跨域请求真的很简单,一文教你轻松应对 CORS 问题

最新推荐文章于 2025-11-17 16:56:57 发布
原创 最新推荐文章于 2025-11-17 16:56:57 发布 · 889 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议

1. 什么是 CORS(跨域资源共享)

CORS(Cross-Origin Resource Sharing) 是一种浏览器的安全特性,它允许网页从不同源的服务器加载资源。如果没有适当的 CORS 配置,浏览器会阻止跨域请求,以避免潜在的安全问题。

2. 常见的跨域请求类型

  • 简单请求:直接发起的请求,满足特定条件(如请求头不带自定义头部等),不会触发预检请求。
  • 复杂请求:请求包含了特定的 HTTP 方法(如 PUT、DELETE)或自定义的请求头部(如 Authorization),浏览器会发起预检请求(OPTIONS)。

3. 后端 CORS 配置

跨域请求的核心是服务器的 CORS 配置。后端需要在响应中添加一些头部,来允许跨域请求。

主要的 CORS 头部:

  • Access-Control-Allow-Origin: 指定允许访问的域。如果设置为 *,表示任何域都可以访问资源。

  • Access-Control-Allow-Methods:指定允许的 HTTP 方法(如 GETPOSTPUTDELETEOPTIONS)。

  • Access-Control-Allow-Headers:指定允许的请求头部(如 Content-TypeAuthorization、Api-Auth 等)。

  • Access-Control-Allow-Credentials:设置是否允许发送认证信息(如 Cookies)。如果为 true,必须明确指定 Access-Control-Allow-Origin,而不能使用 *

  • Access-Control-Max-Age:指定预检请求的结果缓存时间(以秒为单位),浏览器在这段时间内不会再次发起预检请求。

4. 前端配置

前端需要设置withCredentials: true (axios)来发送携带凭证的请求(如 cookies 或授权头)。

5. 使用 curl 测试 CORS 配置

可以使用 curl 来模拟跨域请求,验证后端是否正确返回 CORS 响应头,以此来确定是前端配置出现问题还是后端配置的问题。

curl -X OPTIONS -I http://localhost:8002/admin/Login/index

6. 常见问题及解决方案

问题 1CORS 错误:Cross origin requests are only supported for protocol schemes: chrome, chrome-extension, chrome-untrusted, data, http, https, isolated-app.

在这里插入图片描述

  • 问题描述:跨域请求只支持http,https协议,请求后端url时必须指明协议类型。
  • 解决方案:检查前端的apiUrl是否携带http协议或者https协议。

问题 2:CORS 错误:Request header field <header> is not allowed by Access-Control-Allow-Headers

在这里插入图片描述

  • 问题描述:浏览器提示某个自定义请求头(如 api-auth)未被允许。
  • 解决方案:在后端的 Access-Control-Allow-Headers 中明确添加需要的自定义请求头。
header("Access-Control-Allow-Headers: Content-Type, Authorization, Api-Auth");

问题 3CORS 错误:Access-Control-Allow-Origin 必须指定具体的域名

  • 问题描述:如果请求包含了凭证(如 cookies),例如在axios 中配置了 withCredentials: true则后端响应头中的 Access-Control-Allow-Origin 不能是 *,必须指定一个具体的域名。

  • 解决方案:确保后端配置了正确的 Access-Control-Allow-Origin,例如:

    header("Access-Control-Allow-Origin: http://localhost:8082");  // 设置具体的前端域名

问题 4:CORS 错误:The value of the ‘Access-Control-Allow-Origin’ header must not be ‘*’ when the request’s credentials mode is ‘include’

  • 问题描述:如果请求的 credentials mode 为 include(即携带凭证),后端的 Access-Control-Allow-Origin 不能是 *,必须是具体的域名。
  • 解决方案:确保后端返回的 Access-Control-Allow-Origin 是具体的域名,而不是 *

7.总结

对于跨域问题我们可以按照以下步骤来解决:

