使用ajax跨域Cross-Origin Resource Sharing / withCredentials的作用

最新推荐文章于 2024-08-02 11:11:01 发布
最新推荐文章于 2024-08-02 11:11:01 发布
阅读量2.5k 收藏
点赞数
分类专栏: JavaScript

HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信,于是为了达到跨域通信的目的各种蛋疼的解决办法出现了,常用的有:jsonp、使用代理文件、地址栏hash等等,这些办法的出现在达到解决跨域问题的同时,也增加了前端页面的性能开销和维护成本。HTML5新的标准中,增加了” Cross-Origin Resource Sharing”特性,这个特性的出现使得跨域通信只需通过配置http协议头来即可解决。

Cross-Origin Resource Sharing 详细解释见:
http://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html

Cross-Origin Resource Sharing实现的最重要的一点就是对参数” Access-Control-Allow-Origin”的配置,即通过 次参数检查该跨域请求是否可以被通过。
如:Access-Control-Allow-Origin:http://a.com表示允许a.com下的域名跨域访问;

Access-Control-Allow-Origin:*表示允许所有的域名跨域访问。

如果需要读取读取cookie:

默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭据。如果服务器接收带凭据的请求,会用下面的HTTP头部来响应。

需要配置参数:

Access-Control-Allow-Credentials:true

同时在xhr发起请求的时候设置参数withCredentials为true:

var xhr = new XMLHttpRequest();
xhr.open();
xhr.withCredentials = true; //这个放在xhr.open后面执行,否则有些浏览器部分版本会异常,导致设置无效。

如果发送的是带凭据的请求,但服务器的相应中没有包含这个头部,那么浏览器就不会把相应交给JavaScript(于是,responseText中将是空字符串,status的值为0,而且会调用onerror()事件处理程序)。另外,服务器还可以在Preflight响应中发送这个HTTP头部,表示允许源发送带凭据的请求。

支持withCredentials属性的浏览器有Firefox 3.5+、Safari 4+和Chrome。IE10及更早版本都不支持。

示例代码:
php:

header('Access-Control-Allow-Origin:http: //a.com');
header('Access-Control-Allow-Methods:POST,GET');
header('Access-Control-Allow-Credentials:true'

JS:

var xhr = new XMLHttpRequest(); ; 
xhr.open('GET', 'http: //b.com/cros/ajax.php', true);
xhr.withCredentials = true;
xhr.onload = function () {          
  alert(xhr.response);//reposHTML;
};  
xhr.onerror = function () {
 alert('error making the request.');
};
xhr.send();

