什么是CORS

最新推荐文章于 2024-08-19 15:13:57 发布
原创 最新推荐文章于 2024-08-19 15:13:57 发布 · 3.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Network

本文详细介绍了CORS(跨源资源共享)的概念及其工作原理。包括Origin的定义、Same-Origin Security Policy的安全策略、CORS的基本流程和服务端处理方式等内容。

英文原文来自我的GitHub页面

CORS = Cross-Origin Resource Sharing

什么是 Origin

要理解CORS,首先得理解什么是 “Origin”。参见RFC6454:如果两个URI拥有相同的schema,host和port,我们就认为他们是来自于相同的Origin。以下是一个完整的URI的定义:

    scheme:[//[user[:password]@]host[:port]][/path][?query][#fragment]

Same-Origin Security Policy

Same-origin security policy 是对客户端的要求。在这个要求之下,网络浏览器 对来自于相同Origin的脚本允许网页间相互访问。

这里有一个违反这个约定而造成的风险Wikipedia:

Assume that a user is visiting a banking website and doesn’t log out. Then, the user goes to another site that has some malicious JavaScript code running in the background that requests data from the banking site. Because the user is still logged in on the banking site, the malicious code could do anything the user could do on the banking site. For example, it could get a list of the user’s last transactions, create a new transaction, etc. This is because the browser can send and receive session cookies to the banking site based on the domain of the banking site.

Cross-Origin Resource Sharing

CORS是一种协议,它用来约定服务端和客户端那些行为是被服务端允许的。尽管服务端是可以进行验证和认证的,但基本上这是由客户端浏览器来保证的。这些对行为的允许是放在应答包的header里面的。

工作原理

CORS的实现主要包括一些客户端的工作以及两类服务端的处理,基本流程如下图所示:
Basic Workflow

客户端

下图来自 Wikipedia Click here to visit Wikipedia
Client Workflow

服务端 (简单 CORS 请求)
前提

只对满足以下所有条件的HTTP请求做出相应的CORS回应:
1. HTTP 方法仅限于 GET, POSTHEAD.
2. 客户端清秀需要含有 Origin 头.
3. 如果客户端请求是 POST,头部 Content-Type 只可以是 application/x-www-form-urlencoded, multipart/form-data, 或 text/plain.

业务逻辑

如果origin被服务端允许,服务端返回请求是带有 Access-Controll-Allow-Origin 头, 并且这个头部信息的值和客户端Origin 的值保持一致;否则就表示不被允许。如果 Access-Controll-Allow-Origin 被设置成 "*",则意味着任何Origin都被允许。

注意:如果所访问的资源需要凭证,那么 Access-Controll-Allow-Origin 则不应该被设置为 "*" 而且 Access-Control-Allow-Credentials 头需要被设置成 true.

示例

客户端HTTP 请求

GET /api/version HTTP/1.1
User-Agent: Fiddler
Accept: application/json
Origin: http://foo.origin

服务端回应

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Date: Wed, 31 Nov 2100 19:42:00 GMT
Server: Apache-Coyote/1.1
Content-Length: 53
Connection: keep-alive
Access-Control-Allow-Origin: http://foo.origin

[response payload]
服务端(预备请求)
前提

对满足任意以下条件之一的HTTP请求做出回应:
1. HTTP请求不是 GET, POSTHEAD.
2. 客户端请求带有自定义头部
3. 如果客户端请求是 POST, 头部 Content-Type 不是 application/x-www-form-urlencoded, multipart/form-data, or text/plain.

客户端进一步请求

客户端浏览器需要进行额外的 OPTIONS 请求,并且使用以下头部信息来向服务端问询相应的HTTP方法是否被允许:
1. Origin: Javascript的Origin
2. Access-Control-Request-Method: 准备使用的 HTTP 方法
3. Access-Control-Request-Headers: 将要在上述HTTP方法中使用的自定义头部

业务逻辑

如果请求不被允许,服务端返回4XX错误。
如果请求被允许,服务端返回200并在头部包含以下信息:
1. Access-Control-Allow-Origin: 被允许的Origin。如果Origin是个列表,则每个Origin之间用 "," 隔开。
2. Access-Control-Allow-Methods: 被允许的HTTP方法,如果是多个,用 "," 隔开。
3. Access-Control-Max-Age: 一个整数,用来表达这个预备请求什么时候过期,单位是
4. Access-Control-Allow-Credentials: 可选,如果所访问资源需要凭证,这个头部需要被设置成 true

