CORS

最新推荐文章于 2018-12-22 09:01:00 发布
最新推荐文章于 2018-12-22 09:01:00 发布
阅读量318 收藏 2
点赞数
分类专栏: 协议 文章标签: ajax 浏览器 服务器 http cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yswwpp/article/details/69061230
版权

CORS的定义

  cross-origin resource sharing——跨域资源共享
  通俗地讲,CORS是W3C的新标准,允许浏览器向非同源的服务器发出HTTP请求,解决Ajax跨域请求。

CORS请求和非CORS请求的区别

  所有的CORS请求都必须有一个固定的请求头字段:Origin。但是含有Origin头字段的请求不一定是CORS请求,因为有些浏览器在做同源请求的时候也会加上Origin字段,只不过Origin字段的值与Scheme(如,http)+Host相等。因此,判断CORS请求和非CORS请求的区别在于,请求头信息中Origin和Scheme+Host是否相等,相同则为同源请求;不相等则为CORS请求。

CORS分类

  CORS请求分为两类,简单请求和非简单请求。在请求方式上,非简单请求比简单请求多出一步预检的过程。也就是说,非简单请求首先向服务器发出预检请求,得到许可之后再发出实际的请求。

简单请求

非简单请求

预检请求头信息
  • Access-Control-Request-Method(一定含有)
  • Method=OPTIONS
  • Origin(一定含有)
  • Access-Control-Request-Headers
实际请求头信息

没有什么特殊的地方

预检请求特殊应答头
  • Access-Control-Allow-Origin(一定含有)
  • Access-Control-Allow-Credentials
  • Access-Control-Max-Age
  • Access-Control-Allow-Methods(一定含有)
  • Access-Control-Allow-Headers
实际请求特殊应答头
  • Access-Control-Allow-Origin(一定含有)
  • Access-Control-Allow-Credentials
  • Access-Control-Max-Age
  • Access-Control-Allow-Methods
  • Access-Control-Allow-Headers
应答特殊头含义
  • Access-Control-Allow-Origin
      允许跨域访问的源
  • Access-Control-Allow-Credentials
      告诉客户端允许做用户确定(一种机制,服务端想知道是谁在请求自己的机制),cookies,HTTP authentication,client-side certificates。取值true/false
  • Access-Control-Expose-Headers
      向外暴露的头信息,客户端可以通过get到的头字段
  • Access-Control-Max-Age
      这个字段是针对预请求的,并不是每次非简单的CORS请求都必须进行预请求检查的,第一次请求了,可以缓存起来,保存多长时间,设置即可,秒为单位。当然,客户端浏览器设置禁用缓存,那就另当别论了。
  • Access-Control-Allow-Methods
      允许访问的请求方法方法,预请求必须返回的头信息
  • Access-Control-Allow-Headers
      允许的头信息

注意:Access-Control-Allow-Origin的取值如果是“*”,则Access-Control-Allow-Credentials不起作用;也就是说,要使用Access-Control-Allow-Credentials,Access-Control-Allow-Origin必须是确定的

附录:
用户不能设置的头字段:
* Access-Control-Request-Headers(XMLHttpRequest2中增加的)
* Access-Control-Request-Method(XMLHttpRequest2中增加的)
* Connection (关闭除外)
* Content-Length
* Content-Transfer-Encoding
* Host
* Keep-Alive
* Origin
* Trailer
* Transfer-Encoding
* Upgrade
* Via

