什么是CORS

最新推荐文章于 2025-06-17 15:39:19 发布
最新推荐文章于 2025-06-17 15:39:19 发布
阅读量3.3k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Knowledge 文章标签: Network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NonStatic/article/details/79228475
本文详细介绍了CORS(跨源资源共享)的概念及其工作原理。包括Origin的定义、Same-Origin Security Policy的安全策略、CORS的基本流程和服务端处理方式等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

英文原文来自我的GitHub页面

CORS = Cross-Origin Resource Sharing

什么是 Origin

要理解CORS,首先得理解什么是 “Origin”。参见RFC6454:如果两个URI拥有相同的schema,host和port,我们就认为他们是来自于相同的Origin。以下是一个完整的URI的定义:

    scheme:[//[user[:password]@]host[:port]][/path][?query][#fragment]

Same-Origin Security Policy

Same-origin security policy 是对客户端的要求。在这个要求之下,网络浏览器 对来自于相同Origin的脚本允许网页间相互访问。

这里有一个违反这个约定而造成的风险Wikipedia:

Assume that a user is visiting a banking website and doesn’t log out. Then, the user goes to another site that has some malicious JavaScript code running in the background that requests data from the banking site. Because the user is still logged in on the banking site, the malicious code could do anything the user could do on the banking site. For example, it could get a list of the user’s last transactions, create a new transaction, etc. This is because the browser can send and receive session cookies to the banking site based on the domain of the banking site.

Cross-Origin Resource Sharing

CORS是一种协议,它用来约定服务端和客户端那些行为是被服务端允许的。尽管服务端是可以进行验证和认证的,但基本上这是由客户端浏览器来保证的。这些对行为的允许是放在应答包的header里面的。

工作原理

CORS的实现主要包括一些客户端的工作以及两类服务端的处理,基本流程如下图所示:
Basic Workflow

客户端

下图来自 Wikipedia Click here to visit Wikipedia
Client Workflow

服务端 (简单 CORS 请求)
前提

只对满足以下所有条件的HTTP请求做出相应的CORS回应:
1. HTTP 方法仅限于 GET, POSTHEAD.
2. 客户端清秀需要含有 Origin 头.
3. 如果客户端请求是 POST,头部 Content-Type 只可以是 application/x-www-form-urlencoded, multipart/form-data, 或 text/plain.

业务逻辑

如果origin被服务端允许,服务端返回请求是带有 Access-Controll-Allow-Origin 头, 并且这个头部信息的值和客户端Origin 的值保持一致;否则就表示不被允许。如果 Access-Controll-Allow-Origin 被设置成 "*",则意味着任何Origin都被允许。

注意:如果所访问的资源需要凭证,那么 Access-Controll-Allow-Origin 则不应该被设置为 "*" 而且 Access-Control-Allow-Credentials 头需要被设置成 true.

示例

客户端HTTP 请求

GET /api/version HTTP/1.1
User-Agent: Fiddler
Accept: application/json
Origin: http://foo.origin

服务端回应

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Date: Wed, 31 Nov 2100 19:42:00 GMT
Server: Apache-Coyote/1.1
Content-Length: 53
Connection: keep-alive
Access-Control-Allow-Origin: http://foo.origin

[response payload]
服务端(预备请求)
前提

对满足任意以下条件之一的HTTP请求做出回应:
1. HTTP请求不是 GET, POSTHEAD.
2. 客户端请求带有自定义头部
3. 如果客户端请求是 POST, 头部 Content-Type 不是 application/x-www-form-urlencoded, multipart/form-data, or text/plain.

客户端进一步请求

客户端浏览器需要进行额外的 OPTIONS 请求,并且使用以下头部信息来向服务端问询相应的HTTP方法是否被允许:
1. Origin: Javascript的Origin
2. Access-Control-Request-Method: 准备使用的 HTTP 方法
3. Access-Control-Request-Headers: 将要在上述HTTP方法中使用的自定义头部

业务逻辑

如果请求不被允许,服务端返回4XX错误。
如果请求被允许,服务端返回200并在头部包含以下信息:
1. Access-Control-Allow-Origin: 被允许的Origin。如果Origin是个列表,则每个Origin之间用 "," 隔开。
2. Access-Control-Allow-Methods: 被允许的HTTP方法,如果是多个,用 "," 隔开。
3. Access-Control-Max-Age: 一个整数,用来表达这个预备请求什么时候过期,单位是
4. Access-Control-Allow-Credentials: 可选,如果所访问资源需要凭证,这个头部需要被设置成 true

示例

客户端HTTP请求

OPTIONS /resources/31415926
User-Agent: Fiddler
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: origin, x-requested-with, accept
Origin: http://foo.origin

