【JavaScript】CORS(跨源资源共享)

已于 2024-08-27 19:39:57 修改
阅读量2k 收藏 25
点赞数 62
分类专栏: JavaScript 文章标签: javascript 开发语言 前端
于 2024-02-25 00:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanyc0411/article/details/136221918
版权

文章目录


在Web开发中,由于同源策略的限制,跨域请求数据一直是一个挑战。CORS(Cross-Origin Resource Sharing)是一种现代的跨域解决方案,它通过服务器设置响应头来允许跨域请求。本篇博客将介绍CORS的原理、配置以及一些常见问题。

1. 同源策略和跨域问题

同源策略是浏览器的一种安全机制,它要求页面上所有的资源请求(如脚本、样式、图片、XHR等)必须同源,即协议、域名、端口号必须相同。这导致了在Web开发中经常遇到的跨域问题。

跨域请求通常会受到浏览器的阻止,但CORS通过在服务器端配置响应头,使得浏览器能够识别并允许跨域请求。

2. CORS的原理

CORS的核心原理是通过在HTTP响应头中添加特定的CORS相关字段,告诉浏览器哪些域名是被允许的,从而解决跨域请求的问题。以下是一些关键的CORS响应头字段:

  • Access-Control-Allow-Origin 指定允许访问的域名。可以是单个域名,也可以是逗号分隔的多个域名,或者使用通配符*表示允许所有域名访问。
  • Access-Control-Allow-Methods 指定允许的HTTP方法。例如,GETPOST等。
  • Access-Control-Allow-Headers 指定允许的HTTP头部。例如,Content-Type等。
  • Access-Control-Allow-Credentials 表示是否允许发送包含凭据的请求,如Cookie。默认情况下,不发送凭据。
  • Access-Control-Expose-Headers 指定哪些HTTP头部可以被浏览器访问。

3. CORS的使用步骤

使用CORS一般需要以下几个步骤:

3.1 服务端设置CORS头

服务端需要在响应中设置CORS头,允许特定的域名访问资源。以下是Node.js Express框架的示例:

const express = require('express');
const app = express();

app.use((req, res, next) => {
  // 允许所有域名访问,可以替换为具体的域名
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.header('Access-Control-Allow-Credentials', 'true');

  next();
});

app.get('/data', (req, res) => {
  const data = { message: 'Hello, CORS!' };
  res.json(data);
});

const PORT = 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

3.2 发起CORS请求

前端页面通过XMLHttpRequest或Fetch API等方式发起CORS请求:

const url = 'http://localhost:3000/data';

// 使用XMLHttpRequest
const xhr = new XMLHttpRequest();
xhr.open('GET', url, true);
xhr.withCredentials = true; // 携带凭据(如Cookie)
xhr.onreadystatechange = function () {
  if (xhr.readyState === 4 && xhr.status === 200) {
    const data = JSON.parse(xhr.responseText);
    console.log('Data received:', data);
  }
};
xhr.send();

// 使用Fetch API
fetch(url, {
  method: 'GET',
  credentials: 'include', // 携带凭据(如Cookie)
})
  .then(response => response.json())
  .then(data => {
    console.log('Data received:', data);
  })
  .catch(error => {
    console.error('Error:', error);
  });

4. 常见问题及解决方案

4.1 带凭据的CORS请求

如果CORS请求需要携带凭据(如Cookie),需要在客户端和服务端都设置相应的标志。在服务端设置Access-Control-Allow-Credentials: true,在客户端设置XMLHttpRequest的withCredentialstrue,或在Fetch API的credentials选项中设置。

4.2 预检请求(Preflight Request)

某些情况下,浏览器会在正式发送CORS请求之前发送一个预检请求(Preflight Request),以确认服务端是否支持实际的CORS请求。预检请求使用HTTP OPTIONS方法,服务端需要正确响应预检请求。

app.options('/data', (req, res) => {
  // 允许预检请求的域名
  res.header('Access-Control-Allow-Origin', 'http://example.com');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.header('Access-Control-Allow-Credentials', 'true');

  res.status(200).end();
});

5. 总结

CORS是现代跨域解决方案的核心,通过在服务端设置响应头,实现了在浏览器中安全、可控地进行跨域请求。了解CORS的原理和使用步骤,对于处理跨域问题至关重要。在使用CORS时,注意设置合适的CORS头,处理带凭据的请求,以及对预检请求的正确响应。希望通过本篇博客,你对CORS有了更深入的了解,并能够在实际项目中应用这一现代跨域解决方案。

