和跨域CORS有关的几个请求头和响应头请求头

最新推荐文章于 2024-06-17 14:01:42 发布
最新推荐文章于 2024-06-17 14:01:42 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 浏览器 js 文章标签: http 跨域请求头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjing0320/article/details/121230242
版权

阮一峰:http://www.ruanyifeng.com/blog/2016/04/cors.html添加链接描述
参考: https://blog.csdn.net/qq_29923881/article/details/103510440
解释:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Max-Age

结论:

请求头响应头
OriginAccess-Control-Allow-Credentials
Access-Control-Request-HeadersAccess-Control-Allow-Headers
Access-Control-Request-MethodAccess-Control-Allow-Methods
Access-Control-Allow-Origin
Access-Control-Expose-Headers
Access-Control-Max-Age

请求头:

  1. Origin:当前请求源,和响应头里的Access-Control-Allow-Origin 对标, 是否允许当前源访问,Origin是不可修改的
  2. Access-Control-Request-Headers:本次真实请求的额外请求头,和响应头里的Access-Control-Allow-Headers对标,是否允许真实请求的请求头
  3. Access-Control-Request-Method:本次真实请求的额外方法,和响应头里的Access-Control-Allow-Methods对标,是否允许真实请求使用的请求方法

响应头

  1. Access-Control-Allow-Credentials

这里的Credentials(凭证)其意包括:Cookie ,授权标头或 TLS 客户端证书,默认CORS请求是不带Cookies的,这与JSONP不同,JSONP每次请求都携带Cookies的,当然跨域允许带Cookies会导致CSRF漏洞。如果非要跨域传递Cookies,web端需要给ajax设置withCredentials为true,同时,服务器也必须使用Access-Control-Allow-Credentials头响应。此响应头true意味着服务器允许cookies(或其他用户凭据)包含在跨域请求中。另外,简单的GET请求是不预检的,即使请求的时候设置widthCrenditials为true,如果响应头不带Access-Control-Allow-Credentials,则会导致整个响应资源被浏览器忽略。

  1. Access-Control-Allow-Headers
  2. Access-Control-Allow-Methods
  3. Access-Control-Allow-Origin
  4. Access-Control-Expose-Headers
    在CORS中,默认的,只允许客户端读取下面六个响应头(在axios响应对象的headers里能看到):

Cache-Control
Content-Language
Content-Type
Expires
Last-Modified
Pragma

如果这六个以外的响应头要是想让客户端读取到,就需要设置Access-Control-Expose-Headers这个为响应头名了,比如Access-Control-Expose-Headers: Token

