【JavaScript】CORS(跨源资源共享)

最新推荐文章于 2024-04-14 23:09:24 发布
最新推荐文章于 2024-04-14 23:09:24 发布
阅读量1.7k 收藏 24
点赞数 61
分类专栏: JavaScript 文章标签: javascript 开发语言 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanyc0411/article/details/136221918
版权

文章目录


在Web开发中,由于同源策略的限制,跨域请求数据一直是一个挑战。CORS(Cross-Origin Resource Sharing)是一种现代的跨域解决方案,它通过服务器设置响应头来允许跨域请求。本篇博客将介绍CORS的原理、配置以及一些常见问题。

1. 同源策略和跨域问题

同源策略是浏览器的一种安全机制,它要求页面上所有的资源请求(如脚本、样式、图片、XHR等)必须同源,即协议、域名、端口号必须相同。这导致了在Web开发中经常遇到的跨域问题。

跨域请求通常会受到浏览器的阻止,但CORS通过在服务器端配置响应头,使得浏览器能够识别并允许跨域请求。

2. CORS的原理

CORS的核心原理是通过在HTTP响应头中添加特定的CORS相关字段,告诉浏览器哪些域名是被允许的,从而解决跨域请求的问题。以下是一些关键的CORS响应头字段:

  • Access-Control-Allow-Origin 指定允许访问的域名。可以是单个域名,也可以是逗号分隔的多个域名,或者使用通配符*表示允许所有域名访问。
  • Access-Control-Allow-Methods 指定允许的HTTP方法。例如,GETPOST等。
  • Access-Control-Allow-Headers 指定允许的HTTP头部。例如,Content-Type等。
  • Access-Control-Allow-Credentials 表示是否允许发送包含凭据的请求,如Cookie。默认情况下,不发送凭据。
  • Access-Control-Expose-Headers 指定哪些HTTP头部可以被浏览器访问。

3. CORS的使用步骤

使用CORS一般需要以下几个步骤:

3.1 服务端设置CORS头

服务端需要在响应中设置CORS头,允许特定的域名访问资源。以下是Node.js Express框架的示例:

const express = require('express');
const app = express();

app.use((req, res, next) => {
  // 允许所有域名访问,可以替换为具体的域名
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.header('Access-Control-Allow-Credentials', 'true');

  next();
});

app.get('/data', (req, res) => {
  const data = { message: 'Hello, CORS!' };
  res.json(data);
});

const PORT = 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

3.2 发起CORS请求

前端页面通过XMLHttpRequest或Fetch API等方式发起CORS请求:

const url = 'http://localhost:3000/data';

// 使用XMLHttpRequest
const xhr = new XMLHttpRequest();
xhr.open('GET', url, true);
xhr.withCredentials = true; // 携带凭据(如Cookie)
xhr.onreadystatechange = function () {
  if (xhr.readyState === 4 && xhr.status === 200) {
    const data = JSON.parse(xhr.responseText);
    console.log('Data received:', data);
  }
};
xhr.send();

// 使用Fetch API
fetch(url, {
  method: 'GET',
  credentials: 'include', // 携带凭据(如Cookie)
})
  .then(response => response.json())
  .then(data => {
    console.log('Data received:', data);
  })
  .catch(error => {
    console.error('Error:', error);
  });

4. 常见问题及解决方案

4.1 带凭据的CORS请求

如果CORS请求需要携带凭据(如Cookie),需要在客户端和服务端都设置相应的标志。在服务端设置Access-Control-Allow-Credentials: true,在客户端设置XMLHttpRequest的withCredentialstrue,或在Fetch API的credentials选项中设置。

4.2 预检请求(Preflight Request)

某些情况下,浏览器会在正式发送CORS请求之前发送一个预检请求(Preflight Request),以确认服务端是否支持实际的CORS请求。预检请求使用HTTP OPTIONS方法,服务端需要正确响应预检请求。

app.options('/data', (req, res) => {
  // 允许预检请求的域名
  res.header('Access-Control-Allow-Origin', 'http://example.com');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.header('Access-Control-Allow-Credentials', 'true');

  res.status(200).end();
});

5. 总结

CORS是现代跨域解决方案的核心,通过在服务端设置响应头,实现了在浏览器中安全、可控地进行跨域请求。了解CORS的原理和使用步骤,对于处理跨域问题至关重要。在使用CORS时,注意设置合适的CORS头,处理带凭据的请求,以及对预检请求的正确响应。希望通过本篇博客,你对CORS有了更深入的了解,并能够在实际项目中应用这一现代跨域解决方案。