yswwpp
关注
专栏目录
HTTP访问控制(CORS
lq_07a的博客
05-05 467
HTTP访问控制(CORS) 当一个资源从与该资源本身所在的服务器不同的域或端口不同的域或不同的端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。例如,出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。例如,XMLHttpRequest 和 Fetch 遵循同源策略。因此,使用 XMLHttpRequest或 Fetch...
跨域的概念-以及CORS的概念
龙的传人
11-08 728
前言: 在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、 JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。 正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。 比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest对象向其...
HTTP访问控制(CORS)
Roden的专栏
02-17 726
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。 正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。跨域并浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTP
HTTP 访问控制(CORS)
xia744510124的专栏
08-25 3365
跨域请求:请求不属于自己域(domain)下资源。例如,一个来自http://domain-a.com域下的HTML page请求http://domain-b.com域的图片资源。当今,网站中许多页面从别的域下加载像CSS stylesheets, images and scripts资源。   出于安全考虑,浏览器会限制跨域脚本执行请求。例如,XMLHttpRequest遵循同源策略(所谓同源
CORS跨域
jhkj_5154的博客
03-03 453
header('Access-Control-Allow-Origin: *');//允许所有域访问APIheader("Access-Control-Allow-Headers: token,Origin,X-Requested-with,Contect-Type,Accept")//我们允许客户端放我们API,Header允许那些键值对header('Access-Control-Allow-...
CORS Scanner工具
最新发布
02-21
CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种网络浏览器安全策略,用于限制网页脚本从不同源获取资源的能力。CORS Scanner工具是专门针对这一机制进行检测和分析的软件或插件,它帮助开发者检查并...
跨域cors扩展插件chrome
12-13
标题中的“跨域cors扩展插件chrome”指的是用于解决Web应用程序跨域问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如域名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
cors-filter-1.7.jar,cors-filter-2.5.jar,cors-filter-2.10.jar
06-20
在IT行业中,尤其是在Web开发领域,跨域资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(域名、协议或端口)发送Ajax请求,以突破同源策略的限制。Tomcat作为一款广泛...
cors-unblocker:绕过 CORS 的简单免费代理
06-13
CORS(Cross-Origin Resource Sharing,跨源资源共享)是Web浏览器为保护用户数据而实施的一种安全策略,限制了脚本从不同源获取资源的能力。当一个请求的源与目标资源的域、协议或端口不同时,浏览器会执行CORS检查...
vue axios 解决跨域问题CORS
07-08
在开发Web应用时,我们经常会遇到“跨域”(CORS)的问题,特别是在使用Vue.js框架和axios库进行API调用时。Vue.js是一个轻量级的前端框架,而axios则是一个基于Promise的HTTP库,它广泛用于Vue项目中进行数据获取和...
Springboot(9)轻松搞定跨域访问(CORS
热门推荐
cowbin2012的专栏
12-22 1万+
CORS实现跨域访问 方式1:返回新的CorsFilter 方式2:重写WebMvcConfigurer 方式3:使用注解(@CrossOrigin) 方式4:手工设置响应头(HttpServletResponse ) 返回新的CorsFilter(全局跨域) @Configuration public class GlobalCorsConfig { @Bean public CorsF...
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2318
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
CSRF XSS(XSRF) CORS OPTIONS(HTTP)概念理解
CCyutaotao的博客
10-26 2536
XSSXSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。我们不需要用户输入 HTML 而只想让他们输入纯文本,那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很
CORS问题详解
soputasmile的笔记
12-29 2114
参考:http://restlet.com/company/blog/2015/12/15/understanding-and-using-cors/ https://stackoverflow.com/questions/27915191/how-does-the-chrome-browser-decide-when-to-send-options什么是CORSCross Origin Reso
浅析CORS跨域请求
大菜鸟的博客
12-22 5095
Cross-Origin Resource Sharing(简称CORS),是W3C制定的网络跨域资源请求的一个“正式”技术。网上相关介绍有很多,但是基本上都停留于理论层面。当你很想知道具体怎么实现一个CORS的时候很难一下子找到靠谱的参考资料。那么这里简单介绍一下前后端CORS的实现机制。 对于前端(JavaScript)而言,做一个CORS和普通ajax请求并没有什么区别(前提是浏览器平台支...
【详解跨域问题】HTTP访问控制(CORS)
purple尘的专栏
03-18 5261
转自:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 当一个资源请求一个其它域名或者另外一个端口的资源时会产生一个跨域HTTP请求(cross-origin HTTP request)。比如说,http://domaina.example的某HTML页面通过  src 请求 http:
cors
06-02
CORS,全称为Cross-Origin Resource Sharing,即跨域资源共享。它是一种机制,用于在浏览器服务器之间,安全地实现跨域的数据传输。 在传统的同源策略下,浏览器限制了网页从不同源加载资源的行为。但是,在某些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值