服务端回应

HTTP/1.1 200 OK
Date: Wed, 20 Nov 2013 19:36:00 GMT
Server: Apache-Coyote/1.1
Content-Length: 0
Connection: keep-alive
Access-Control-Allow-Origin: http://foo.client.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Max-Age: 50000

参考文献

什么是CORS跨域,如何解决CORS跨域的问题?
XiaoqiangClub的博客
09-11 339
什么是CORS跨域,如何解决CORS跨域的问题?
常见的Web漏洞——CORS
江左盟的博客
06-05 3130
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。CORS的漏洞原理、检测和利用方法。
CORS是什么意思
weixin_42610671的博客
01-06 651
CORS是"跨域资源共享"的缩写。它是一种机制,用于控制网页脚本(如JavaScript)从一个源加载内容,同时防止访问来自不同源的敏感信息。在Web浏览器中,它通常用于防止第三方网使用XMLHttpRequest或Fetch API访问来自另一个域的资源。 ...
CORS是什么(跨域)
thj_blog
02-26 2852
**CORS **(Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的[HTTP头]组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 同源安全策略, 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。 同源策略限制了从同一个源加载的...
什么是 CORS ?手把手带你搞懂 CORS 跨域原理!(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
06-17 1116
CORS全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。
1.什么是CORS?在什么情况下会发生这个情况
weixin_42595331的博客
01-20 880
1.什么是CORS?在什么情况下会发生这个情况 解:CORS是跨域,域名,协议。端口相同为同域,不相同为跨域。 解决方法: JSONP:JSONP可以解决跨域问题,但是只能使用get请求,不能使用post请求 ...
CORS解释
那些年的代码
06-19 305
wiki上的解释是Cross-origin resource sharing (CORS) is a mechanism that allows restricted resources ,即跨域访问。 这个字段默认为false,在Elasticsearch安装集群之外的一台机上用Sense、Head等监控插件访问Elasticsearch是不允许的。这个字段最早可以追溯到1.4...
什么是 CORS?它是如何工作的 ?.pdf
03-31
CORS产生原因以及解决方法
【跨域请求】【前端】什么是CORS,教你解决跨域问题
08-31
【跨域请求】【前端】什么是CORS,教你解决跨域问题
什么是CORS(跨源资源共享)?如何解决前端中的CORS问题?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-26 1229
引言基本概念和作用同源策略简介CORS 的作用解决CORS问题的方法方法一:使用Access-Control-Allow-Origin头示例一:允许所有来源访问资源示例二:指定来源方法二:预检请求示例三:处理预检请求方法三:使用代理示例四:使用Webpack Dev Server配置代理方法四:JSONP示例五:实现JSONP使用技巧结语同源策略是浏览器的一个安全特性,它限制了一个页面上的脚本只能与同一个源的页面进行交互。这里的“源”指的是协议、域名和端口三者的组合。例如,和不被认为是同源的。
CORS理解
YUAN_YONG_的博客
07-21 612
1. CORS cross-origin resource sharing, 跨域资源共享. 因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源. 即浏览器的同源策略. CORS需要浏览器和服务器同时支持。目前,所有主流浏览器都支持该功能,IE浏览器不能低于IE10。在浏览器端, 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求
什么是cors?原理是什么?
qq_60504665的博客
06-18 841
CORS(Cross-Origin Resource Sharing)是一种浏览器技术的规范,也被称为跨域资源共享。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持,所有现代浏览器都支持此功能,但IE浏览器不能低于IE10。CORS的优势在于它可以让所有现代浏览器都支持跨域请求,从而为用户提供更好的体验。然而,需要注意的是,某些古老的浏览器可能不支持CORS或支持有限。
CORS的简单理解
anw53724的博客
12-16 337
去年我在做一个项目,是关于标签打印的,它就是一个Windows程序,提供标签打印功能,由其它程序(包括网)告诉它需要打印怎样的标签,它就出标签,这个“告诉它需要怎样的标签”的过程,是通过HTTP的Post请求实现的,我把这个程序做成一个Self-Host的小网,接受来自各方面的HTTP请求,测试下来可行,我分别自己写了个HTTP客户端以及使用现成的Postman来测试,都没问题。 ...
Cors解决跨域问题之注解方式
William_TWG的博客
03-19 938
SpringMVC4.2开始增加了cross解决方案,这里讲解的是通过在controller中添加注解@CrossOrigin的方式 查看@CrossOrigin的源码可以了解到该注解默认集成了跨域配置的相关配置,只需要在这个注解中加入一些参数即可 package org.springframework.web.bind.annotation; import java.lang.annota...