示例

客户端HTTP请求

OPTIONS /resources/31415926
User-Agent: Fiddler
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: origin, x-requested-with, accept
Origin: http://foo.origin

服务端回应

HTTP/1.1 200 OK
Date: Wed, 20 Nov 2013 19:36:00 GMT
Server: Apache-Coyote/1.1
Content-Length: 0
Connection: keep-alive
Access-Control-Allow-Origin: http://foo.client.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Max-Age: 50000

参考文献

什么是CORS跨域,如何解决CORS跨域的问题?
XiaoqiangClub的博客
09-11 485
什么是CORS跨域,如何解决CORS跨域的问题?
常见的Web漏洞——CORS
江左盟的博客
06-05 3260
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。CORS的漏洞原理、检测和利用方法。
CORS是什么意思
weixin_42610671的博客
01-06 673
CORS是"跨域资源共享"的缩写。它是一种机制,用于控制网页脚本(如JavaScript)从一个源加载内容,同时防止访问来自不同源的敏感信息。在Web浏览器中,它通常用于防止第三方网站使用XMLHttpRequest或Fetch API访问来自另一个域的资源。 ...
CORS是什么(跨域)
thj_blog
02-26 2884
**CORS **(Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的[HTTP头]组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 同源安全策略, 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。 同源策略限制了从同一个源加载的...
1.什么是CORS?在什么情况下会发生这个情况
weixin_42595331的博客
01-20 891
1.什么是CORS?在什么情况下会发生这个情况 解:CORS是跨域,域名,协议。端口相同为同域,不相同为跨域。 解决方法: JSONP:JSONP可以解决跨域问题,但是只能使用get请求,不能使用post请求 ...
CORS解释
那些年的代码
06-19 331
wiki上的解释是Cross-origin resource sharing (CORS) is a mechanism that allows restricted resources ,即跨域访问。 这个字段默认为false,在Elasticsearch安装集群之外的一台机上用Sense、Head等监控插件访问Elasticsearch是不允许的。这个字段最早可以追溯到1.4...
什么是 CORS?它是如何工作的 ?.pdf
03-31
CORS产生原因以及解决方法
【跨域请求】【前端】什么是CORS,教你解决跨域问题
08-31
【跨域请求】【前端】什么是CORS,教你解决跨域问题
什么是CORS(跨源资源共享)?如何解决前端中的CORS问题?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-26 1334
引言基本概念和作用同源策略简介CORS 的作用解决CORS问题的方法方法一:使用Access-Control-Allow-Origin头示例一:允许所有来源访问资源示例二:指定来源方法二:预检请求示例三:处理预检请求方法三:使用代理示例四:使用Webpack Dev Server配置代理方法四:JSONP示例五:实现JSONP使用技巧结语同源策略是浏览器的一个安全特性,它限制了一个页面上的脚本只能与同一个源的页面进行交互。这里的“源”指的是协议、域名和端口三者的组合。例如,和不被认为是同源的。
CORS理解
YUAN_YONG_的博客
07-21 636
1. CORS cross-origin resource sharing, 跨域资源共享. 因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源. 即浏览器的同源策略. CORS需要浏览器和服务器同时支持。目前,所有主流浏览器都支持该功能,IE浏览器不能低于IE10。在浏览器端, 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求
什么是cors?原理是什么?
qq_60504665的博客
06-18 921
CORS(Cross-Origin Resource Sharing)是一种浏览器技术的规范,也被称为跨域资源共享。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持,所有现代浏览器都支持此功能,但IE浏览器不能低于IE10。CORS的优势在于它可以让所有现代浏览器都支持跨域请求,从而为用户提供更好的体验。然而,需要注意的是,某些古老的浏览器可能不支持CORS或支持有限。
CORS的简单理解
anw53724的博客
12-16 345
去年我在做一个项目,是关于标签打印的,它就是一个Windows程序,提供标签打印功能,由其它程序(包括网站)告诉它需要打印怎样的标签,它就出标签,这个“告诉它需要怎样的标签”的过程,是通过HTTP的Post请求实现的,我把这个程序做成一个Self-Host的小网站,接受来自各方面的HTTP请求,测试下来可行,我分别自己写了个HTTP客户端以及使用现成的Postman来测试,都没问题。 ...
Cors解决跨域问题之注解方式
William_TWG的博客
