和跨域CORS有关的几个请求头和响应头请求头

最新推荐文章于 2024-05-26 22:33:39 发布
最新推荐文章于 2024-05-26 22:33:39 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 浏览器 js 文章标签: http 跨域请求头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjing0320/article/details/121230242
版权

阮一峰:http://www.ruanyifeng.com/blog/2016/04/cors.html添加链接描述
参考: https://blog.csdn.net/qq_29923881/article/details/103510440
解释:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Max-Age

结论:

请求头响应头
OriginAccess-Control-Allow-Credentials
Access-Control-Request-HeadersAccess-Control-Allow-Headers
Access-Control-Request-MethodAccess-Control-Allow-Methods
Access-Control-Allow-Origin
Access-Control-Expose-Headers
Access-Control-Max-Age

请求头:

  1. Origin:当前请求源,和响应头里的Access-Control-Allow-Origin 对标, 是否允许当前源访问,Origin是不可修改的
  2. Access-Control-Request-Headers:本次真实请求的额外请求头,和响应头里的Access-Control-Allow-Headers对标,是否允许真实请求的请求头
  3. Access-Control-Request-Method:本次真实请求的额外方法,和响应头里的Access-Control-Allow-Methods对标,是否允许真实请求使用的请求方法

响应头

  1. Access-Control-Allow-Credentials

这里的Credentials(凭证)其意包括:Cookie ,授权标头或 TLS 客户端证书,默认CORS请求是不带Cookies的,这与JSONP不同,JSONP每次请求都携带Cookies的,当然跨域允许带Cookies会导致CSRF漏洞。如果非要跨域传递Cookies,web端需要给ajax设置withCredentials为true,同时,服务器也必须使用Access-Control-Allow-Credentials头响应。此响应头true意味着服务器允许cookies(或其他用户凭据)包含在跨域请求中。另外,简单的GET请求是不预检的,即使请求的时候设置widthCrenditials为true,如果响应头不带Access-Control-Allow-Credentials,则会导致整个响应资源被浏览器忽略。

  1. Access-Control-Allow-Headers
  2. Access-Control-Allow-Methods
  3. Access-Control-Allow-Origin
  4. Access-Control-Expose-Headers
    在CORS中,默认的,只允许客户端读取下面六个响应头(在axios响应对象的headers里能看到):

Cache-Control
Content-Language
Content-Type
Expires
Last-Modified
Pragma

如果这六个以外的响应头要是想让客户端读取到,就需要设置Access-Control-Expose-Headers这个为响应头名了,比如Access-Control-Expose-Headers: Token

