【HTTP header】【Access-Control-Allow-Credentials】跨域Ajax请求时是否带Cookie的设置

最新推荐文章于 2023-07-18 09:23:06 发布
最新推荐文章于 2023-07-18 09:23:06 发布
阅读量3.2w 收藏 25
点赞数 3
分类专栏: 跨域-Cors

1. 无关Cookie跨域Ajax请求

客户端

以 jQuery 的 ajax 为例:

$.ajax({
        url : 'http://remote.domain.com/corsrequest',
        data : data,
        dataType: 'json',
        type : 'POST',
        crossDomain: true,
        contentType: "application/json", // POST时必须
       主要注意的是参数 crossDomain: true。发送Ajax时,Request header 中会包含跨域的额外信息,但不会含cookie。

服务器端

跨域的允许主要由服务器端控制。服务器端通过在响应的 header 中设置 Access-Control-Allow-Origin 及相关一系列参数,提供跨域访问的允许策略。相关参数的设置介绍,可参见 [Access_control_CORS]

Java为例:

/**
* Spring Controller中的方法:
*/
    @RequestMapping(value = "/corsrequest")
    @ResponseBody
    public Map<String, Object> mainHeaderInfo(HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin", "*");
        ...
}
  • 通过在响应 header 中设置 ‘*’ 来允许来自所有域的跨域请求访问。
response.setHeader("Access-Control-Allow-Origin", "*");
  • 只允许来自特定域 http://my.domain.cn:8080 的跨域访问
response.setHeader("Access-Control-Allow-Origin", "http://my.domain.cn:8080");
  • 较灵活的设置方式,允许所有包含 mydomain.com 的域名访问.
if(request.getHeader("Origin").contains("mydomain.com")) {
    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
}

2. 带Cookie的跨域Ajax请求

客户端

$.ajax({
        url : 'http://remote.domain.com/corsrequest',
        data : data,
        dataType: 'json',
        type : 'POST',
        xhrFields: {
            withCredentials: true
        },
        crossDomain: true,
        contentType: "application/json",
        ...

通过设置 withCredentials: true ,发送Ajax时,Request header中便会带上 Cookie 信息。

服务器端

相应的,对于客户端的参数,服务器端也需要进行设置:

/**
* Spring Controller中的方法:
*/
    @RequestMapping(value = "/corsrequest")
    @ResponseBody
    public Map<String, Object> getUserBaseInfo(HttpServletResponse response) {
        if(request.getHeader("Origin").contains("woego.cn")) {
            response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        }
        response.setHeader("Access-Control-Allow-Credentials", "true");
        ...
}

对应客户端的 xhrFields.withCredentials: true 参数,服务器端通过在响应 header 中设置 Access-Control-Allow-Credentials = true 来运行客户端携带证书式访问。通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie。这里需要注意的是:

服务器端 Access-Control-Allow-Credentials = true时,参数Access-Control-Allow-Origin 的值不能为 '*' 

3. Java中使用跨域 Filter

当允许跨域访问的接口较多时,在每个请求中都添加 Access-Control-Allow-Origin 显然是不合适的。对于比较原生的 Java web 应用,使用 Filter 是一个不错的选择。

NOTE:不同的框架,特别是支持REST的框架,大多提供了自己的跨域设置方式,如Spring4的Config等,可以优先从使用的框架中寻找支持。

Filter本身很简单,可以直接把上面两句设置 Header 的语句抽取出来写一个Filter。这里推荐一个 Tomcat 中的 Filter:org.apache.catalina.filters.CorsFilter

  • 引入 
    这个类在 Tomcat 的 catalina.jar 中,可以通过将 tomcat/lib 下的 jar 包引用到项目中的方式来使用。但如果你对项目的 jar 环境有’洁癖’, 也可以单独把 这个类的 SVN源码 拷贝到项目中,修改(删除)一下‘日志’和‘异常提示内容’的引用就可以运行在任何原生java web项目中了。

  • 设置方法 
    在 web.xml 中设置Filter:

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

一点补充: 
Filter的 默认 设置包含了:

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
  <init-param>
        <param-name>cors.allowed.origins</param-name>
        <param-value>*</param-value>
  </init-param>
  <init-param>
        <param-name>cors.support.credentials</param-name>
        <param-value>true</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

