Cross-Origin Resource Sharing 跨域资源共享研究心得

最新推荐文章于 2023-12-07 16:46:56 发布
最新推荐文章于 2023-12-07 16:46:56 发布
阅读量544 收藏
点赞数
分类专栏: ajax 文章标签: ajax cors 跨域ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wildchase/article/details/44997259
版权

现在的项目,要提供一个对外的接口给手机端浏览器访问,由于同域安全策略,浏览器会默认禁止js ajax对该跨域接口的访问,原本以为不能访问的。于是用chrome作为测试的浏览器,跨域访问该接口,发现实际上发送了一个http method为 options的请求到服务端,而请求中没有带上发送的body内容,反而有几个特殊的报文头添加到了http header中, 

Request Method:OPTIONS

Request Headersview source
Accept:*/*
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8
Access-Control-Request-Headers:b, a, content-type
Access-Control-Request-Method:DELETE
Connection:keep-alive
Host:localhost:8080
Origin:http://10.8.186.36:8080
Referer:http://10.8.186.36:8080/ajax/test.html
User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

通过在网上查找Access-Control-Request-Method ,发现了 Cross-Origin Resource Sharing 跨域资源共享,这个w3c 新标准,http://www.w3.org/TR/access-control
通过对该协议的了解了,发现,只要在options 请求的返回响应中,按照该标准进行验证,添加对应的resp header,
CORS最早的标准2008年发布,更新了多次,最新的标准是2014年发布,但是变化不大。andorid,ios浏览器都用的是开源 webkit核心,对这些标准的支持较好

分析该请求
request请求中多了
Access-Control-Request-Method:DELETE ,意思是,有一个DELETE http 请求申请通过
Access-Control-Request-Headers:b, a, content-type 意思是,该请求中带有不符合的 http标准的header头,b, a, content-type (在chrome 中有这个content-type,firefox却未出现,两浏览器准则有点不一样啊)

CORS response Header

通过CORS标准可以让该请求通过,
其中 Access-Control-Allow-Origin ,代表可以通过验证得域名
Access-Control-Allow-Credentials,true,false 允许携带用户认证凭据,(也就是是否允许cookie)
Access-Control-Allow-Methods , 允许通过的METHOD (DELETE , PUT,POST,GET,OPTIONS,)
Access-Control-Allow-Headers , 允许通过的requestHeader 用逗号隔开
Access-Control-Max-Age ,delta-seconds ,单位秒,该验证有效期限,超过期限,会重新发送(关闭chrome浏览器,重新打开该浏览器,也重发)
Access-Control-Expose-Headers,允许脚本访问的返回头,请求成功后,脚本可以在XMLHttpRequest中访问这些头的信息(貌似webkit没有实现这个)

通过CORS 规范,在对应servlet中 的 doOptions 方法下,返回如下,就可以通过CORS验证

<!DOCTYPE html>
<html>
  <head>
    <title>test.html</title>
    <meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
    <meta http-equiv="description" content="this is my page">
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <script type="text/javascript" src="jquery-2.1.3.js"></script>
    <script type="text/javascript">
        var _url= "http://10.8.186.36:8080/ajax/test";
        function sendHttp(){
            var url = _url+"?t="+new Date().getTime();
            $.ajax({
                url:url,
                method:"PUT",
                data:{a:1},
                success:function(data){
                    document.getElementById("show").innerHTML = data.time;
                },
                error:function(){
                    document.getElementById("show").innerHTML = 'error';
                }
            })
        }
    </script>
  </head>

  <body>
    <form action="">
        <textarea id="send" rows="10" cols="50" id="test"></textarea> <br/>
        <input id="sendBtn" type="button" value="提交" onclick="sendHttp();"/>
        <input type="reset" value="重置" /><br/>
        <textarea id="show" rows="10" cols="50" ></textarea><br/>
    </form>
  </body>
</html>
package com;