好久不见的流星
关注
专栏目录
跨源资源共享CORS)策略
ZJQ的博客
07-23 172
CORS策略通过服务器配置的HTTP响应头来控制哪些跨域请求被允许。这既保护了网站资源不被恶意访问,也允许了合法的跨域请求,从而促进了Web应用之间的数据共享和交互。在配置CORS策略时,需要权衡安全性和灵活性,避免过度开放资源访问权限。
CORS跨源资源共享概念及配置(Kubernetes Ingress和Spring Cloud Gateway)
南瓜慢说
06-23 480
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 跨源资源共享CORS 跨源资源共享 (CORS) (或通俗地译为跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。 首先要明确的是,浏览器访问资源才会有CORS的存在,如果通过其它HTTP Client等代码,就不会出现。CORS简单一点讲就是当在浏览器地址栏的源Origin与所访问的资源的地址的源不同,就是跨源了。比.
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题的解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
JavaScript 跨域(CORS)
快乐小编的专栏
10-16 1069
1、概念 通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况与下,XHR 对象只能访问同一域中的资源。这种安全策略可以预防某些恶意行为。 但是,实现合理的跨域请求在现代web应用中还是很有必要的。 CORS (Cross-Origin Resource Sharing,跨域资源请求)是W3C 的一个工作草案,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。
如何解决跨域请求中的 CORS 错误
最新发布
官方推荐
09-25 1万+
如何解决跨域请求中的 CORS 错误
跨源资源共享CORS
weixin_42451330的博客
06-17 1078
本文介绍了跨源资源共享CORS)及常见示例,介绍了用于CORS的常见请求及相应字段及攻击等。
JavaScriptCORS跨源资源共享
山水子农
06-07 2782
XHR的一个主要约束是同源策略,即:相同域、相同端口、相同协议,可以通过跨域资源共享CORS(Cross-Origin Resourse Sharing)实现跨域资源共享。其基本思想是通过自定义HTTP头让浏览器与服务器沟通,从而决定请求或响应是应该成功还是失败。发送get/post请求时,给它添加一个额外的Origin头部,其中包含请求页面的源信息(协议,域名和端口),以便服务器根据这个头部信息
CORS 跨域资源共享
sekever的博客
04-03 729
浏览器一般使用 CORS(跨域资源共享)来处理跨域问题。同源导致了不同源数据不能互相访问,而在开发中我们很多时候需要用第一个页面的脚本访问第二个页面里的数据,所以制定了一些允许跨域的策略。
你可能不知道的CORS跨域资源共享
10-17
CORS(跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
Lab13-WorkingThruCorsErrors:实验室在调用远程 API 时解决 CORS跨源资源共享)错误
06-10
Lab13-WorkingThruCorsErrors 在调用远程 API 时解决 CORS跨源资源共享)错误的实验室。
Apache中配置支持CORS(跨域资源共享)实例
09-15
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,允许Web应用从不同的源(比如不同的域名、协议或端口)获取资源。在传统的同源策略限制下,浏览器禁止了不同源之间的AJAX请求,以保护用户数据的...
什么是 CORS跨源资源共享)?
qq_37116560的博客
05-11 1955
现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下,JavaScript 遵循同源策略,只能调用与运行脚本在同一域中的 URL。那么,我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢? CORS 就是答案。 跨源资源共享 (CORS) 是一种允许网页访问在不同受限域上运行的API或资产的方式的机制。 什么是 CORS跨源资源共享 (CORS) 是一种浏览器...
关于CORS(跨源资源共享)实践
sinat_26204753的博客
07-03 540
打开页面 http://www.yangyueyuan.com/home/account/login 在控制台发送跨域ajax请求:$.ajax({ type:"get", url:"http://tdcCenterManage.dev/index.php?abc=1",/*url写异域的请求地址*/ dataType:"json",/*加上datatype*/ success:function
JavaScript 的同源策略及其"CORS"跨域方案
weixin_34174422的博客
03-12 331
文章大纲 同源策略 同源是什么? 如何跨源,以及场景应用 源的更改 跨源网络访问 跨源脚本API访问 跨源数据存储访问 了解CORS CORS是什么? CORS功能概述 CORS关于Cookie CORS的简单请求 CORS预检请求又是什么? 其他 参考 同源策略 同源是什么? 在web浏览器中,同源策略 限制...
CORS(跨域资源共享
letterTiger的博客
04-06 548
CORS(跨域资源共享)使用额外的HTTP头部来告诉浏览器,允许运行在origin(domain)上的Web应用访问来自不同源服务器上的指定资源。 浏览器访问一个web应用,这个web应用会发很多的跨域请求,例如加载不同源的JS/CSS脚本,或者加载不同源图片等。但是并没有发现请求的异常,这些资源是可以正常返回的。而通过JS发送的跨域HTTP请求却时常得到错误,所以跨域请求很常见,但是浏览器对于请...
Cors跨域资源共享
pscool的博客
01-03 1265
cors跨域资源共享
关闭CORS(跨站资源共享)
07-27
要关闭CORS(跨站资源共享),您需要在服务器端进行配置。以下是一些常见的方法: 1. 在后端服务器中进行配置:在服务器端代码中添加响应头,以允许来自其他域的请求访问资源。具体的配置方法因服务器而异,以下是一些示例代码: - Node.js(使用Express框架): ```javascript const express = require('express'); const app = express(); // 允许所有域的请求访问资源 app.use((req, res, next) => { res.setHeader('Access-Control-Allow-Origin', '*'); next(); }); // 其他路由和中间件配置... app.listen(3000, () => { console.log('Server started on port 3000'); }); ``` - Java(使用Spring框架): ```java import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController @CrossOrigin(origins = "*") public class ExampleController { @GetMapping("/example") public String getExample() { return "Hello, CORS!"; } // 其他方法... } ``` 2. 使用代理服务器:如果您的前端应用程序在与后端服务器不同的域上运行(例如,前端在localhost:3000,后端在localhost:8000),您可以设置一个代理服务器来转发请求。这样,前端应用程序将发送请求给代理服务器,然后由代理服务器将请求转发给后端服务器,避免CORS问题。 3. 在特定的Web服务器上进行配置:例如,对于Apache服务器,您可以在.htaccess文件中添加以下内容: ``` Header set Access-Control-Allow-Origin "*" ``` 对于Nginx服务器,您可以在配置文件的server块中添加以下内容: ``` location / { add_header 'Access-Control-Allow-Origin' '*'; # 其他配置项... } ``` 请注意,关闭CORS可能会带来安全风险。在生产环境中,您应该谨慎考虑是否真的需要关闭CORS,并且根据需要配置允许访问的域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值