关于HTTP跨域请求的预请求和更多配置

跨域请求限制揭秘:自定义头与预请求策略
最新推荐文章于 2025-01-21 07:49:50 发布
原创 最新推荐文章于 2025-01-21 07:49:50 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #javascript #nodejs

关于跨域请求的其他限制

  • 并不是所有情况的跨域都可以设置Access-Control-Allow-Origin
  • 我们还是通过例子来说明

自定义的头信息

1 ) 准备程序

  • server1.js

    const http = require('http');
const fs = require('fs');

http.createServer((req, res) => {
    console.log('req come: ', req.url);
    const html = fs.readFileSync('test.html', 'utf8');
    // 默认是下面这个writeHead设置,不写也可以
    res.writeHead(200, {
    'Content-Type': 'text/html'
    });
    res.end(html);
}).listen(8000, () => {
    console.log('server is running on port 8000');
});

  • server2.js

    const http = require('http');

http.createServer((req, res) => {
    console.log('req come: ', req.url);
    // 在writeHead时候添加跨域支持
    res.writeHead(200, {
        'Access-Control-Allow-Origin': '*'
    });
    res.end('req come: ' + req.url);
}).listen(8001, () => {
    console.log('server is running on port 8001');
});

  • test.html

    <script>
    fetch('http://localhost:8001', {
        method: 'POST',
        headers: {
            'X-Test-Cors': '123'
        }
    });
</script>

2 ) 启动两个程序

  • $ node server1.js
  • $ node server2.js
  • 打开浏览器访问:http://localhost:8000/

3 ) 出现问题

  • 检查页面节点,已经正常加载
  • 浏览器debug后,发现报错了
  • 此时就会报错
    Access to fetch at 'http://localhost:8001/' from origin 'http://localhost:8000' has been blocked by CORS policy: Request header field x-test-cors is not allowed by Access-Control-Allow-Headers in preflight response.

4 ) 问题分析

  • 4.1 ) 上面报错信息是说,我们自己加上这个头信息X-Test-Cors在跨域请求中是不被允许的
  • 注意,一定要注意是在跨域请求中,如果是同域请求是被允许的,这就属于CORS预请求所研究的范畴了
  • 具体的请求头限制可以参考:https://fetch.spec.whatwg.org/#cors-safelisted-request-header
  • 4.2 ) 而在跨域的时候默认允许的方法只有三种:GET、POST、HEAD这三种
  • 其他方法都是不被允许的,浏览器会用预请求的方式来验证
  • 4.3 ) 同时允许的Content-Type也有限制,只允许:text/plain、multipart/form-data、application/x-www-form-urlencoded这三种
  • 其他的Content-Type同样也需要验证
  • 4.4 ) 其他限制
    • 4.41 ) XMLHttpRequestUpload对象均没有注册任何事件监听器
    • 4.42 ) 请求中没有使用ReadableStream对象
    • 上面这两个很少会被用到

