CORS原理及详细使用(转载)

最新推荐文章于 2025-10-29 15:30:30 发布
转载 最新推荐文章于 2025-10-29 15:30:30 发布 · 6.6k 阅读 · 46

本文介绍了CORS(跨域资源共享),它需浏览器和服务器同时支持。CORS分简单请求和非简单请求,前端代码与普通Ajax请求无差异,关键在服务端设置。还介绍了CORS相关字段,如Access-Control-Allow-Methods等。CORS配置简单,兼容性好,优势明显。

CORS:全称"跨域资源共享"(Cross-origin resource sharing)。

CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,就可以实现跨域通信。

请求类型:
CORS分为简单请求和非简单请求(需预检请求)两类

符合以下条件的,为简单请求

请求方式使用下列方法之一:

  • GET
  • HEAD
  • POST

Content-Type 的值仅限于下列三者之一:

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded

对于简单请求,浏览器会直接发送CORS请求,具体说来就是在header中加入origin请求头字段。同样,在响应头中,返回服务器设置的相关CORS头部字段,Access-Control-Allow-Origin字段为允许跨域请求的源。请求时浏览器在请求头的Origin中说明请求的源,服务器收到后发现允许该源跨域请求,则会成功返回。

非简单请求(预检请求)

使用了下面任一 HTTP 方法:

  • PUT
  • DELETE
  • CONNECT
  • OPTIONS
  • TRACE
  • PATCH

 
Content-Type 的值不属于下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

当发生符合非简单请求(预检请求)的条件时,浏览器会自动先发送一个options请求,如果发现服务器支持该请求,则会将真正的请求发送到后端,反之,如果浏览器发现服务端并不支持该请求,则会在控制台抛出错误。

前端代码与发送普通Ajax请求没有差异,我们只需在服务端设置即可

以node做服务端为例:

var express = require('express');
var app = express();
var allowCrossDomain = function (req, res, next) {
  res.header('Access-Control-Allow-Origin', 'http://localhost:3001');
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
}
app.use(allowCrossDomain);

接下来,http://localhost:3001下的GET,PUT,POST,DELETE请求,自定义首部字段为Content-Type的非简单请求则会被正常访问,当然,你也可以将Access-control-Allow-Methods和Access-Control-Allow-Headers这两个配置删掉,删掉之后,将仅支持简单请求进行跨域。
--------------------- 

CORS字段介绍:
(1)Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

(2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

(3)Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

(4)Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。

总结:
总的来说,使用CORS简单请求,非常容易,对于前端来说无需做任何配置,与发送普通ajax请求无异。唯一需要注意的是,需要携带cookie信息时,需要将withCredentials设置为true即可。CORS的配置,完全在后端设置,配置起来也比较容易,目前对于大部分浏览器兼容性也比较好。CORS优势也比较明显,可以实现任何类型的请求,相较于JSONP跨域只能使用get请求来说,也更加便于我们使用。