这里的 cors.allowed.origins 虽然是 ‘*’,但实现上已经被优化,不会与 credentials 冲突。


转自:http://blog.csdn.net/wzl002/article/details/51441704

OkidoGreen
关注
  • 3
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅析Nginx实现AJAX跨域请求问题
12-02
AJAX从一个域请求另一个域会有跨域的问题。那么如何在nginx上实现ajax跨域请求呢?要在nginx上启用跨域请求,需要添加add_header Access-Control*指令。如下所示: location /{ add_header 'Access-Control-Allow-Origin' 'http://other.subdomain.com'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET'; ... ... the re
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 2902
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
nginx 版本 1.11.3 使用大家说的以下配置,验证无效,跨域问题仍然存在 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*';
credentials-java-0.2.4.jar
10-09
credentials-java-0.2.4.jar
Vue 项目中遇到的跨域问题及解决方法(后台php)
01-19
问题描述 前端 vue 框架,后台 php,百度跨域问题后台加这段代码 header(Access-Control-Allow-Origin: *); 加了之后报这个错: The value of the ‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’ when the request’s credentials mode is ‘include’. The value of the ‘Access-Control-Allow-Origin’ header in the
allowCredentials跨域问题
miss_na的博客
12-31 1万+
间起源- 前段间,需要弄个简单的网站出来,访问远程的api服务。 我是这么做的。首先是在搭建一个nodejs服务来运行前端页面。在我请求登录的候,能成功返回相应的成功信息。然后,当我再次请求读取别的接口的候,返回的信息确实提示我尚未登录。此此刻,我一脸蒙逼。明明我已经登陆了啊。后来偶然得知这是因为浏览器的机制问题。 -初步解决- 大概的意思是,默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的。所以,当你再次访问远程api的候,cookie是不会被上的,于是乎,服务器理所当然地认
java跨域问题
qq_43393995的博客
11-16 1188
项目接口访问出现allowedOrigins cannot contain the special value "*"场景:前端请求接口跨域,又出现这个问题了,又是一次百度,网上一堆配置,觉得有必要记录一下。遇到的问题:spring boot版本引起的跨域报错。
跨域请求cookie需配置Access-Control-Allow-Credentials为true
时清云的博客
05-04 9795
一、跨域请求cookie,需要配置以下三方面: 1.前端请求在request对象中配置"withCredentials": true; axios({ withCredentials: true, // ++ method: "get", url: "http://localhost:8080/crosslist", }).then((res) => { console.log(res); }); 2.后端要在跨域服务端在res
漏洞系列之——CORS配置错误
LizePing_的博客
08-14 1万+
CORS配置错误漏洞描述漏洞等级漏洞危害易受攻击的示例: 漏洞描述 API 域存在站点范围的 CORS 错误配置。这允许攻击者代表用户发出跨源请求,因为应用程序没有将 Origin 标头列入白名单并且具有 Access-Control-Allow-Credentials: true 意味着我们可以使用受害者的凭据从攻击者的站点发出请求。 漏洞等级 高危 漏洞危害 BURP HEADER> Origin: https://evil.com VICTIM HEADER> Access-Control
Nginx服务器中处理AJAX跨域请求的配置方法讲解
01-10
Nginx 实现AJAX跨域请求 AJAX从一个域请求另一个域会有跨域的问题。那么如何在nginx上实现ajax跨域请求呢?要在nginx上启用跨域请求,需要添加add_header Access-Control*指令。如下所示: location /{ add_header 'Access-Control-Allow-Origin' 'http://other.subdomain.com'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2168
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
SpringBoot 配置跨域问题处理
John的博客
07-17 789
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentialsAllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
跨域使用
林太白
07-18 144
跨域问题解决和使用
解决Access-Control-Allow-Credentials跨域问题
qq_44862029的博客
08-10 3467
Access-Control-Allow-Credentials跨域问题
跨域
qq_35676427的博客
02-03 196
跨域参数 参数 说明 allowCredentials 配置是否允许发送Cookie,用于 凭证请求, 默认不发送cookie allowedHeaders 配置允许的自定义请求头,用于 预检请求 allowedMethods 配置跨域请求支持的方式,如:GET、POST,且一次性返回全部支持的方式 allowedOrigins 配置允许访问的源,如:http://demo.com,*表示允许全部的域名 exposedHeaders 配置响应的头信息, 在其中可以设置其他的头
解决跨域配置问题:When allowCredentials is true, allowedOrigins cannot contain the special value
热门推荐
TanaStudy的博客
08-16 1万+
1、问题描述 SpringBoot配置跨域出现: java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the "Access-Control-Allow-Origin" response header. To allow credentials to a set of
Js设置前端允许跨域请求后端API:Access-Control-Allow-Credentials
盏茶作酒的博客
09-28 4751
跨域报错信息: Console代码 收藏代码 Fetch API cannot load https://xxx.com/api. Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Credentials' header ...
Springboot跨域配置报错:When allowCredentials is true, allowedOrigins cannot contain the specia
brilliantZC的博客
01-14 1万+
错误信息为: When allowCredentials is true, allowedOrigins cannot contain thespecial value "*"since that cannot be set on the “Access-Control-Allow-Origin” response header. To allow credentials to a set of origins, list them explicitly or consider using “allowe
nginx在http级中配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials禁止跨域请求
最新发布
01-06
在nginx中配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials来禁止跨域请求的方法如下: 1. 打开nginx的配置文件,通常位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf。 2. 在http...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值