03-19 962
SpringMVC4.2开始增加了cross解决方案,这里讲解的是通过在controller中添加注解@CrossOrigin的方式 查看@CrossOrigin的源码可以了解到该注解默认集成了跨域配置的相关配置,只需要在这个注解中加入一些参数即可 package org.springframework.web.bind.annotation; import java.lang.annota...
【跨域】使用CorsConfig和注解,解决跨域
丢失了名字的琥珀川
07-15 4694
文章目录什么是浏览器的跨域1.同源策略2.Ajax 跨域3.为什么要有跨域跨域的解决方式 什么是浏览器的跨域 1.同源策略 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”: 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的
boot spring 跨域注解_Spring boot 入门之CORS 跨域配置详解
weixin_33218578的博客
12-24 580
引言在Java 编程中,web项目还是经常遇到一些跨域的使用。这里主要记录几种spring框架,spring boot中的一些常见的几种配置跨域的方法。CORS(Cross-origin resource sharing-跨源资源共享)允许网页从其他域向浏览器请求额外的资源,例如 字体,CSS或来自CDN的静态图像。 CORS有助于将来自多个域的网页内容提供给通常具有相同安全策略的浏览器。 在这个...
Spring CORS 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 4799
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
CORS 跨域原理解析
三两肉的博客
08-19 1576
CORS,全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。预检请求(Preflight Request):对于某些类型的请求(如使用 HTTP 方法PUT、DELETE,或者请求带有非简单头部),浏览器会首先发送一个OPTIONS请求,这个请求称为“预检请求”。
cors深度解析
weixin_43623017的博客
03-01 1520
什么是cors? cors,中文是跨域资源共享,是http头的协议机制,用来解决浏览器跨域问题。 什么是跨域? 老生常谈的问题,不过多赘述了,需要注意的一个点是在跨域的情况下,请求是可以被发送到服务端的,并不是没有发出去,而且服务端也是可以接受到请求头或者请求体,正常处理这个请求,只是前端拿不到response,不要误以为是前端请求没有发出去,这点也经常被用来做csrf攻击。 cors涉及相关的请求响应头都有哪些?分别是什么? 请求头 描述 Origin 网站请求的URL,无论跨域总默认被发
CORS是什么
最新发布
07-23
<think>我们正在讨论CORS的基本概念、工作原理,以及为什么有时未设置crossOrigin也能加载资源。以下将分步骤解释: ### 一、CORS 是什么? CORS(跨域资源共享)是一种浏览器安全机制,用于管理不同源(域、协议、端口)之间的资源请求[^1][^2]。其核心是**通过HTTP头部协商**,决定是否允许跨域访问。 #### 关键术语: - **同源策略**:浏览器默认禁止脚本跨域读取资源(如通过XMLHttpRequest或Fetch API)。 - **简单请求 vs 预检请求**: - **简单请求**:满足特定条件(如GET/HEAD/POST方法,且Content-Type为`text/plain`、`multipart/form-data`、`application/x-www-form-urlencoded`)[^2]。 - **预检请求**:复杂请求前发送OPTIONS请求,检查服务器是否支持跨域。 ### 二、CORS 如何工作? ```mermaid sequenceDiagram participant Browser participant Server Note over Browser: 跨域请求(如fetch('https://api.example/data')) Browser->>Server: 发送请求(自动添加Origin头) alt 简单请求 Server-->>Browser: 响应包含 Access-Control-Allow-Origin: * else 预检请求 Browser->>Server: OPTIONS请求(含Origin、Access-Control-Request-Method等头) Server-->>Browser: 响应包含 ACAO、ACAM等头 Browser->>Server: 正式请求 Server-->>Browser: 实际数据 end Browser: 校验ACAO匹配则返回数据,否则报错 ``` #### 关键响应头: - `Access-Control-Allow-Origin: *` 或 `https://your-domain.com` - `Access-Control-Allow-Methods: GET, POST`(预检响应) - `Access-Control-Allow-Headers: Content-Type`(预检响应) ### 三、为什么未设置 `crossOrigin` 也能加载资源? #### 场景:地图瓦片(`<img>`标签) 1. **未设置 `crossOrigin` 属性**: - 浏览器视为**普通跨域请求**,不触发CORS校验[^1]。 - 即使服务器返回`Access-Control-Allow-Origin: *`,浏览器也**不检查该头**。 - 资源正常加载,但**脚本无法读取像素数据**(如Canvas绘图会报错)。 