【跨域】使用CorsConfig和注解,解决跨域
丢失了名字的琥珀川
07-15 4584
文章目录什么是浏览器的跨域1.同源策略2.Ajax 跨域3.为什么要有跨域跨域的解决方式 什么是浏览器的跨域 1.同源策略 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”: 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网窃取数据。 设想这样一种情况:A 网是一家银行,用户登录以后,A 网在用户的
boot spring 跨域注解_Spring boot 入门之CORS 跨域配置详解
weixin_33218578的博客
12-24 548
引言在Java 编程中,web项目还是经常遇到一些跨域的使用。这里主要记录几种spring框架,spring boot中的一些常见的几种配置跨域的方法。CORS(Cross-origin resource sharing-跨源资源共享)允许网页从其他域向浏览器请求额外的资源,例如 字体,CSS或来自CDN的静态图像。 CORS有助于将来自多个域的网页内容提供给通常具有相同安全策略的浏览器。 在这个...
Spring CORS 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 4675
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
cors深度解析
weixin_43623017的博客
03-01 1468
什么是cors? cors中文是跨域资源共享,是http头的协议机制,用来解决浏览器跨域问题。 什么是跨域? 老生常谈的问题,不过多赘述了,需要注意的一个点是在跨域的情况下,请求是可以被发送到服务端的,并不是没有发出去,而且服务端也是可以接受到请求头或者请求体,正常处理这个请求,只是前端拿不到response,不要误以为是前端请求没有发出去,这点也经常被用来做csrf攻击。 cors涉及相关的请求响应头都有哪些?分别是什么? 请求头 描述 Origin 网请求的URL,无论跨域总默认被发
什么是cors
05-17
### CORS定义 CORS 是 Cross-Origin Resource Sharing(跨域资源共享)的缩写,是一种基于 HTTP 头部的安全机制,用于解决不同源之间的资源访问问题。它允许浏览器中的脚本安全地从一个源加载资源到另一个源[^1]。 具体来说,CORS 提供了一种标准化的方式,使得服务器能够明确告诉客户端哪些外部来源可以访问其资源。这种机制通过在 HTTP 响应中加入特定的头部字段来实现,例如 `Access-Control-Allow-Origin` 表示允许哪个源访问资源[^1]。 --- ### CORS的工作原理 #### 1. **同源策略** 为了防止恶意网通过 JavaScript 访问其他点的内容,浏览器默认实施了严格的同源策略 (Same-Origin Policy),即只有当协议、域名和端口号都相同时,才认为两个 URL 属于同一个源。如果尝试跨越不同的源进行请求,则会触发跨域限制[^1]。 #### 2. **简单请求** 对于某些类型的请求(如 GET、POST 和 HEAD),只要它们不涉及自定义头部或者上传文件等复杂操作,就可以被视作“简单请求”。在这种情况下,浏览器会在后台自动添加必要的 CORS 相关头部,并等待来自目标服务器的支持响应。例如: - 如果服务端返回了合适的 `Access-Control-Allow-Origin` 字段值,则表示该次跨域调用成功; - 若缺少此字段或不符合预期设定,则会产生错误提示[^1]。 以下是简单的代码演示如何启用基本形式下的跨域支持: ```java @Configuration public class SimpleCorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**").allowedOrigins("*"); } }; } } ``` 注意,在实际生产环境中不应随意开放所有来源 (`"*"`) ,而应该限定具体的可信地址列表以提高安全性[^2]。 #### 3. **预检请求** 除了上述提到过的简易型之外,还有另外一种更为复杂的场景叫做 “预检请求”(Preflight Request) 。这类情况通常发生在以下条件下之一发生时: - 使用了非标准HTTP动词(GET/POST以外); - 自定义Header; - Content-Type 不属于下列三种 MIME 类型之一:`application/x-www-form-urlencoded`, `multipart/form-data`, 或者 plain text. 此时,浏览器会先发出一个带有 METHOD=OPTIONS 的额外请求询问服务器是否同意执行真正的动作之前的操作权限。这个过程被称为 preflight request (飞行前检查)。只有当服务器明确答复允许之后才会继续发送原始计划内的主要请求。 下面是一个关于 Preflight Requests 的 Java 配置实例展示怎样精确控制这些行为参数: ```java @Configuration public class AdvancedCorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com", "https://anotherdomain.org") .allowedMethods("GET","POST","PUT","DELETE") .maxAge(3600L)//缓存preflight的结果时间为一个小时. .allowCredentials(true); } } ``` 这里设置了最大年龄(max-age),意味着在此期间内相同的preflights不需要再次查询;同时也开启了credentials选项以便处理那些需要认证信息随附的情况比如cookies等等[^2]. --- ### 总结 综上所述,CORS提供了一个灵活又强大的框架用来管理web应用间的交互关系,既保障了数据交换过程中应有的隐私保护措施又能促进合法合理的合作共享模式发展下去[^3].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值