原文地址:https://blog.youkuaiyun.com/badmoonc/article/details/82706246 

相关链接:AJAX详解-廖雪峰官网 

【项目开发】如何解决跨源资源共享(CORS)?
等风来
11-21 1565
跨源资源共享标准新增了一组 HTTP 标头字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求。服务器确认允许之后,才发起实际的 HTTP 请求。
【网络安全】DNS重绑定原理详析
等风来
09-06 2230
DNS重绑定攻击的核心原理是利用DNS解析过程中域名可以多次解析为不同IP地址的特性,结合浏览器同源策略的弊端,使受害者的浏览器错误地信任攻击者控制的恶意服务器并进行恶意通信。
CORS原理及应用
dianyi3179的博客
07-09 346
CORS原理及应用 CORS是跨站资源共享,同样是解决浏览器的同源策略 其本质是设置响应头,使得浏览器允许跨域请求。 第三方网站返回数据的时候在浏览器的响应头中添加允许的域名,允许所有的用* 1 简单请求 简单请求是只发一次请求 ajax请求不变,第三方后台修改 s4的后台,在返回值中添加允许的域名和端口,注意不同后面写具体的域名,自己出错是在后面加上了cors 允许所有的,用* d...
CORS 详解:原理、机制与解决方案
2302_81141145的博客
07-09 1267
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种基于HTTP 头的机制,允许服务器标识哪些外部源(域、协议或端口)可以访问其资源。通过浏览器与服务器的配合,CORS 打破了浏览器默认的 同源策略(Same-Origin Policy),实现了安全的跨域通信。
BFC详解:揭秘CSS布局的神器
最新发布
OG25_的博客
10-29 928
BFC(Block Formatting Context,块级格式化上下文)是 CSS 中的一种布局机制。它决定了元素如何在页面上进行定位、布局以及与周围元素的相互影响。可以把 BFC 理解为一个独立的“环境”或“隔离空间”,在这个空间中的元素不会影响外部的布局,外部的布局也不会影响其中的元素。BFC 是 CSS 中重要的布局概念。它定义了一个独立的渲染区域,使其中的元素在垂直方向上的排列、浮动的包裹与外部的交互行为都受其独立控制。
CORS中继站操作说明
01-14
在GPS架设基站作业时,常常会由于电台信号距离有限,内置电台一般三四公里,通过架设中继站,可以有效增强传输距离
CORS原理
weixin_34192816的博客
02-19 408
http://blog.youkuaiyun.com/renfufei/article/details/51675148 https://html.spec.whatwg.org/multipage/infrastructure.html#cors-settings-attribute http://www.ruanyifeng.com/blog/2016/04/cors.html http://www...
跨域访问方法介绍(7)--使用 CORS
chinaherolts2008的博客
07-05 717
CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。本文主要介绍 CORS 的基本使用,文中所使用到的软件版本:Chrome90.0.4430.212、jquery 1.12.4,Spring Boot2.4.4、jdk1.8.0_181。 1、CORS 简介 CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能..
转载】ajax跨域及解决方案(jsonp、cors
2401_84093837的博客
04-21 533
今天的文章可谓是积蓄了我这几年来的应聘和面试经历总结出来的经验,干货满满呀!如果你能够一直坚持看到这儿,那么首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!可以非常负责地说,如果你能够坚持把我上面列举的内容都一个不拉地看完并且全部消化为自己的知识的话,那么你就至少已经达到了中级开发工程师以上的水平,进入大厂技术这块是基本没有什么问题的了。历总结出来的经验,干货满满呀!如果你能够一直坚持看到这儿,那么首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!
【Gin框架入门到精通系列06】Gin中的中间件机制
GopherTribe的博客
03-26 1104
本文详细介绍了Gin框架中中间件的工作原理、内置中间件使用及自定义中间件开发,并通过丰富的代码实例展示中间件在请求处理、权限控制、性能优化等方面的应用,帮助开发者构建更加健壮的Go Web应用。
11道浏览器原理面试题
开源世界
07-01 727
浏览器与新技术 这是一篇很长的文章,可以算上一本小书了,有精力的非常建议阅读。 常见的浏览器内核有哪些? 浏览器/RunTime 内核(渲染引擎) JavaScript 引擎 浏览器的主要组成部分是什么? 用户界面 - 包括地址栏、前进/后退按钮、书签菜单等。除了浏览器主窗口显示的您请求的页面外,其他显示的各个部分都属于用户界面。 浏览器引擎 - 在用户界面和呈现引擎之间传送指令。 呈现引擎 - 负责显示请求的内容。如果请求的内容是 HTML,它就负责解析 HTML 和 CSS 内容,并将解析后的内容显示
cors原理
qq_40409143的博客
12-01 1445
1.cors是跨域资源的共享 2.该技术通过在在目标域名返回cors响应头来获取该域名的数据 3.核心设置resquest header,分为简单请求和复杂请求 4.简单请求只需要设置Access-Control-Allow-Origin目标源即可,复杂请求则分两步走,第一步是浏览器发起 OPTIONS 请求,第二步才是真实请求。OPTIONS 请求需要把服务器支持的操作通过响应头来表明,如 Access-Control-Allow-Methods: POST, GET, OPTIONS,另外一个重要的响应
CORS原理详解
qq_44197554的博客
05-31 5069
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
cors使用
m0_72231852的博客
12-31 765