5 ) 关于预请求与解决方案

  • 浏览器是根据什么来判断请求是否被允许呢?这就是根据header来判断
  • 如果程序需要添加头信息,服务端在响应的时候需要返回一个头告诉浏览器这个头是被允许的
  • 所以这时候,我们只需要添加
    res.writeHead(200, {
    'Access-Control-Allow-Origin': '*',
    'Access-Control-Allow-Headers': 'X-Test-Cors' // 新添加这行
});
  • 添加之后,就可以正确接收了, 但是我们可以发现, 比刚才多了一个OPTIONS请求, 这个就是预请求
  • 通过OPTIONS请求来获得服务端允许的认可, 然后再次发送POST请求
  • 这就是浏览器对于跨域请求预请求的一个操作
  • 注意,如果之前test.html中的fetch函数用的是GET,同样会发送两个请求,一个是OPTIONS,一个是GET
  • 什么时候需要预请求呢?一般自定义的请求需要进行预请求来进行验证,此处不再展开
  • 注意,OPTIONS不是POST请求的专属,一般的GET,POST是没有必要进行OPTIONS请求的
  • 同样,也不是使用fetch这个api的原因,就是单纯的HTTP规则
  • 注意,如果使用没有定义的方法,如PUT来请求,如下
    <script>
    fetch('http://localhost:8001', {
        method: 'PUT'
    });
</script>
  • 会出现问题
    Access to fetch at 'http://localhost:8001/' from origin 'http://localhost:8000' has been blocked by CORS policy: Method PUT is not allowed by Access-Control-Allow-Methods in preflight response.
  • 这个问题说明当前不被允许,所以,这个问题需要解决
  • 我们想要实现RESTful API的时候,需要添加语义化的请求方法,如:PUT,DELETE,PATCH等
  • 这个时候,我们需要添加对各类方法的支持,注意GET,POST,OPTIONS不必添加,默认支持
    res.writeHead(200, {
    'Access-Control-Allow-Origin': '*',
    'Access-Control-Allow-Headers': 'X-Test-Cors',
    'Access-Control-Allow-Methods': 'PUT, DELETE, PATCH' // 新添加这行,一般GET,POST,OPTIONS不必添加,默认支持
});
  • 添加支持后,同样,我们可以看到有两次请求,一个是OPTIONS请求,一个是新添加的请求方法
  • 注意,如果你用其他未支持的方法,比如自定义的字符来作为请求方法的话,如定义一个字符串或字符’X’作为请求方法
  • 那么这时候即使服务端添加了对’X’方法的支持,结果仍只有一个OPTIONS预请求,最终依然无法通过
  • 因为这已经超越规则了,不被HTTP协议所允许
  • 浏览器通过这种机制来保证跨域访问的安全性
  • 关于预请求,还有一个常用的设置Access-Control-Max-Age, 通过这个设置,浏览器可以在设置的时间内不会再次发送预请求
    res.writeHead(200, {
    'Access-Control-Allow-Origin': '*',
    'Access-Control-Allow-Headers': 'X-Test-Cors',
    'Access-Control-Allow-Methods': 'PUT, DELETE, PATCH',
    'Access-Control-Max-Age': 1000 // 新添加这行, 1000s内不会再次发送预请求
});
SpringMVC中的请求配置解决方案
AI天才研究院
08-05 1978
(Cross-origin resource sharing)是由一个资源从一个名访问另一个不同的名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同向当前发送HTTP请求请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止请求,所以开发者需要在实际项目中做一些额外的设置来允许请求。以下就详细介绍一下Spring MVC对请求的支持及其配置方法。
介绍 HTTP 请求如何实现
qq_25699299的博客
01-20 1497
是指一个下的文档或脚本试图去请求另一个下的资源,这是由于浏览器的同源策略所导致的。同源策略是浏览器的一个安全机制,它要求协议、端口都相同,否则会被认为是请求。例如,向发送请求,或者向发送请求,都属于请求。CORS是目前最常用的解决方案,它提供了更灵活安全的访问控制,适合现代的Web开发。JSONP有一定的局限性,仅适用于GET请求,且存在安全风险。代理服务器反向代理是通过服务器端转发请求,在某些场景下比较实用,但会增加服务器的负担。
访问-需要设置HTTP响应标头设置
05-05
解决访问-需要设置HTTP响应标头设置
HTTP----解决方式
m0_58794378的博客
03-10 3899
在说之前,需要先了解一下什么是同源策略,就是因为浏览器这个安全策略引起的。
HTTP 请求如何实现
weixin_51782176的博客
01-21 725
是指浏览器从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,就会产生问题。的数据,就会遇到限制。
http 请求header设置--cors
热门推荐
老专家的博客
01-22 5万+
Cross-Origin Resource Sharing (CORS):页面打开的http请求http的地址不一样 (看地址栏你的请求url名或ip)//的浏览器会让请求带Origin头,表明来自哪里的请求 //file://类型的origin为null Origin: http://foo.exampleresponse【必须】有//表明允许访问 Access-Contr
Nginx配置请求Access-Control-Allow-Origin * 详解
09-09
总之,理解Nginx配置请求的原理实践方法对于现代Web开发者来说至关重要。通过设置正确的CORS头,可以确保Web应用能够在遵循安全规范的前提下,与多个源进行无缝通信。正确配置Nginx,可以让您的服务更好地适应...
js请求数据的3种常用的方法
11-24
JavaScript中的请求是Web开发中的一个重要话题,由于同源策略的限制,浏览器不允许JavaScript从一个源(名、协议端口的组合)获取另一个源的数据。为了解决这个问题,开发者通常采用以下三种常见的请求...
Vue-resource实现ajax请求请求示例
08-31
然而,随着Vue.js生态的发展,现在更多的人倾向于使用axios作为替代方案,因为axios具有更好的性能更丰富的功能。尽管如此,理解Vue-resource的工作原理使用方法仍然有助于理解网络请求的基本概念。
详解Vuejs2.0之异步请求
10-20
最后,文章强调了配置请求的重要性,并鼓励读者通过查看Chrome开发者工具中的网络请求情况来更好地理解发送接收的数据格式。文章的结尾鼓励读者尝试官方文档提供的方法,并通过实践加深理解,同时也欢迎大家对...
HTTP方法
