由 Credentials 引起的cors跨域问题

最新推荐文章于 2025-03-19 14:27:48 发布
最新推荐文章于 2025-03-19 14:27:48 发布
阅读量1.3w 收藏 12
点赞数 2
分类专栏: 计算机网络 JavaScript乱七八糟 文章标签: credentials http 跨域 前端
随意转载,但请注明出处。倘若略有收获,望不吝点赞
本文链接:https://blog.csdn.net/zSY_snake/article/details/105230125
版权

Access-Control-Allow-Credentials

首先介绍一下Access-Control-Allow-Credentials这个响应头字段:

Access-Control-Allow-Credentials,标志是否允许客户端请求携带Credentials(凭证)Credentials可以是 cookies, authorization headersTLS client certificates.(一般可能携带cookies的情况比较多)。该响应头只能是true或者不设置!

当作为对预检请求(Option请求)的响应的一部分时,它指示是否可以使用Credentials(凭证)进行实际请求。请注意,简单的GET请求是没有预检的,所以若一个对资源的请求带了Credentials,如果这个响应头(Access-Control-Allow-Credentials)没有随资源返回,响应就会被浏览器忽视,不会返回到web内容,预检请求也会因此抛出不能通过预检的error。

需知

Access-Control-Allow-Credentials头 工作中与XMLHttpRequest.withCredentialsFetch API中的Request() 构造器中的credentials 选项结合使用。Credentials必须在前后端都被配置(即the Access-Control-Allow-Credentials headerXHRFetch request中都要配置)才能使带credentialsCORS请求成功. 必需请求和response header都支持!!!

使用方式

XHR 使用 Credentials

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true); 
xhr.withCredentials = true;  // 设置withCredentials为true
xhr.send(null);

JQ 使用 Credentials

使用的话则设置withCredentialstrue不使用则为false,MDN中明确指出withCredentials默认值为false,但是根据阮一峰的一篇相关文章中评论似乎实际情况中默认值不生效,

$.ajax({
    type:"POST",
    url: 'http://example.com/',
    data: {},
    xhrFields: {
        withCredentials: true // 设置withCredentials为true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

fetch 使用 Credentials

fetch控制Credentials的选项有三个:

  • 请求时携带凭证:credentials: 'include'
  • 仅在同源时请求时携带凭证:credentials: 'same-origin'(浏览器默认值,在旧版本浏览器,例如safari 11依旧是omit,safari 12已更改)
  • 不在请求中包含凭证,credentials: 'omit'
fetch(url, {
  credentials: 'include'  
})

response header

Access-Control-Allow-Credentials: true

注意

要注意,当设置了 Access-Control-Allow-Credentialstrue 时,Access-Control-Allow-Origin 不能为*,也是出于一种安全策略,比如:在cookie中存取的是用户的登录信息,又不限制客户端的请求来源,他人获取到cookie以后则可随意发起请求,登录该用户账号,损害用户权益