  1. 查看官方文档,配置允许跨域请求。
  2. 使用Curl 发送预检请求,确认是前端配置问题还是后端配置问题。
  3. 根据浏览器控制台的提示信息,一步一步的确认问题。这个非常重要,浏览器会给出不同的错误提示,而不是只有一种提示,我们很多时候没有仔细去观察,只是看到跨域请求的错误,就去看配置,查资料。
网络安全:(二十五)前端请求伪造(CSRF)和访问安全策略
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-09 1261
请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种攻击方式,攻击者诱导已登录的用户在不知情的情况下向受信任的 Web 应用发送恶意请求。由于用户的身份认证信息(如 Cookie)会自动随请求发送,因此恶意请求会被认为是用户发起的,攻击者借此可以执行未经授权的操作,如转账、修改账户信息等。
一文掌握异步web框架FastAPI(四)-- 中间件(添加回包数据、请求计时、用户代理、资源共享CORS请求限制、请求体大小限制、响应缓存、安全头、数据库事务管理)
qq_38120851的博客
10-22 1003
fastapi, 中间件
解决 Ajax:Ensure CORS response header values are valid 问题
做一只猫的博客
07-27 8491
解决原生Ajax问题和其他笨笨问题
资源共享 CORS 详解
weixin_34365417的博客
04-19 2500
资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Karate测试:CORS与预检请求处理方案
gitblog_00863的博客
09-20 287
在现代Web应用中,前后端分离架构广泛采用,资源共享(Cross-Origin Resource Sharing, CORS)成为API测试不可回避的挑战。当前端应用从一个请求另一个名的资源时,浏览器会实施同源策略(Same-Origin Policy)限制,而CORS机制通过HTTP头信息允许这种访问。测试中常见问题包括:预检请求(Preflight Request)失败、凭证...
CORS访问漏洞
m0_73896875的博客
07-13 6862
全称是“资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决资源访问限制的机制。它允许在浏览器中进行请求,并控制请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求名、协议和端口必须与资源所在的名、协议和端口完全匹配。如果两个资源的名、协议和端口不匹配,浏览器会限制请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的请求
CORS简单请求和预检请求
weixin_49115633的博客
01-11 2406
只要符合以下任何一个条件的请求,都需要进行预检请求请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
CORS——请求那些事儿
weixin_33730836的博客
02-08 750
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行操作,而在实际进行请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
Go中间件CORS简化攻略:一文搞定请求复杂性
[Go中间件CORS简化攻略:一文搞定请求复杂性](https://img-blog.csdnimg.cn/0f30807256494d52b4c4b7849dc51e8e.png) # 1. 资源共享(CORS)概述 资源共享(CORS)是Web开发中一个重要的概念,允许来自...
Python Tornado中请求与Options请求的处理方法
资源摘要信息:"Python Tornado之请求与Options请求方式"一文深入探讨了在前后端分离架构中,使用Python的Tornado框架处理请求CORS)及HTTP OPTIONS预检请求的核心机制与实践方案。随着现代Web开发广泛采用...
不知道一文会你
sharkchen的专栏
12-19 909
,在前后端分离的架构里面最常见的问题,这个问题怎么来的?怎么解决?有没有什么实践的方案?本文带你弄懂他
资源共享CORS详解及常见错误解决方案
ZTao-z的博客
06-29 4585
cors详解与常见错误解决方案介绍
CORS 处理请求
asing1elife's blog
10-08 385
CORS 是一个 W3C 标准,全称资源共享 (Cross-orign resource sharing) 其允许浏览器向服务器发起异步请求,从而客服 ajax 受同源策略的限制 更多精彩 更多技术博客,请移步 asing1elife’s blog 使用 http-equiv 相当于 http 的响应头,其回应给浏览器一些有用的信息,用来帮助正确和精确的显示网页内容 以下规则表示...
cors--简单请求、复杂请求
qq_36582776的博客
03-22 2262
1.简单请求: 1、使用下列方法之一: GET、 POST、 HEAD。 2、不得人为设置该集合之外的其他首部字段。该集合为: Accept Accept-Language Content-Language Content-Type 3、Content-Type 的值仅限于下列三者之一: text/plain multipart/form-data application/x-www-form-urlencoded 4、请求中的任意XMLHttpRequestUpload 对象均
【安全漏洞】CORS资源共享)
weixin_42925623的博客
11-22 4074
【安全漏洞】CORS资源共享)
2024年Postman进行CORS)测试的方法
weixin_45017726的博客
11-26 675
Postman 中如何进行CORS)测试?通过设置 Origin 字段和测试请求,可检查响应头中的Access-Control-Allow-Origin等信息。
windows系统谷歌浏览器出现CORS解决方案
qq_46344419的博客
06-13 1493
windows系统谷歌浏览器出现CORS解决方案
浏览器问题的原因分析及常见解决方案
七公子77的技术博客
02-24 1902
协议(http/https)、名(example.com)、端口(:8080)三者完全一致。
别再混淆了!一文彻底搞懂CORS)原理与手工测试方法
最新发布
IT913913的博客
11-17 859
本文生动解析了(CORS)问题的本质与解决方案:浏览器出于安全考虑实施同源策略,当前端与后端不同源时会触发限制。文章通过"国家外交"比喻详细介绍了简单请求(自动携带Origin头)和复杂请求(需OPTIONS预检)两种机制,并演示了如何使用开发者工具观察CORS请求流程及用curl模拟测试。最后提供了Node.js后端的CORS配置示例,强调是浏览器的安全机制,需在后端正确配置Access-Control-Allow-*响应头来解决。通过理解HTTP协议细节和实操测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值