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Enumeration;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class Test extends HttpServlet{

    private static final long serialVersionUID = 7853578899281716909L;

    public void doService(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {
        Enumeration en = req.getHeaderNames();
        while(en.hasMoreElements()){
            String name = (String) en.nextElement();
            System.out.println(name+"ďźš" + req.getHeader(name));
        }
        SimpleDateFormat sdf = new SimpleDateFormat("yyyyMMddHHmmss");
        String time = sdf.format(Calendar.getInstance().getTime());
        String data = "{\"time\":"+time+"}";

        resp.addHeader("Access-Control-Allow-Origin", "*");
        resp.addHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE,HEAD");
        resp.addHeader("Access-Control-Allow-Headers", "a,b,content-type");
        resp.addHeader("Access-Control-Max-Age", "3600000");
        resp.addHeader("Access-Control-Allow-Credentials", "true");

        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("application/json;charset=utf-8");
        resp.getWriter().write(data);
        System.out.println("===================");
    }

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("get");
        doService(req, resp);
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("post");
        doService(req, resp);
    }


    @Override
    protected void doOptions(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("Options");
        resp.addHeader("Access-Control-Allow-Origin", "*");
        resp.addHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE,HEAD");
        resp.addHeader("Access-Control-Allow-Headers", "a,b,content-type");
        resp.addHeader("Access-Control-Max-Age", "3600000");
        resp.addHeader("Access-Control-Allow-Credentials", "true");
    }

    @Override
    protected void doPut(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("put");
        doService(req, resp);
    }

    @Override
    protected void doDelete(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("delete");
        doService(req, resp);
    }


    @Override
    protected void doHead(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        System.out.println("head");
        doService(req, resp);
    }

}
Response Headersview source
Access-Control-Allow-Headers:a,b
Access-Control-Allow-Methods:POST,GET,OPTIONS,PUT,DELETE
Access-Control-Allow-Origin:*
Access-Control-Max-Age:300
Content-Length:0
Date:Fri, 10 Apr 2015 07:17:21 GMT
Server:Apache-Coyote/1.1

Access-Control-Allow-Headers:a,b 可以通过的自定义的头部 大小写不敏感
Access-Control-Allow-Methods:POST,GET,OPTIONS,PUT,DELETE 可以通过访问的HTTP方法
Access-Control-Allow-Origin:*
Access-Control-Max-Age:300 失效时间