CORS是一种机制,它使得浏览器可以向不同域名的服务器发送XMLHttpRequest请求。在默认情况下,浏览器会阻止这种跨域请求,以保护用户的安全。但是,如果服务器允许跨域请求,那么浏览器就可以正常发送请求并接收响应。当浏览器遇到跨域请求时,它会先发送一个预检请求(OPTIONS请求),以确定服务器是否允许该请求。如果服务器返回的响应中没有包含正确的CORS配置信息,那么浏览器就会抛出一个错误。CORS(跨域资源共享)是一种Web标准,它允许浏览器向跨源服务器发送XMLHttpRequest请求。
原理分析CORS——我们到底是怎么跨域的
weixin_34254823的博客
10-06 181
同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好: URL 说明 是否允许 http://www.a.com/a.js/ http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js / http://www.a.com/script/b.js...
CORS正确使用姿势
热门推荐
jlin991的博客
02-25 1万+
CORS用法首先要知道的是对于CORS,我们要用到XHR2,然后IE的话是XDomainRequest Object,它从IE10开始才是XHR2. IE 8 9都是XDomainRequest首先需要写一个处理兼容性的函数,确定是哪个浏览器上运行function createCORSRequest(method,url){ var xhr=new XMLHttpRequest();
cors跨域资源共享的原理和简单应用
龙游浅滩的博客
09-22 559
一.CORSCORS(Cross-Origin Resourse Sharing),跨源资源共享,是一份浏览器技术的规范,提供了Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是JSONP模式的现代版。二. CORS原理CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务
cors的实现原理
weixin_34296641的博客
01-11 350
  如何辨认一个请求的源domain?   如何发送和处理cors请求?   优势 和 弱点   cookie 和 伪装     1. http://www.staticapps.org/articles/cross-domain-requests-with-cors 2. wikipedia 3....
跨域CORS原理及调用具体示例
dawuafang
06-20 169
上篇博客介绍了JSONP原理,其不足,就是只能使用GET提交,若传输的数据量大,这个JSONP方式就歇菜了。那这篇博客就来介绍另一种跨域介绍方案—CORS。 相对JSONP,CORS支持POST提交,并且实施起来灰常简单,CORS原理只需要向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allo...
在Vue.js项目中,使用contentWindow.print()方法配合iframe打印PDF时遇到跨域问题。通过Ajax请求获取流,利用Blob处理二进制流并转换为URL,然后使用window.URL.createObjectURL(blob)解决跨域打印问题,但需要注意释放资源。 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.youkuaiyun.com/y1009666319/article/details/103935774
04-28
<think>嗯,我现在需要解决在Vue.js项目中通过iframe使用contentWindow.print()打印PDF时的跨域问题。用户提到使用Ajax请求流并用Blob处理二进制数据生成URL,同时要注意释放资源。首先,我得理清整个流程。 首先,跨域问题通常是由于浏览器的同源策略导致的。如果PDF资源在另一个域,直接通过iframe加载可能会被阻止。所以用户的方法是通过Ajax获取PDF的二进制流,然后用Blob转换成URL,这样应该可以绕过跨域限制,因为Ajax请求可以设置响应类型为blob,而Blob URL是同源的。 接下来,用户提到使用window.URL.createObjectURL(blob)来生成一个临时URL,并把这个URL赋给iframe的src。这样iframe就可以加载这个同源的URL,从而避免跨域问题。不过需要注意的是,生成Blob URL之后,必须在适当的时候释放它,否则可能会内存泄漏。用户示例代码中有使用window.URL.revokeObjectURL(blob),但可能需要确认是否正确执行。 然后,用户想在Vue.js中实现这个功能。Vue.js通常使用axios或fetch进行Ajax请求,所以需要配置responseType为'blob'。例如,在axios中设置responseType: 'blob',这样返回的数据就是Blob对象。然后创建Blob URL,并赋值给iframe的src。接着,在iframe加载完成后调用contentWindow.print()方法触发打印。 但是,可能存在几个问题。首先,跨域请求需要服务器端设置CORS头部,比如Access-Control-Allow-Origin。否则,即使前端使用Ajax获取数据,也可能被服务器拒绝。其次,在生成Blob URL后,如果iframe还没有加载完成就调用print(),可能会失败。所以需要确保在iframe的onload事件中执行打印。此外,在Vue中操作DOM可能需要使用refs来获取iframe元素,或者在mounted生命周期钩子中处理。 另外,用户提到释放资源,应该在打印完成后立即调用revokeObjectURL,但如果在iframe加载后立即释放,可能会导致资源不可用。所以正确的做法是在确保iframe已经加载并打印之后再释放,比如使用setTimeout或者监听iframe的load事件后再执行revoke。 现在,我需要结合用户的引用内容来看。引用[1]和[2]展示了通过Ajax获取二进制流,生成Blob URL,然后通过iframe加载并打印的流程。引用[3]使用axios处理跨域请求,并在iframe的onload事件中调用打印。引用[4]则展示了另一种通过XHR处理响应并写入iframe的方法,但用户可能更倾向于使用Blob URL的方式。 所以,综合这些信息,解决方案应该是:在Vue组件中使用axios发送GET请求,设置responseType为'blob',获取到PDF数据后生成Blob URL,创建一个隐藏的iframe,设置其src为这个URL,监听iframe的load事件,在事件触发后调用contentWindow.print(),并在打印完成后释放URL。 