  1. Access-Control-Max-Age:设置预检请求的有效时长,就是服务器允许的请求方法和请求头做个缓存
街边吃垃圾
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
携带请求头解决跨域的方法_解决跨域请求问题
weixin_28749363的博客
01-12 3964
1 跨域请求在构建分布式系统时,将门户系统(负责前端页面展示的控制器)和获取数据的系统(从数据库获取资料)分开。在开发过程中,会遇到跨域请求问题。什么是跨域请求跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。资源跳转: A链接、重定向、表单提交资源嵌入: <link>、<script>、<img>、<frame> 等 dom...
使用CORS实现JavaWeb跨域请求问题的方法
09-01
在这个方法中,我们首先将请求和响应对象转换为`HttpServletRequest`和`HttpServletResponse`,然后设置响应以允许跨域请求。 - `Access-Control-Allow-Origin`:这个指定哪些源可以访问资源。设置为`"*"`表示...
跨域请求
huhao__zjp的博客
06-24 592
请求头
前端跨域解决方案
最新发布
在所有的事情背后,要有一颗坚定的的本心,要有一颗应对变革和提升自我的本心,世界瞬息万变,本心要坚持到底,保持学习,时刻复盘
05-26 537
跨域"是指浏览器为了安全性,设置的同源策略限制同源策略是一种约定,它是浏览器的一种安全功能,只允许web页面请求同一个源(协议,域名和端口)的资源换句话说,如果在浏览器中运行的网页试图请求来自不同源的资源,就会发生"跨域",这通常会被浏览器所禁止。以下是几种跨域的情况:URL(Uniform Resource Locator)是互联网上的一种资源的简洁标识。它是一种特定格式的字符串,可以指向互联网上的任何资源。以下是一个URL的完整示例:http://username:password@www.exampl
跨域请求的含义
weixin_30394251的博客
03-29 196
感谢:http://web.jobbole.com/87885/ 浏览器的同源策略,出于防范跨站脚本的攻击,禁止客户端脚本(如 JavaScript)对不同域的服务进行跨站调用。 一般的,只要网站的协议名protocol、主机host、端口号port这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用。这也是我们下面实践的理论基础。我们利用 NodeJs 创建了两个服务器,分...
post跨域请求,并设置请求头
luckydie的博客
03-21 970
post跨域请求
跨域CORS有关的几个请求头响应以及预检请求
印第安米饭
12-12 4565
关于预检请求: 我们经常看到请求里偶尔会带着一个OPTIONS请求,这并不是我们人工添加的,为什么会出现呢? 原来在CORS跨域资源共享时,如果这次请求符合预检请求触发条件,就会被认为请求有一定风险,服务器它就不敢主动帮我们接受请求了,就需要由我们指定这次跨域请求哪些安全哪些不安全,所以会比普通cors请求多一步,需要提前通过OPTIONS方法的预检请求,和服务器确认我们的请求符合不符合条件: ...
请求头跨域
maichaoqun的博客
11-26 5116
第一次接触nodejs+express+mongoose写接口,过程中踩坑无数,没接触过后端遇到跨域问题真的是一个接着一个问题,经过各种百度和交流群求救才解决问题,虽然我的最终问题有点坑,但还是感谢发烧友的帮助明白了这是一个请求响应跨域问题,并且致命点在于没搞清楚响应请求头之间的关系,实际上响应请求头原来是包含关系。 环境 前端框架:vue-cli2.x项目 请求:axios 数据库...
用于检测HTTP请求头缺失和CORS跨域漏洞的工具
07-02
- 报告检测结果,列出存在问题的请求头CORS配置。 4. **使用场景**: - 在开发阶段,确保API和Web服务的部设置正确无误。 - 在生产环境,定期进行安全审计,防止新的安全漏洞出现。 - 在进行渗透测试时,...
浅析jsopn跨域请求原理及cors跨域资源共享)的完美解决方法
12-07
这段PHP代码告诉浏览器,任何源都可以通过GET或POST方法进行跨域请求,同时允许`X-Requested-With`和`Content-Type`这两个请求头。 在客户端,使用AJAX发起CORS请求时,通常无需特殊处理,因为浏览器会自动处理CORS...
探讨跨域请求资源的几种方式(总结)
09-01
跨域请求资源是Web开发中常见的一类问题,由于浏览器的同源策略限制,JavaScript只能访问与当前页面同源(相同协议、域名和端口)的资源。为了解决这个问题,开发者采用了一些策略来实现跨域请求。以下是几种常见的...
跨域访问-需要设置HTTP响应设置
05-05
解决跨域访问-需要设置HTTP响应设置
js实现跨域的几种方法汇总(图片ping、JSONP和CORS
11-22
CORS中,需要注意的是,若要实现跨域,服务器端必须在响应中包含`Access-Control-Allow-Origin`字段,其值可以是特定的源,也可以是星号`*`,表示允许所有源访问。 总结来说,图片ping适合简单的跨域请求,仅限...
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5060
它也是一个逗号分隔的字符串,表明服务器支持的所有信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
跨域请求设置
沙骑马
05-26 3754
#后台配置跨域 这里后台配置了Access-Control-Allow-Methods:*严格标准是不支持的,可能会导致部分浏览器请求失败!
设置跨域请求
weixin_30693183的博客
06-11 276
res.setHeader("Access-Control-Allow-Origin", "*"); res.setHeader("Access-Control-Allow-Headers", "*"); res.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, OPTIONS"); 转载于:https://www.c...
【解决办法】JAVA服务端解决跨域问题 CORS请求头方式
热门推荐
弱水提沧的博客
08-31 1万+
最近与前端进行本地联调时,发生了跨域的问题,无法访问我的服务端地址,使用了以下的方式进行了解决。 解决的办法是通过fileter中写入ACCESS-Control-Allow的信息,进行跨域访问,代码如下: public class CrossDomainFilter implements Filter{ @Override public void destroy() { // T...
cors 请求头设置
qq_33269443的博客
07-02 2027
const koa=require('koa') const app=new koa() app.use(async function(ctx, next) { // ctx.set("Access-Control-Allow-Origin", ctx.request.header.origin) ctx.set("Access-Control-Allow-Origin",'*'...
服务器跨域
齐枫的博客
05-29 2077
ajax跨域请求的时候加上下面两段就可以解决了 header(&amp;quot;Access-Control-Allow-Origin:*&amp;quot;); header(&amp;quot;Access-Control-Allow-Credentials: true&amp;quot;);
cors跨域资源请求修复建议
05-23
2. CORSCORS是一种标准的跨域解决方案,它通过在服务端设置Access-Control-Allow-Origin响应,允许指定的域名访问该资源。 3. 代理:通过在自己的服务器上建立一个代理服务器,在代理服务器上发送跨域请求,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值