo.example这个域访问数据。必须注意:当xhr请求设置withCredentials为true,即请求携带cookies时,Access-Control-Allow-Origin的值不能为*,必须为具体的某个域, 而且响应头还必须存在Access-Control-Allow-Credentials: true,否则请求会失败。

与简单请求不同,“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知浏览器是否允许该请求。

首先在预检请求头中使用

Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

 
 

 
 
  • 1
  • 2
  • Access-Control-Request-Method 告知服务器,实际请求将使用 POST 方法。
  • Access-Control-Request-Headers 告知服务器,实际请求将携带两个自定义请求首部字段:X-PINGOTHERContent-Type。服务器据此决定,该实际请求是否被允许。

预检请求响应头会包含:

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400

 
 

 
 
  • 1
  • 2
  • 3
  • 4
  • Access-Control-Allow-Methods表明服务器允许客户端使用 POST, GET 和 OPTIONS 方法发起请求。
  • Access-Control-Allow-Headers 表明服务器允许请求中携带字段 X-PINGOTHERContent-Type
  • Access-Control-Max-Age 表明该响应的有效时间为 86400 秒,也就是 24 小时。在有效时间内,浏览器无须为同一请求再次发起预检请求。请注意,浏览器自身维护了一个最大有效时间,如果该首部字段的值超过了最大有效时间,将不会生效。
CORS HTTP头

上面已经介绍了一些用于CORS的HTTP头,下面再简单归纳一下:

CORS HTTP 请求头字段

  • Origin字段表明预检请求或实际请求的源站。
  • Access-Control-Request-Method用于预检请求。其作用是,将实际请求所使用的 HTTP 方法告诉服务器。
  • Access-Control-Request-Headers 用于预检请求。其作用是,将实际请求所携带的首部字段告诉服务器。

CORS HTTP 响应头字段

  • Access-Control-Allow-Origin 值指定了允许访问该资源的外域 URI。
  • Access-Control-Expose-Headers在跨源访问时,XMLHttpRequest.getResponseHeader()方法只能拿到一些最基本的响应头,Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma,如果要访问其他头,则需要服务器设置本响应头。
  • Access-Control-Max-Age头指定了预检请求的结果能够被缓存多久。
  • Access-Control-Allow-Credentials,当请求的credentials设置为true时是否允许浏览器读取response的内容。当用在对preflight预检测请求的响应中时,它指定了实际的请求是否可以使用credentials。
  • Access-Control-Allow-Methods字段用于预检请求的响应。其指明了实际请求所允许使用的 HTTP 方法。
  • Access-Control-Allow-Headers字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段。

