HTTP1.1(十四)如何合法的跨域访问

已于 2023-05-21 17:09:48 修改
阅读量231 收藏
点赞数
分类专栏: HTTP 文章标签: CORS
于 2023-05-07 22:42:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/130547639
版权

一  如何合法的跨域访问

1) Ajax请求

2) 同源策略是'禁止'跨域访问

3) 而CORS'允许跨域'访问

①  CORS

1)跨域访问有'很多'解决方案,但是这些方案大部分是'浏览器的实现bug'

2)RFC规范中'推荐'使用CORS,是能够保证'安全性'的

②  简单请求的跨域

案例: 站点'B'访问站点'A'的资源

备注: Origin请求头一般'非必须'

简单请求涉及: 'Origin'请求头和'Access-Control-Allow-Origin'响应头

+++++++++ "这样的请求都是复杂请求" +++++++++ 

Content-Type: application/json;charset=UTF-8

application/xml;charset=UTF-8 

++++++++++++ "Ajax跨域简单请求案例" ++++++++++++

说明: '没有'设置Access-Control-Allow-Origin响应头导致'请求被拒'

说明:响应报文通过'wiresahrk'可以观察'已拿到',但是由于'简单请求'的CORS不满足,浏览器不展示

1) '上面'是请求'跨域',但是没有设置'Access-Control-Allow-Origin'响应头导致报错

2) '下面'是请求'跨域',设置'Access-Control-Allow-Origin'响应头所允许'域名'不在当前范围

  备注: 允许'https'访问,但是实际是'http'访问,不匹配

③  复杂请求跨域请求

1) 复杂请求的'两步'

  [1]、预检请求 --> 也是一个'协商'的过程,是否'协商一致'

    1. 服务器收到"预检"请求以后,检查下列'请求头'

    2. Origin、Access-Control-Request-Method和Access-Control-Request-Headers

    3. 确认'允许跨源'请求,就可以'做出回应'

  [2]、协商一致,就可以发送'正式'请求

2) 跨域访问资源涉及的'请求头'

3) 跨域访问资源涉及的'响应头'  --> Access-Control-Allow-*

备注: Access-Control-Max-Age 表示'preflight请求'缓存的最长时间

Access-Control-Allow-Origin:*
Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:Content-Type,X-Requested-With
Access-Control-Allow-Methods:GET, POST, PATCH, PUT, DELETE, OPTIONS

10 种CORS跨域解决方案  八种方式实现跨域请求

④  答疑解惑

说明: cros配置不当,也会'导致csrf'