CORS问题全解:原理、问题与解决方案
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
08-19 2万+
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
解决Access-Control-Allow-Credentials问题
qq_44862029的博客
08-10 4453
Access-Control-Allow-Credentials问题
浅析CSRF读取型漏洞之CORS
记录学习,一起进步
03-07 979
浅析CSRF读取型漏洞之CORS
Access-Control-Allow-Credentials问题
热门推荐
柯基的博客
05-31 2万+
Access-Control-Allow-Credentials问题前端向后端请求接口数据时在控制台报出错误: 解决方法:前端: 在config文件下的index.js中` module.exports = { dev: { // Paths assetsSubDirectory: 'static', assetsPublicPath: '/', proxyTable: { '/api': { target: 'http://l
CORS解决问题
最新发布
weixin_68901096的博客
03-19 951
text/plain;请求中的任意对象均没有注册任何事件监听器;请求中没有使用对象。请求中没有手动设置过请求头(例如,使用。
Access-Control-Allow-Credentials
yehui186之中期回顾
08-15 7944
前后端分离的项目中肯定会碰到问题,究其原因还是为了安全。我在一个前端工程调试过程中发现,即使我后端已经允许了,但是前端依然报一个错误。 Access to XMLHttpRequest at 'http://localhost/api/admin/authorizations' from origin 'http://localhost:9528' has been blocke...
请求携带cookie需配置Access-Control-Allow-Credentials为true
时清云的博客
05-04 1万+
一、请求携带cookie,需要配置以下三方面: 1.前端请求时在request对象中配置"withCredentials": true; axios({ withCredentials: true, // ++ method: "get", url: "http://localhost:8080/crosslist", }).then((res) => { console.log(res); }); 2.后端要在服务端在res
php accesscontrolallowcredentials,No Access-Control-Allow-Origin 错误解决
weixin_42613018的博客
04-01 1022
什么是访问在A网站中,我们希望使用Ajax来获得B网站中的特定内容。如果A网站与B网站不在同一个中,那么就出现了访问问题。你可以理解为两个名之间不能名来发送请求或者请求数据,否则就是不安全的。访问违反了同源策略,同源策略规定,浏览器的ajax只能访问跟它的HTML页面同源(相同名或IP)的资源。如何确定是请求A名资源请求到B/C……名你当前访问的名是http的...
脚本无法获取响应主体(原因:CORS Missing Allow Credentials
2504_90266773的博客
02-26 584
前端的端口号8080,后端8000。需在前端向后端传一个参数,让后端访问数据库去检测此参数是否出现过。涉及请求,一直有这个bug是404文件找不到。在修改过程当中不小心删除了一段代码,出现了这个bug(这篇文章要解决的)get访问也被禁了。
credentials: 'include'问题解决方案
蓝色梦幻
11-13 1万+
问题解决方案 今天在写一个项目的时候出现了一个很莫名其妙的问题,除了Get请求其他的请求都报错 在使用Post请求的时候,总是报以下错误。 原因是因为 header中存在自定义属性(content-type) 错误原因: 前端设置: credentials: ‘include’,( 允许 cookie 共享,问题,传Cookie是必须配置) 不传递Cookie时,不允许配置creden...
cors问题对应的jar包.zip
08-19
"cors问题对应的jar包.zip"这个压缩包文件包含了处理问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
react中fetch之cors请求的实现方法
08-27
然而,在使用 Fetch 时,经常会遇到问题,即无法从不同名下的服务器获取数据。这篇文章将介绍如何在 React 中使用 CORS 实现请求。 CORS 介绍 CORS(Cross-Origin Resource Sharing,来源资源共享)是...
详解Spring MVC CORS
08-30
详解 Spring MVC CORS 在 Web 开发中,资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同名下的资源,而不受同源策略的限制。今天,我们主要介绍...
解决响应中“Access Control Allow Credentials”标头的值为“”,当请求的凭据模式为“include”时,该值必须为“true”的问题
qq_42335551的博客
10-27 1260
包含 Access-Control-Allow-Credentials 头部的HTTP 响应(HTTP Response) 将告诉浏览器:服务器允许请求的证书; 如果浏览器发送证书,但是响应没有包含一个有效的 Access-Control-Allow-Credentials 头部 , 浏览器不会暴露响应给应用,失败;允许证书是一个安全风险。
时(cross-origin) Access-Control-Allow-CredentialsCORS-actual request的response 的影响
溺水三千只取一瓢饮
02-28 3285
本文参考了:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials 概述 Access-Control-Allow-Credentials 唯一的合法值是小写的true(大小写敏感)。如果不需要credentials,直接不设置该header,不要设置false...
新鲜出炉的问题前端设置credential: ‘include‘,后端不能用‘*‘通配符匹配所有源
画舸覆堤
09-05 1434
gun
php accesscontrolallowcredentials,CORSAccess-Control-Allow-Header如何工作?
weixin_42196667的博客
04-01 274
我正在尝试使CORS请求从domain.com发送到a.domain.com。我的JavaScript看起来像这样$('#fileupload').fileupload({xhrFields: {withCredentials: true},dataType: 'json',url: $('#fileupload').data('path'),singleFileUploads: true,add...
如何解决 Apache 中 “CORS no allow credentials” 错误 ?
xiaochong0302的博客
12-25 759
如果在 CORS 上下文中看到与 no allow credentials 相关的错误,这个错误可能与 Apache 配置中的 “Access-Control-Allow-Credentials” 头有关。
nodejs解决cors问题
09-09
要解决Node.js中的CORS问题,可以使用以下方法: 在Node.js后台中,可以通过设置响应头来允许访问。在示例代码中,可以看到使用了以下响应头的设置: - 'Access-Control-Allow-Credentials': 'true' :允许后端发送Cookie - 'Access-Control-Allow-Origin': 'http://www.domain1.com' :允许访问的名 此外,还可以使用'Access-Control-Allow-Headers'来指定允许的请求头,以及'Access-Control-Allow-Methods'来指定允许的请求方法。 需要注意的是,虽然这样设置可以允许请求,但由于后端不能写cookie,所以只要在接口的响应中写入一次cookie认证,后面的接口都能从cookie中获取验证信息。 在Vue.js中,可以使用第三方库axios来发送请求。示例代码中使用了this.$http.jsonp来发送请求,其中: - 'http://www.domain2.com:8080/login' 是请求的目标URL - 'jsonp: 'handleCallback' '是指定回调函数的名称 通过以上方法,在Node.js中可以解决CORS问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

衣乌安、

嘿嘿,好心人赏俩钱儿~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值