2. **设置 `crossOrigin="anonymous"`**: - 浏览器添加`Origin`头并检查ACAO响应头。 - 若ACAO匹配(如`*`或当前域),则允许脚本读取资源内容。 #### 示例代码对比: ```html <!-- 无CORS检查:可显示图片,但Canvas操作报错 --> <img src="https://tile-server.com/map.png"> <!-- 触发CORS检查:需服务器返回有效ACAO --> <img src="https://tile-server.com/map.png" crossOrigin="anonymous"> ``` ### 四、核心区别总结 | 场景 | 是否发送`Origin`头 | 是否校验ACAO | 脚本能否读取资源内容 | |---------------------|-------------------|-------------|-------------------| | 未设`crossOrigin` | ❌ | ❌ | ❌(安全限制) | | 设置`crossOrigin` | ✔️ | ✔️ | ✔️(通过校验时) | > 因此,**未设置 `crossOrigin` 时浏览器忽略ACAO头**,是设计使然——避免破坏旧网站兼容性[^1][^2]。 --- ### 相关问题 1. 如何在Canvas中安全地绘制跨域图片? 2. 为什么预检请求需要OPTIONS方法? 3. 如何配置Nginx支持CORS? 4. 哪些HTTP方法会被视为“简单请求”?</think>### CORS(跨域资源共享)基本概念与工作原理 #### 一、CORS 是什么? CORS 是一种基于 HTTP 头部的安全机制,允许 Web 应用突破浏览器的**同源策略**限制,实现跨域资源访问[^1][^2]。其核心是通过服务器声明哪些外部域有权访问自己的资源。 **同源策略示例**: - 同源: `https://example.com/page1` 和 `https://example.com/page2` - 不同源: `https://example.com` 和 `https://api.example.com`(子域不同) - 不同源: `http://example.com` 和 `https://example.com`(协议不同) #### 二、CORS 工作原理 ```mermaid sequenceDiagram participant 浏览器 participant 服务器 浏览器->>服务器: 发送跨域请求(含 Origin 头) Note right of 服务器: 检查 Origin 是否在允许列表 服务器-->>浏览器: 返回响应(含 ACAO 头) Note left of 浏览器: 校验 ACAO 与 Origin 匹配 alt 匹配成功 浏览器-->用户: 返回资源数据 else 匹配失败 浏览器-->用户: 抛出 CORS 错误 end ``` ##### 关键 HTTP 头部: 1. **请求头**: - `Origin: https://your-site.com`(浏览器自动添加) 2. **响应头**: - `Access-Control-Allow-Origin: *`(允许所有域) - `Access-Control-Allow-Methods: GET, POST`(允许的 HTTP 方法) - `Access-Control-Allow-Headers: Content-Type`(允许的自定义头) ##### 工作流程: 1. **简单请求**(如 GET/POST)直接发送,浏览器检查 ACAO 2. **复杂请求**(如 PUT/DELETE)先发送 OPTIONS 预检请求 ```http OPTIONS /resource HTTP/1.1 Origin: https://your-site.com Access-Control-Request-Method: DELETE ``` #### 三、未设置 `crossOrigin` 也能加载资源的原因 以地图瓦片(`<img>` 标签)为例: 1. **未声明跨域需求**: ```html <!-- 未设置 crossOrigin 属性 --> <img src="https://tile-server.org/map.png"> ``` - 浏览器**不发送** `Origin` 头 - 服务器返回的 ACAO 头被**静默忽略** - 资源可加载,但脚本无法读取像素数据(安全限制) 2. **声明跨域需求时**: ```html <!-- 设置 crossOrigin 属性 --> <img src="https://tile-server.org/map.png" crossOrigin="anonymous"> ``` - 浏览器发送 `Origin` 头 - 严格校验 ACAO 头(值必须匹配或为 `*`) #### 四、核心差异总结 | 场景 | 是否发送 Origin | 是否校验 ACAO | 脚本能否读取资源内容 | |----------------------|----------------|--------------|-------------------| | 未设 `crossOrigin` | ❌ | ❌ | ❌(安全限制) | | 设置 `crossOrigin` | ✔️ | ✔️ | ✔️(通过校验时) | > **本质原因**:浏览器采用 "opt-in" 策略。未显式声明跨域时,为避免破坏旧网站兼容性,即使服务器返回无效 CORS 头也会放行基础加载[^1][^2]。 --- ### 相关问题 1. 如何在 Canvas 中安全地使用跨域图片? 2. 为什么预检请求(OPTIONS)是 CORS 的必要环节? 3. 如何配置 Nginx 服务器正确处理 CORS 请求? 4. `Access-Control-Allow-Credentials` 头在什么场景下必须使用?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值