  1. Access-Control-Max-Age:设置预检请求的有效时长,就是服务器允许的请求方法和请求头做个缓存
街边吃垃圾
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
携带请求头解决跨域的方法_解决跨域请求问题
weixin_28749363的博客
01-12 3966
1 跨域请求在构建分布式系统时,将门户系统(负责前端页面展示的控制器)和获取数据的系统(从数据库获取资料)分开。在开发过程中,会遇到跨域请求问题。什么是跨域请求跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。资源跳转: A链接、重定向、表单提交资源嵌入: <link>、<script>、<img>、<frame> 等 dom...
AJAX请求及解决跨域问题
m0_59092234的博客
07-30 763
AJAX其实就是异步的js和xml通过ajax可以在浏览器中发送异步请求。最大优势无刷新获取数据优点1.可以无需刷新页面与服务器进行通信2.允许根据用户事件更新部分页面内容当然也存在其缺点问题比如跨域问题等!...
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5098
它也是一个逗号分隔的字符串,表明服务器支持的所有信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
HTTP跨域请求响应
最新发布
HuJunFeng123456的博客
06-17 457
Access-control-allow-origins: 允许的发起方域名,一般设置为*,代表所有。access-control-allow-method: 允许发起的HTTP方法,例如get post。access-control-allow-credentions: 是否允许使用cookie。access-control-allow-heads:设置允许出现的请求头。access-control-allow-caches: 最大保存时间。一般禁止跨域请求,除非服务器允许。
跨域请求设置
沙骑马
05-26 3755
#后台配置跨域 这里后台配置了Access-Control-Allow-Methods:*严格标准是不支持的,可能会导致部分浏览器请求失败!
通过设置响应解决跨域问题
qq_37436172的博客
11-12 4970
网上很多文章都是告诉你直接Nginx添加这几个响应信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
Ajax学习:设置CROS响应实现跨域跨域资源共享)
weixin_47295886的博客
12-02 1745
Access-Control-Max-Age:预请求结果缓存。Access-Control-Allow-Headers:设置信息(自定义不允许 所以需要在响应前接收的任意请求头)Access-Control-Allow-Credentials: 跨域请求时候,是否允许携带验证信息(cookie)Access-Control-Expose-Headers:暴露部信息,客户端同意的哪些可以暴露。Access-Control-Allow-Methods:设置请求允许的方法。httphttp不需要。
前端中的跨域请求及其解决方案
官方推荐
09-14 1万+
前端中的跨域请求及其解决方案
Ajax请求跨域问题及其解决方案
qq_51546137的博客
03-02 2805
我们的传统请求,比如说超链接、form表单,js代码以及直接在浏览器地址栏上写请求地址都不存在跨域问题,能够从一个网站访问另外一个网站,但是我们的Ajax请求会存在跨域问题,其主要是为了解决跨域访问带来的安全隐患。因为浏览器中有一个内置对象XMLHTTPRequest。这个对象是每个网站不共享的,因此不能直接跨域,这样设计是合理的,因为一旦共享该对象,这个对象有一个responseTest属性,那么你的网站就能通过该对象的这个属性拿到我的网站里面的信息,这是不安全的,因此Ajax不能直接跨域
springboot CORS实现跨域请求
HPF_99的博客
12-02 220
在HBuilder中创建项目,创建与idea中springboot Controller数据交互的js文件,代码如下: (使用了jquery,记得导包) <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <center> id:
post跨域请求,并设置请求头
luckydie的博客
03-21 971
post跨域请求
在Spring Boot中如何处理跨域请求CORS)?
Java相关领域
03-20 979
当浏览器执行跨源 HTTP 请求时,根据请求的类型,它可能首先发起一个预请求(preflight request),这是一种使用 OPTIONS 方法的 HTTP 请求,用来检查真实请求是否安全。不过,值得注意的是,确保 Nginx 的 CORS 设置与你的应用安全策略保持一致是非常重要的。如果你的 Web 应用中包含从其他源获取资源的需求(例如,前端应用从不同域名的 API 服务器请求数据),同源策略将默认阻止这种跨源 HTTP 请求。的跨域请求,并且允许特定的 HTTP 方法。
跨域中的 options 请求
忽略身边的噪音 听从自己的选择
10-19 371
但凡被浏览器识别为不同源,浏览器都会认为是跨域,默认是不允许的。比如:试图在中,请求的资源会出现如下错误:这也是前端 100% 在接口调试中会遇到的问题。
【爬虫】requests请求方式、Response、Session
冰冷的希望的博客
10-18 2044
1.requests 该库可以发起http协议的请求,比python原生的urllib更加方便,所以经常会用在爬虫、测试等方向 1.1 安装 pip install requests -i https://pypi.tuna.tsinghua.edu.cn/simple 1.2 请求方式 请求方式包括,get、post、put、patch、delete、options、header。使用的时候可以requests.方法名(),例如requests.get()发起GET请求。当然,也可以使用request(
跨域请求
huhao__zjp的博客
06-24 592
请求头
跨域问题以及解决方式
lz010123的博客
04-22 1081
浏览器的同源政策 处于安全性的考虑 他只允许对应的俩者是同源的内容进行交互和访问 不同源的内容不允许访问
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2244
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
浏览器跨域请求之credentials
热门推荐
vincent_gor专辑
06-19 2万+
前段时间,需要弄个简单的网站出来,访问远程的api服务。 我是这么做的。首先是在搭建一个nodejs服务来运行前端页面。在我请求登录的时候,能成功返回相应的成功信息。然后,当我再次请求读取别的接口的时候,返回的信息确实提示我尚未登录。此时此刻,我一脸蒙逼。明明我已经登陆了啊。后来偶然得知这是因为浏览器的机制问题。 大概的意思是,默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的。
常见的http请求头以及响应
hannah2233的博客
09-30 4753
1、 Accept-Encoding: gzip,deflate 浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate)1、 Referer: 当浏览器向Web服务器发送请求时,一般会带上Refer,告诉服务器从哪个页面链接过来的,服务器可以获得一些信息用于处理。1、 Accept : text/html 浏览器可以接收服务器回发的类型为text/html。2、 Accept: */*代表浏览器可以处理所有类型。
cors跨域资源请求修复建议
05-23
跨域资源请求是指在一个域下的网页去请求另一个域下的资源,由于浏览器的同源策略,这种请求是会被禁止的。为了解决跨域问题,可以考虑以下几种方案: 1. JSONP:JSONP通过动态创建script标签,将需要获取的数据作为参数传递到另一个域下的服务器,该服务器返回一个JSON对象,并将该对象作为回调函数的参数返回给原始域下的页面,从而实现跨域请求。 2. CORSCORS是一种标准的跨域解决方案,它通过在服务端设置Access-Control-Allow-Origin响应,允许指定的域名访问该资源。 3. 代理:通过在自己的服务器上建立一个代理服务器,在代理服务器上发送跨域请求,然后将请求结果返回给前端页面,从而实现跨域请求。 4. postMessage:使用HTML5的postMessage方法,让两个页面之间进行通信,从而实现跨域请求。 以上几种方案各有优缺点,具体选择哪种方案需要根据实际情况来做出决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值