wzj_110
关注
专栏目录
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件
代码讲故事
03-08 375
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件。 DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1318
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
http跨域
Handsome2013的博客
03-25 267
tcp三次连接 先上图。 第一次握手:我们给服务器发消息“哥们,让我touch一下”,我们做这个动作是想证明,我们有没有发消息的能力,怎么证明呢,需要服务器把我们发的消息回传回来。 第二次握手:服务器告诉我们“来啊,来啊”,同时再把我们发的消息回传给我们。这个时候我们就可确定,我们发消息的能力是没有问题的,同时服务器也需要通过这次握手来确定自己的发消息能力。也就是这次握手确定了我们的发消息能力,需要确定的是服务器的发消息能力。 第三次握手:我们告诉服务器“我就到”。这时候服务器就确定了自己的发消息能
如何判断请求是否为跨域请求?——详细教程
最新发布
qq_42631788的博客
08-30 838
判断请求是否为跨域请求,主要取决于浏览器的同源策略。同源策略定义了两个 URL 是否“同源”的标准,即它们的协议、主机和端口号必须完全相同。如果这些属性中的任何一个不同,那么请求就被认为是跨域请求。
Http--跨域请求
BtWangZhi的博客
06-07 8086
在浏览器中,与当前页面不同域名的url是不允许访问的,这是浏览器端的限制,后端设置Access-Control-Allow-Origin为发起发的URL即可,相当于开放给这个URL请求(注意,必须要和浏览器中的URl相同,如请求方为127.0.0.1,Access-Control-Allow-Origin设置为localhost是不行的) 如果是允许多个URL请求,可以在Request中获取URL...
网络-HTTP请求跨域访问控制
文天大人
11-25 670
eclipse里要引用tomcat的类库,CorsFilter是tomcat中的,然后webxml添加下面代码即可,其他地方无须任何改动<filter> <filter-name>CorsFilter</filter-name> <filter-class>org.apache.catalina.filters.CorsFilter</filter-class> <init-
将网页设置为允许 XMLHttpRequest 跨域访问
weixin_30708329的博客
11-07 408
在非IE下,使用XMLHttpRequest 不能跨域访问, 除非要访问的网页设置为允许跨域访问。 将网页设置为允许跨域访问的方法如下: Java Response.AddHeader("Access-Control-Allow-Origin", "*"); 或指定域名下可以访问: Response.AddHeader("Access-Control-Allow-Origin",...
深入浅出FE(十四)深入浅出websocket
前端产品工程师
11-29 862
引言 Websocket是一个持久化的协议 协议分为ws(80端口)协议 和wss(443端口)协议。 WebSocket是一种在单个TCP连接上进行全双工通信的协议。WebSocket通信协议于2011年被IETF定为标准RFC 6455,并由RFC7936补充规范。WebSocket API也被W3C定为标准。 WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久
计算机网络整理:HTTP协议、HTTPS协议、Websocket协议
weixin_45486448的博客
08-26 3615
系列文章目录 一:http协议和https协议的区别 1、Https通信需要证书,而证书一般需要向认证机构(一般是ca)购买,因而需要一定费用 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。因此,与HTTP通信相比,Https通信会由于加减密处理消耗更多的CPU和内存资源; 3、http的连接很简单,是无状态的,https协议是由ssl+http协议构建的可进行加密串苏,身份验证的网络协议,比http协议安全。 4、http用的端口是80,https用的端口是4
web5-HTTP/HTTPS
growing_duck的博客
11-01 1868
httphttps解析
面试官:HTTP协议你知道多少?
05-28 1580
一、Http协议简介 HTTP协议,即超文本传输协议(Hypertext transfer protocol)。HTTP协议通常承载于TCP协议之上,属于TCP/IP模型中应用层的协议,有时也承载于TLS或SSL协议层之上,这个时候,就成了我们常说的HTTPS。 HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求报文,请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。服务器.
Http跨域和处理方案
2th
10-17 673
跨域问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、域名和端口的资源。如果一个请求的目标资源的协议、域名或端口与当前页面的不同,就会触发跨域请求。跨域问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
HTTP----跨域解决方式
m0_58794378的博客
03-10 2814
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
【详解跨域问题】HTTP访问控制(CORS)
purple尘的专栏
03-18 5241
转自:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 当一个资源请求一个其它域名或者另外一个端口的资源时会产生一个跨域HTTP请求(cross-origin HTTP request)。比如说,http://domaina.example的某HTML页面通过  src 请求 http:
mormot允许跨域访问
weixin_34029680的博客
01-11 572
mormot允许跨域访问 ctxt.OutCustomHeaders:='Access-Control-Allow-Origin:*' 允许跨域访问 其实其他HTTP控件要实现跨域访问,也是类似设置。 pvRequest.Response.Header.ForceByName('Access-Control-Allow-Origin').AsString := '*'; pvReques...
后端接口允许跨域访问
qq_33192454的博客
07-17 398
为了在后端接口中允许跨域访问CORS),你需要在你的Spring Boot项目中配置CORS
java允许请求跨域访问
phoooob的博客
08-15 1842
在jfinal框架中,在controller中,可以获取HttpServletResponse对象,添加相应头信息即可HttpServletResponse response = this.getResponse(); response.addHeader("Access-Control-Allow-Origin", "*"); 这里的*代表任意域名下的请求,也可以通过填写某个域名,来指定某个域
接口设置允许跨域访问
三侠剑的博客
06-20 626
@CrossOrigin
设置浏览器允许跨域访问
清雨小竹
10-19 7111
快捷方式,目标该问 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security --user-data-dir   或   C:\Users\zzzili\AppData\Local\Google\Chrome\Application\chrome.exe --di...
1.1数据表示层跨域访问 Html动态数据来源于不同站点,数据表示层如何解决跨域访的问题
05-19
数据表示层指的是前端页面,而跨域访问是指在前端页面中通过ajax或fetch等方式获取其它站点的数据时遇到的安全限制问题。为了解决这个问题,可以使用以下几种方法: 1. JSONP:通过动态创建一个script标签,将需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值