参考:http://www.alloyteam.com/2012/11/html5-cors/

TracyZhou0907
关注
专栏目录
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
1. **CORS(Cross-Origin Resource Sharing)**:服务器端设置Access-Control-Allow-Origin等响应,允许特定域名的请求访问。这是推荐的解决跨域问题的标准方法。 2. **JSONP(JSON with Padding)**:通过动态...
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
Cross-Origin Read Blocking (CORB) blocked cross-origin response
热门推荐
YangzaiLeHeHe的博客
11-02 2万+
文章目录一、背景二、描述问题1、前因后果2、分析三、CORS1、 概念四、CORB1、概念2、一些概念3、说正事4、分析 一、背景 最近一直在做项目联调,由于系统对接了N个第三方厂商,于是乎扯出了一堆的跨域问题,他们是下面这样的: https域名访问http域名被浏览器禁止 接口未开放跨域能力 有一天 我看到了这个: 看不清的话看这里 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://a.g.t.cn
iframe嵌入跨域错误
最新发布
m0_70903072的博客
08-02 429
Blocked a frame with origin 正常情况下,如果iframe嵌入的页面跟外部页面没有交互情况下 不会存在跨域问题,但是这次嵌入的页面调用了一个外部js,里面写了一个方法 window.top.xx。当我们使用 window.parent 或 window.top 来获取父页面的 window 对象,如果两个的域名不一样,所以会出现跨域问题。## 子页面传父页面。## 父页面传子页面。
Cross-Origin Read Blocking (CORB)
weixin_33743880的博客
04-26 2万+
本文的开始源于落地页项目中遇到的 Chrome 控制台 warn 提示,担心影响页面渲染,特此弄个究竟。提示如下, Cross-Origin Read Blocking (CORB) blocked cross-origin response https://www.example.com/example.html with MIME type text/html. See https://www...
ajax 跨域,解决方案
油墨香^-^的博客
05-17 3159
答案:只需要点击标题下面的蓝色字【web前端开发】关注即可。 前言 从刚接触前端开发起, 跨域这个词就一直以很高的频率在身边重复出现,一直到现在,已经调试过N个跨域相关的问题了,16年时也整理过一篇相关文章,但是感觉还是差了点什么,于是现在重新梳理了一下。 个人见识有限,如有差错,请多多见谅,欢迎提出issue,另外看到这个标题,请勿喷~ 题纲 关于跨域,有N种类型,本文只专注于 ajax请求跨域(ajax跨域只是属于浏览器"同源策略"中的一部分,其它的还有Cookie跨域iframe跨域,Loc
异常 AJAX 跨域请求报:No ‘Access-Control-Allow-Origin‘ header is present
01-15
要解决这个问题,我们需要理解CORS(Cross-Origin Resource Sharing,跨源资源共享)机制。CORS是现代浏览器提供的一种安全机制,允许特定的跨域请求。在服务器端,你需要设置`Access-Control-Allow-Origin`响应来...
SpringBoot实现前后端分离的跨域访问(CORS)
01-27
3. **使用注解(@CrossOrigin)**:在控制器或方法上使用`@CrossOrigin`注解,方便地配置跨域规则。 4. **手工设置响应**:在处理请求的方法内,手动设置`HttpServletResponse`的响应,如`response.setHeader(...
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
CORS(Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP部来告诉浏览器允许一个域上的网页访问另一个域上的资源。 在Tomcat服务器的`conf/web.xml`配置文件中,你可以添加以下CORS Filter配置: ``...
AJAX跨域实现的三种方式
06-25
- 如果使用Spring框架,可以通过添加`@CrossOrigin`注解到控制器方法或整个控制器类上来轻松实现CORS支持。这个注解可以指定允许的源、方法、等信息。 总的来说,解决AJAX跨域问题通常需要结合客户端和服务器端...
前后端交互 -- ajax跨域之CORS
CSDN_GMC的博客
04-15 736
解决跨域--CORS一. CORS跨域设置1. 允许跨域 Access-Control-Allow-Origin2. 允许客户端获取的部信息 Access-Control-Expose-Headers3. 允许前端设置的部 Access-Control-Allow-Headers4. 设置前端允许发送的请求方式 Access-Control-Allow-Methods5. 允许携带凭证 Acc...
localhost/:12 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://c.y.qq.com/v8/
朽木自雕的博客
12-05 5665
关于CORB解决报错原因: localhost/:12 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://c.y.qq.com/v8/fcg-bin/v8.fcg?g_tk=976692372&inCharset=utf-8&outCharset=utf-8&notice=0&a...
spring解决服务端跨域问题
lyk的博客
03-04 982
1、使用注解 @CrossOrigin 在Controller层加上**@CrossOrigin**注解即可 @RestController @CrossOrigin(origins = "*",maxAge = 1800L) public class HelloController { } 2、过滤器 package com.ivan.config; import org.springframework.context.annotation.Configuration; import or
Ajax:Cross-Origin Resource Sharing
火箭豹
08-14 2191
沙箱机制,如何跨域
ajax的CORS跨域
wenxin_liu的博客
06-21 233
简介 因为浏览器的“同源策略”,协议、域名、端口号若有一个不同,则不能访问。AJAX本身是不能跨域的,AJAX直接请求普通文件存在跨域无权限访问的问题,只要是跨域请求,一律不准;但是配合后台可以跨域。 因为同源策略限制的是浏览器但是对服务器不限制,服务器可以跨域。 那是不是用JavaScript无法请求外域(就是其他网站)的URL了呢?方法还是有的,以下介绍CORS跨域 CORS跨域 CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C的一个草案,定义了在必须访问跨域
解决chrome阻止跨域方式,jquery-3.1.1.min.js:4 Cross-Origin Read Blocking (CORB) blocked cross-origin response
09-26 1万+
《解决浏览器请求成功数据被拦截,获取不到数据问题》 **备注:**先保存3条cmd代码,执行后会重启浏览器 原文链接:https://blog.csdn.net/MisTTT/article/details/75976123 解决chrome对跨域请求禁止的约束: 在命令行执行命令: start chrome.exe --args --disable-web-security --user-dat...
JQueryAjax+SpringMVC跨域请求(转)
ecnu344的专栏
08-29 1741
jquery.min.js:4 Cross-Origin Read Blocking (CORB) blocked cross-origin  跨域:浏览器对于javascript的同源策略的限制,例如a.cn下面的js不能调用b.cn中的js,对象或数据(因为a.cn和b.cn是不同域),所以跨域就出现了. 参考:https://blog.csdn.net/xuhonglei_2004/ar...
Ajax跨域解决方案详解:JSONP、CORS、代理请求方式
CORS请求原理是基于W3C标准的跨域资源共享(Cross-origin resource sharing)。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 九、如何判断是否是简单请求? 判断是否是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值