思维小刀
04-29 1114
1.简述 1.1协议端口主机不同就是 1.2时报错 Failed to load http://bb.bb.bb/data.php?aaaa=1111: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://aa.aa.aa' is therefor...
http header设置
yeshen.org
03-27 1万+
http header设置 本质上是为了安全。不展开讲细节了,分享一下实际写代码中遇到的问题 有几个点, 1,是在服务器端设置的,服务器端没有设置,在服务器端的nginx设置也可以,要设置几个值: Access-Control-Allow-Origin:* Access-Control-Allow-Methods:"POST, GET, OPTIONS, DELETE" ...
HTTP 请求头CORS 请求详解
ili_ii的博客
02-24 6155
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器名设置的Cookie才会上传,其他名的Cookie并不会上传,且(源)原网页代码中的document.cookie也无法读取服务器名下的Cookie。
HTTP带自定义头的
泷泷养的乔小胖
12-10 1762
HTTP带自定义头的   1、index.html代码修改 自定义头设置                     // 测试getHeader方法                      it("测试getHeader方法", function(done) {                             //服务器返回的结果                   ...
解决http请求添加自定义头出现问题
ing的博客
07-23 486
背景是在登录认证时,需要根据用户的元信息放入到请求头中去认证。结果是因为如果增加了自定义头,那么浏览器会自动去发起OPTIONS请求
Http解决方案
summer_fish的专栏
01-25 559
HTTP 资源共享 资源共享(CORS, Cross-Origin Resource Sharing) 是浏览器的机制,让浏览器可以合理避开浏览器同源策略的限制,以访问不同源上的资源。 算作“” 当协议、子名、主名、端口号中任意一个不相同时,都算作不同,不同之间相互请求资源,就算作“”。 因为JavaScript出于安全考虑,有同源策略。 有一点必须要注意:并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策
http -- 问题详解(浏览器)
qq_37233070的博客
12-19 2676
既是 Windows 网络操作系统的逻辑组织单元,也是Internet 的逻辑组织单元,它是安全边界。只有的所有者才能访问管理内部的资源,若其他的要访问或者管理,则需要该赋予其他相关权限。从小角度来讲,在php中的变量作用,就可以体现出安全边界的概念。在以下例子中,调用test函数并不会输出任何内容。echo $a;test();因为函数内调用的是局部作用的变量,而在局部作用内并没有声明 $a 变量。除非我们使用global $a;从全局作用引用该变量。
Http处理方案
2th
10-17 860
问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、端口的资源。如果一个请求的目标资源的协议、名或端口与当前页面的不同,就会触发请求问题的出现,一方面是为了保护用户的隐私数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
axios 请求多个网址配置方法
最新发布
02-27
### 使用Axios进行请求配置多个URL 为了实现请求以及管理多个URL,在JavaScript中可以利用`axios`库的强大功能来简化这一过程。通过创建自定义实例,能够更方便地设置基础URL其他默认参数。 #### 创建带有基础URL的Axios实例 可以通过指定一个或多个基础URL的方式来初始化不同的Axios实例,这有助于更好地管理维护API端点: ```javascript // 定义第一个API的基础路径 const instanceOne = axios.create({ baseURL: 'https://api.example-one.com', }); // 定义第二个API的基础路径 const instanceTwo = axios.create({ baseURL: 'https://api.example-two.org', }); ``` 当设置了baseURL之后,所有的相对路径都会自动附加到这个基础上去构建完整的请求地址[^2]。 #### 处理源资源共享(CORS) 对于问题,服务器端通常需要支持CORS(Cross-Origin Resource Sharing)。如果目标服务已经启用了CORS,则客户端无需做额外处理即可正常发起请求;但如果遇到限制,可能还需要调整服务器配置或是寻找其他解决方案比如JSONP(仅限GET请求),或者是代理服务器的方式绕过浏览器的安全策略[^3]。 然而,在某些情况下,即使服务器不完全开放CORS头信息,也可以尝试使用`withCredentials`选项允许发送凭证(cookie, authorization headers),但这要求对方服务器明确指定了可信任的来源名列表。 ```javascript instanceOne.get('/resource', { withCredentials: true, }).then((response) => { console.log(response.data); }).catch((error) => { console.error('Error:', error); }); ``` 另外值得注意的是,虽然可以在前端代码里做一些优化措施减轻带来的麻烦,但是从根本上解决问题还是依赖于后端的服务提供商正确配置其响应头部以兼容更多类型的访问需求[^4]。 #### 发起具体请求 一旦有了上述准备好的Axios实例,就可以轻松地向不同主机名下的资源发出HTTP GET/POST等各类请求了。下面是一个简单的例子展示如何调用两个不同的API接口获取数据: ```javascript async function fetchData() { try { const [responseOne, responseTwo] = await Promise.all([ instanceOne.get('/endpoint'), instanceTwo.post('/another-endpoint', { key: 'value' }) ]); console.log('Response One:', responseOne.data); console.log('Response Two:', responseTwo.data); } catch (error) { console.error('Failed to fetch data:', error.message); } } fetchData(); ``` 此段代码展示了并发执行来自两个不同源头的数据抓取操作,并且采用了ES7+的新特性——异步函数(`async`)等待表达式(`await`)让逻辑更加清晰易读。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wang's Blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值