需要注意的是,在Vue中操作DOM元素时,最好使用refs来引用iframe,避免直接使用document.getElementById。此外,确保在组件销毁时清理资源,比如在beforeUnmount钩子中移除iframe并释放URL,防止内存泄漏。 可能还需要处理错误情况,比如请求失败时的处理,或者PDF加载失败的情况。另外,服务器必须正确设置CORS头部,允许前端域的请求,否则即使前端正确处理,请求也会被浏览器拦截。 最后,测试时要注意不同浏览器的兼容性,尤其是处理Blob和打印相关的API是否存在差异。可能需要添加一些延迟来确保打印对话框在资源完全加载后弹出,比如使用setTimeout,但时间不宜过长或过短。</think>### Vue.js中实现跨域PDF打印的完整解决方案 #### 一、实现原理 通过AJAX请求获取PDF二进制流后,使用$window.URL.createObjectURL()$生成临时URL,通过隐藏iframe加载资源并触发$contentWindow.print()$方法。该方案有效规避了跨域限制(需配合CORS配置)[^1][^2]。 #### 二、具体实现步骤 1. **配置axios请求** ```javascript // Vue组件方法 async handlePrint() { try { const res = await axios.get('/api/print-pdf', { responseType: 'blob', // 关键配置项 headers: { Authorization: `Bearer ${token}` } }) this.generatePrintFrame(res.data) } catch (error) { console.error('打印请求失败:', error) } } ``` 2. **创建动态iframe** ```javascript methods: { generatePrintFrame(pdfData) { const blob = new Blob([pdfData], { type: 'application/pdf' }) const blobUrl = URL.createObjectURL(blob) // 创建隐藏iframe const iframe = document.createElement('iframe') iframe.style.display = 'none' iframe.src = blobUrl // 加载完成后触发打印 iframe.onload = () => { const isEdge = navigator.userAgent.indexOf('Edg') > -1 setTimeout(() => { iframe.contentWindow?.print() // Edge浏览器需要延迟释放 isEdge ? setTimeout(() => this.cleanup(blobUrl), 3000) : this.cleanup(blobUrl) }, 500) } document.body.appendChild(iframe) }, cleanup(url) { URL.revokeObjectURL(url) const frames = document.querySelectorAll('iframe[style*="none"]') frames.forEach(frame => frame.remove()) } } ``` #### 三、关键注意事项 1. **CORS配置要求** - 服务器需设置响应头: ```http Access-Control-Allow-Origin: https://your-domain.com Access-Control-Expose-Headers: Content-Disposition ``` 2. **内存管理优化** - 使用$try...finally$确保资源释放: ```javascript finally { this.$nextTick(() => { URL.revokeObjectURL(this.printUrl) this.printUrl = null }) } ``` 3. **浏览器兼容处理** ```javascript // 处理Chrome打印弹窗阻塞 if (navigator.userAgent.indexOf('Chrome') > -1) { iframe.style.display = 'block' iframe.style.width = '0' iframe.style.height = '0' } ``` #### 四、扩展优化方案 1. **添加加载状态指示** ```javascript data() { return { isPrinting: false, printProgress: 0 } } // 在axios配置中添加进度监控 onDownloadProgress(progressEvent) { this.printProgress = Math.round( (progressEvent.loaded * 100) / progressEvent.total ) } ``` 2. **PDF预览增强** ```vue <template> <div v-if="previewUrl" class="preview-modal"> <embed :src="previewUrl" type="application/pdf" width="100%" height="600px"> </div> </template> ``` #### 五、错误处理机制 ```javascript // 统一错误处理 iframe.onerror = () => { this.cleanup(blobUrl) this.$emit('print-error', { code: 'LOAD_FAILED', message: 'PDF加载失败' }) } // 响应拦截器配置 axios.interceptors.response.use(response => { if (response.headers['content-type'] !== 'application/pdf') { throw new Error('Invalid content type') } return response }, error => { return Promise.reject({ code: 'NETWORK_ERROR', details: error.response?.status }) }) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值