options请求成功之后,浏览器判断服务器验证通过,会紧接着又触发了一次实际的请求,
其中 POST ,GET 并不会发送OPTIONS请求,

wildchase
关注
专栏目录
深入浅出FE(三)跨域Cross-Origin
前端产品工程师
02-17 816
目录 1. 跨域是什么 2. 为什么有跨域 2.1 防止csrf攻击 2.2 防止xss攻击 3. 跨域解决方案? 3.1jsonp 3.2 "跨域资源共享"(Cross-origin resource sharing)CROS 3.3 document.domain + iframe跨域 3.4window.name + iframe 3.5 location.ha...
请求跨域问题:CORS(Cross-Origin Resource Sharing
xinyihhh的博客
03-11 1216
出于浏览器的同源策略限制。 所谓同源(即指在同一个域)就是两个地址具有相同的协议(protocol)、主机(host)和端口号(port) 以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 ..
跨域的另一种解决方案——CORS(Cross-Origin Resource Sharing跨域资源共享
weixin_30292745的博客
12-09 294
在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。主要原因还是出于安全考虑,浏览器会限制脚本中发起的跨站请求。(同源策略, 即JavaScript...
[CORS跨域资源共享] W3C的CORS Specification
唐力
09-15 314
Cross-Origin Resource Sharing随着Web开放的程度越来越高,通过浏览器跨域获取资源的需求已经变得非常普遍。在我看来,如果Web API不能针对浏览器提供跨域资源共享的能力,它甚至就不应该被称为WebAPI。从另一方面来看,浏览器作为进入Internet最大的入口,是各大IT公司的必争之地,所以浏览器市场出现了种类繁多、鱼龙混杂的局面。针对这两点,我们迫切需要一种能够被各个
跨域资源共享 CORS 详解
Preeminent
03-07 918
作者: 阮一峰日期: 2016年4月12日本文转载自跨域资源共享CORS - 阮一峰, 我觉得阮老师写的非常好!深入浅出!就转载过来啦~CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。一、简介CORS
spring 跨域 CORS (Cross Origin Resources Share) 跨域
weixin_42981419的博客
11-28 317
spring 跨域 CORS (Cross Origin Resources Share) 跨域 Spring提供了三种方式跨域 1、CorsFilter 过滤器 2、&lt;mvc:cors&gt; Bean(全局,推荐使用) 3、@CrossOrigin注解 以上三种方式本质都是用来配置CorsConfiguration 1、CorsFilte...
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS跨域资源共享,Cross-Origin Resource Sharing
01-06
然而,随着Web应用的发展,跨域数据交互的需求日益增多,因此催生了一系列跨域解决方案,包括JSONP、Flash、Iframe以及CORS跨域资源共享,Cross-Origin Resource Sharing)。 首先,JSONP(JSON with Padding)是...
跨域资源共享 CORS(Cross-origin resource sharing
u012125579的专栏
03-23 8063
跨域资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会
Cross-Origin Resource Sharing in ASP.NET WebForms
01-27
在提供的压缩包文件中,`Cross-Origin Resource Sharing Example.sln`可能是包含示例项目的解决方案文件,`Cors.Target`和`Cors.Origin`可能代表测试的源和目标项目,通过这两个项目,你可以实践并理解CORS在ASP.NET...
Spring @CrossOrigin 注解原理实现
08-18
主要介绍了Spring @CrossOrigin 注解原理实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用CORS(跨站资源共享Cross-Origin Resource Sharing) 来实现跨域访问
weixin_34324081的博客
10-03 122
同源策略 如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin) 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: URL 结果 原因 http://store.company.com/dir2/other.html 成功 http://stor...
跨域(Cross-Origin
LJH_java10086的博客
10-05 519
常见的头信息包括 Access-Control-Allow-Origin(指定允许访问的源)、Access-Control-Allow-Methods(指定允许的请求方法)、Access-Control-Allow-Headers(指定允许的请求头)等。跨域(Cross-Origin)是指在浏览器环境下,当一个网页的 JavaScript 代码尝试访问与当前页面不同源(域名、协议或端口)的资源时,会受到同源策略的限制,导致请求被拒绝。以上是几种常见的解决跨域问题的方法,每种方法都有其适用的场景和限制条件。
crossing_origin
weixin_46678115的博客
12-07 1244
跨域的产生及其解决方案
cors实现请求跨域
热门推荐
badmoonc的博客
09-14 6万+
简介 CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。 请...
Spring 跨域问题CORS (Cross Origin Resources Share)
weixin_30600197的博客
11-28 198
1、Spring给我们提供了三种跨域方法 CorsFilter过滤器 CorsConfigurationBean @CrossOrigin注解 2、CorsFilter 过滤器 CorsFilter代码如下: package com.xiaobai.filter; import javax.servlet.*; import javax.servlet.ann...
Cross-Origin Resource SharingCORS)详解,CORS详解,CORS原理分析
weixin_33814685的博客
01-31 241
目录 Cross-Origin Resource Sharing详解 从一个例子说起 同源的定义 CROS头信息设置 Access-Control-Allow-Origin 头信息设置 使用JSONP解决跨域 ...
跨域资源共享(Cross-Origin Resource Sharing)学习笔记
weixin_34221112的博客
05-13 142
概念 跨域资源共享(Cross-Origin Resource Sharing)是W3C的Web应用工作组退出的一种机制,这种机制能使得Web应用服务器能支持跨站访问控制,从而可以安全地进行跨站数据传输。 各浏览器支持情况 CORS需要浏览器和服务器同时支持,参考caniuse.com中各浏览器对CORS的支持情况,目前只有Opera M...
Cross-Origin跨域问题
weixin_33907511的博客
04-25 1505
为什么会跨域,要先了解浏览器的同源策略SOP(Same Orign Policy)https://segmentfault.com/a/1190000015597029 同源:   如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。   协议/主机/端口 跨源网络访问   同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest时会受到同...
fetch跨域 strict-origin-when-cross-origin
最新发布
07-23
`strict-origin-when-cross-origin` 是 CORS(Cross-Origin Resource Sharing,跨源资源共享)策略的一种。 这个策略告诉浏览器,只有当发起的请求属于 CORS 跨域请求时(即不同源的请求),才会检查响应头中的 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值