好久不见的流星
关注
  • 61
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1282
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
JavaScript 跨域(CORS)
快乐小编的专栏
10-16 1026
1、概念 通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况与下,XHR 对象只能访问同一域中的资源。这种安全策略可以预防某些恶意行为。 但是,实现合理的跨域请求在现代web应用中还是很有必要的。 CORS (Cross-Origin Resource Sharing,跨域资源请求)是W3C 的一个工作草案,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。
18.设置CORS响应头实现跨域
最新发布
yujiabao702的博客
04-14 282
CORS是跨域资源共享,是官方的跨域解决方案,特点是不需要再客户端做任何操作,完全在服务器中进行,支持 get 和 post 请求。跨域资源共享标准新增了一组HTTP首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。通过设置一个响应头告诉浏览器,该请求允许跨域,浏览器收到响应以后就会对响应放行。拓展:除了上面响应头以外,还有别的响应头需要了解。CORS怎么工作的?此时点击以后就会报错。此时就可以跨域请求了。
JavaScriptCORS跨源资源共享
山水子农
06-07 2750
XHR的一个主要约束是同源策略,即:相同域、相同端口、相同协议,可以通过跨域资源共享CORS(Cross-Origin Resourse Sharing)实现跨域资源共享。其基本思想是通过自定义HTTP头让浏览器与服务器沟通,从而决定请求或响应是应该成功还是失败。发送get/post请求时,给它添加一个额外的Origin头部,其中包含请求页面的源信息(协议,域名和端口),以便服务器根据这个头部信息
JavaScript 的同源策略及其"CORS"跨域方案
weixin_34174422的博客
03-12 305
文章大纲 同源策略 同源是什么? 如何跨源,以及场景应用 源的更改 跨源网络访问 跨源脚本API访问 跨源数据存储访问 了解CORS CORS是什么? CORS功能概述 CORS关于Cookie CORS的简单请求 CORS预检请求又是什么? 其他 参考 同源策略 同源是什么? 在web浏览器中,同源策略 限制...
js-跨域源资源共享CORS
weixin_30532837的博客
03-11 98
### 一. CORS(Cross-Origin Resource Sharing,跨域源资源共享)   基本思想:使用自定义HTTP头部让浏览器与服务器进行沟通     发送请求时,需附加一个Origin头部       eg: Origin: http://www.xxx.net   如果服务认为这个请求可以接受,就在Access-Control-Allow-Origin投不中...
js CORS
nidan123的专栏
08-04 1485
概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域 服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。 1. 通过jsonp跨域 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上引入不同域上的js脚本文件却是可以
js跨域资源共享cros与jsonp
weixin_34342578的博客
11-22 83
一.js跨域资源共享cros(Cross-origin resource sharing) 该方式是W3C官方提供的js跨域资源共享解决方案 a.后台响应设置头信息     response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105");     response.s...
你可能不知道的CORS跨域资源共享
10-17
CORS(跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
Apache中配置支持CORS(跨域资源共享)实例
09-15
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的域名、协议或端口)获取资源。在传统的同源策略限制下,浏览器禁止了不同源之间的AJAX请求,以保护用户数据的...
Lab13-WorkingThruCorsErrors:实验室在调用远程 API 时解决 CORS跨源资源共享)错误
06-10
Lab13-WorkingThruCorsErrors 在调用远程 API 时解决 CORS跨源资源共享)错误的实验室。
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
[SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例.rar
11-30
**SpringBoot + Ajax + CORS 前后端分离:跨域资源共享详解** 在现代Web开发中,前后端分离已经成为一种常见的架构模式。SpringBoot作为Java领域的一个轻量级框架,常用于构建后端服务,而Ajax则在前端用于实现异步...
test-cors:跨域资源共享CORS
06-11
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头来告诉浏览器允许一个域上的网页访问另一个域上的资源。这在Web应用中尤其重要,因为JavaScript通常受到同源策略的限制,不能从...
JavaScript 教程】浏览器—CORS 通信
web前端开发
03-23 440
作者 |阮一峰CORS 是一个 W3C 标准,全称是“跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨域...
JavaScript--跨域--CORS
liuliuliu_666的博客
08-01 1380
CORS通过XHR实现ajax通信的主要限制来源于跨域安全策略,默认情况下只能访问与包含它的页面的同一个域中的资源,这种安全策略可以预防恶意行为。 CORS(跨域资源共享):背后的基本思想,就是使用自定义的http头部让浏览器和服务器进行沟通,从而决定请求或者响应成功与否。IE浏览器对CORS的实现引入了XDR(XDomainRequest)类型。与XHR类似,但能实现安全可靠的跨域通信。 用法
JavaScript跨域资源请求(CORS)解决方案
10-15 465
跨域:当协议、主域名、子域名、端口号中任意一个不相同时都不算同一个域,而在不同域之间请求数据即为跨域请求。解决方法有以下几种(如有错误欢迎指出)以请求图片url为例: 1.通过XMLHttpRequest对象实现(IE10以下不支持) XMLHttpRequest2.0已经实现了对CORS的原生支持,只需要在访问资源的时候使用绝对URL即可,需要在服务器端将头信息“Access-Co...
关闭CORS(跨站资源共享)
07-27
要关闭CORS(跨站资源共享),您需要在服务器端进行配置。以下是一些常见的方法: 1. 在后端服务器中进行配置:在服务器端代码中添加响应头,以允许来自其他域的请求访问资源。具体的配置方法因服务器而异,以下是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值