参考文档

跨资源共享

我是一只蘑菇17
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
SpringBoot配置Cors解决跨域请求问题
weixin_42571463的博客
12-28 393
一、同源策略简介 再此声明来源于:https://www.cnblogs.com/yuansc/p/9076604.html 这里供自己学习参考。 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略浏览器安全的基石。 什么是源 源[origin]就是协议、域名和端口号。例如:http://www.baid...
Nginx配置跨域(CORS
热门推荐
weixin_44273388的博客
04-15 5万+
nginx的跨域配置
关于Spring Security的CORS
最新发布
寻码启示
06-11 1300
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
cors基础,响应设置
qq_57057576的博客
08-09 2330
服务端设置 Access-Control-Allow-Origin 就可以开启 CORS,该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。CORS 需要浏览器和后端同时支持,浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端,只要后端实现了 CORS,就实现了跨域。(与cors相关的响应,都是以 access-control-allow开的响应)根据 请求和请求方式 的不同,cors请求分为 简单请求和预检请求。...
spring boot项目 CORS设置
Miss M
04-30 1450
1.全局配置 这个类要和接口在同一个目录下 package com.example.tunnel; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.spring...
Chrome CORS 安全策略解决方案
qq_42881675的博客
07-06 1609
谷歌 CORS 安全策略解决方案 针对莫能臣前端同事的日志。 问题 谷歌在 80 版本的时候使用了 HTTP 响应属性 SameSite,它用于声明 Cookie 是否仅限于第一方或者同一站点上下文中。 简单地说,SameSite 决定了跨域时 Cookie 是否能够存储。 按理说这是后端的事,让后端加响应就行了,但是 这个属性在非 https 协议时是强制开启的。 这就很麻烦了,线下搞个 https 成本太高。 Chrome 在 80 ~ 91 版本时,可以修改浏览器配置关闭此功能。91 版本后浏览器
appscan-安全扫描(测试)问题修复
twobun的博客
02-19 624
禁用TLS 1.0: 在SSL配置块中,找到 ssl_protocols 指令,并将其设置为只允许更安全的TLS版本,例如TLS 1.1、TLS 1.2和/或TLS 1.3。删除或注释掉 SSLv3 和 TLSv1 部分,以禁用TLS 1.0。下载的文件放入webapps/geoserver/WEB-INF/lib/ 然后重启geoserver。对api进行加密,geoserver进行加密。修改响应状态码为500。前端打包去掉这个文件。
cors-filter-2.5.jar
09-07
CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源安全策略限制。 在描述中提到,“解决java web应用跨域问题”,这指的是当JavaScript尝试从一个域名访问另一...
CORS Scanner工具
02-21
CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种网络浏览器安全策略,用于限制网页脚本从不同源获取资源的能力。CORS Scanner工具是专门针对这一机制进行检测和分析的软件或插件,它帮助开发者检查并...
跨域cors扩展插件chrome
12-13
需要注意的是,虽然这样的插件在开发阶段非常实用,但不应该在生产环境中依赖它,因为真实的用户不会拥有这个插件,而且为了安全和合规性,正确的做法是服务器端正确设置CORS策略。 总的来说,"跨域cors扩展插件...
cors跨域包
01-19
跨域是浏览器的一种安全策略,限制了JavaScript只能与同一源(协议+域名+端口)的服务器进行通信。然而,有时我们需要在不同源之间进行交互,比如前端应用从API服务器获取数据,这时就需要用到CORSCORS是一种W3C...
Spring security 框架
m0_58203725的博客
11-10 413
关于Spring Security学习及搭建过程的详解 该内容仅是自己对Spring Security的一些理解,如有不足,请多指点
HTTP 请求CORS 跨域请求详解
ili_ii的博客
02-24 5097
它也是一个逗号分隔的字符串,表明服务器支持的所有信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
CORS的理解以及Spring Boot的配置方式
海纳百川
02-06 3915
理解CORS 跨域访问其实是很正常的,比如,如果页面应用了CDN服务的资源,CDN资源的域名和后台服务器肯定不同,所以跨域没有什么问题。那为什么浏览器要提示: 已拦截跨源请求:同源策略禁止读取位于 http://xxxxx.com/account/cors 的远程资源。(原因:CORS 缺少 ‘Access-Control-Allow-Origin’)。 这主要是浏览器出于对安全的
同源策略与cros
南浦
01-26 244
同源策略与cros 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能。可以说Web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现。实际上同源策略浏览器上实现的更为完善.然后在小程序和一系列以浏览器为底的app(h5+webkit)也是要实现同源策略.可以说同源策略和在同源策略上实现的cros,是当今互联网的基石.然而正如同那个预言一样,鱼在水中,却很难感受不到水的存在.在平时的开发,我们几乎感受不到他的存在.我也是偶尔会代码的时候回复制一句Ac
Spring 设置跨源资源共享(CORS)
谈谈1974
03-27 1595
文章目录背景1. Spring 解决方式:设置 CORS2. CORS 的前世今生2.1 CSRF 跨站请求伪造漏洞2.2 浏览器同源策略的产生2.3 跨源资源共享 CORS 的实现2.3.1 简单请求2.3.2 预检请求 背景 新起的项目需要前后端对接,联调时前端浏览器窗口请求后端接口出现异常,浏览器控制台报出以下信息。由于当前主流的前后端分离架构,前端项目和后端项目通常不在同一个站点,所以在浏览器上很容易出现这个问题 has been blocked by CORS policy: No 'Acc
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 579
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
Moesif Origin & CORS Changer
07-15
Moesif Origin & CORS Changer是一个用于浏览器的扩展程序,可以帮助解决跨域资源共享(CORS)问题。CORS是一种浏览器安全机制,用于限制跨域请求,以防止恶意网站进行跨站点攻击。然而,有时候我们在开发或测试过程中需要进行跨域请求,这时候Moesif Origin & CORS Changer就可以派上用场了。 该扩展程序可以模拟允许特定源或URL进行跨域请求,从而解决浏览器默认的CORS限制。它允许您在浏览器设置自定义的请求和其他CORS相关参数,以便在开发环境中进行跨域请求。 请注意,Moesif Origin & CORS Changer只是一个开发工具,不建议在生产环境中使用。在部署到真实环境之前,建议正确配置服务器端的CORS策略。 如果您需要更多关于Moesif Origin & CORS Changer的详细信息,建议您查阅官方文档或者在相关开发社区进行咨询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值