什么是跨域资源访问

最新推荐文章于 2025-02-17 09:42:10 发布
原创 最新推荐文章于 2025-02-17 09:42:10 发布 · 707 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #docker #gradle #postgresql #spring

本系列文章的思想,都融入了 让 Java 再次伟大 这个全新设计的脚手架产品中,欢迎大家使用。

什么是跨域资源访问

当一个资源请求一个其它域名或者另外一个端口的资源时会产生一个跨域 HTTP 请求(cross-origin HTTP request)。比如说,http://domaina.example 的某 HTML 页面通过 img 的 src 请求 http://domainb.foo/image.jpg

在当今的Web 开发中,许多页面都会从另外一个站点加载各类资源(包括 CSS、图片、JavaScript 脚本以及其它类资源)。而针对这些同来源的各类资源的交互,各大浏览器往往遵循「同源策略」对交互进行处理。

什么是同源访问策略

同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。如果协议、端口(如果指定了一个)和主机对于两个页面是相同的,则两个页面具有相同的源。
下表给出了相对 http://store.company.com/dir/page.html 同源检测的示例:

URL结果原因
http://store.company.com/dir2/other.html成功dir2/other.html
http://store.company.com/dir/inner/another.html成功dir/inner/another.html
https://store.company.com/secure.html失败不同的协议 ( https )
http://store.company.com:81/dir/etc.html失败不同的端口 ( 81 )
http://news.company.com/dir/other.html失败不同的主机(主机)

同源策略的交互定义

同源策略控制了不同源之间的交互,例如在使用 XMLHttpRequest 或 img 标签时则会受到同源策略的约束。交互通常分为三类:

  • 通常允许进行跨域写操作(Cross-origin writes)。例如链接(links),重定向以及表单提交已经发送 ajax 请求。(特定少数的 HTTP 请求需要添加 preflight)
  • 通常允许跨域资源嵌入(Cross-origin embedding)。之后下面会举例说明。
  • 通常不允许跨域读操作(Cross-origin reads)。但常可以通过内嵌资源来巧妙的进行读取访问。例如可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法。

常见跨域资源嵌入示例

  • <script src="..."></script>标签嵌入跨域脚本。语法错误信息只能在同源脚本中捕捉到。
  • <img>嵌入图片。支持的图片格式包括 PNG,JPEG,GIF,BMP,SVG,…
  • <video><audio>嵌入多媒体资源。

可见,在通常情况下使用 XMLHttpRequest 的跨域读取操作将会受到限制,而<img>的资源嵌入操作则可以执行。不过,若当前环境希望用户能够自由请求服务器,不受同源策略限制应该怎么办?这样的问题,就需要引入 CORS。

什么是 CORS

CORS 是一种跨域资源共享(Cross-origin resource sharing)的解决方案。它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。这比起简单地允许所有这些的要求来说更加安全。

简言之,CORS 就是为了让 AJAX 可以实现可控的跨域访问而生的。通常我们采用配置 http response header 的方式就可以启用 CROS Access–Control-Allow-Origin: *

这也就是说 CORS 的配置一定是定义在服务器的——即只有服务器自己能决定来自其他源 (origin) 的请求是否有资格从我这里获取信息。

启用 CORS 带来的安全隐患

  1. 即便服务器只允许来自某个信任网站的请求,但是它也会收到大量来自其他域的跨域请求。这些请求有时可能会被用于执行应用层面的 DDOS 攻击。
  2. 假定一个服务器开启了 CORS,如果内部网络的用户访问了恶意网站,恶意网站可以通过 CORS(跨域请求)来获取到内部站点的内容。

总结

属于不同源的资源之间互相请求时会产生「跨域访问」的问题。各大浏览器通常基于「同源策略」对跨域访问进行处理。而 CORS 则提供了跨域资源共享的解决方案,使的同源策略能够通过 CORS 变得更加的灵活,以满足不同场景的需要。

跨域访问资源(详细)
小李不吃肉
08-25 3512
1:那些东西属于网络资源 js(s文件是允许被跨域请求的)、css、图片等等,src属性的资源都是可以被跨域请求的,href大多可以被跨域请求的额。 2:那些资源算跨域请求的资源 1:后端接口的数据 2:其他域的coolik 3:其他域的缓存 3:怎么算跨域,什么叫其他的域 页面的协议、域名、端口有任意一个不一样就算跨域。 4:跨域发生在哪里 首先我们要知道 (1):即使跨域了,请求也可以发出去。...
CORS:跨域访问、如何在Nginx中配置允许跨域访问
neeef_se的博客
12-28 937
跨域访问(Cross-Origin Resource Sharing, CORS)是浏览器安全策略的一部分,用于控制不同源(origin)之间的资源共享。当一个网页尝试从不同的源(协议、域名或端口中的任何一个不同)加载资源时,就会触发跨域访问问题。
终结同源策略!轻松实现跨域访问的9种方式!
你若盛开,清风自来
06-25 2029
同时,我们在nginx配置文件中设置了Access-Control-Allow-Origin头信息,允许跨域访问,从而实现了跨域通信的目的。在这个示例代码中,我们使用了Node.js的Express框架实现了一个简单的API,该API允许跨域访问,通过设置响应头信息,指定了允许跨域请求访问的源、请求头和请求方法。在同一个父域名下的不同子域名之间进行跨域操作时,由于浏览器的同源策略,会限制JS代码的访问权限,为了解决这个问题,可以在父域名相同的情况下,通过设置document.domain来实现跨域访问
跨域访问资源
xiaofangmin的博客
02-25 788
文章目录同源政策Ajax请求限制解决方法使用JSONP解决同源限制问题服务器端的解决方案CORS 跨域资源共享cookie 同源政策 同源的概念:如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,只要有一个不相同,就是不同源。 http://www.example.com/dir/page.html作比较(没写端口名就默认为80端口) http://www.example.co...
C#利用CefSharp嵌入Chrome访问本地网页及跨域资源
最新发布
06-26
资源下载链接为: ...使用方法如下: 打开程序:直接运行 cef.exe 文件。如果系统提示需要下载 .NET Framework 4.5.2,请前往官网下载。...替换后,程序即可加载并访问本地网页,同时支持跨域资源访问
Apache跨域资源访问报错问题解决方案
09-14
在Web开发中,跨域资源访问(Cross-Origin Resource Sharing,简称CORS)是一个常见的问题,尤其是在使用了多个服务器或CDN来分发静态资源时。本文将深入探讨Apache服务器上解决跨域报错的策略。 首先,理解同源...
精选资源
解决nginx/apache静态资源跨域访问问题详解
01-20
1. apache静态资源跨域访问 找到apache配置文件httpd.conf 找到这行 #LoadModule headers_module modules/mod_headers.so 把#注释符去掉 LoadModule headers_module modules/mod_headers.so 目的是开启apache头...
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
你可能不知道的CORS跨域资源共享
10-17
CORS(跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
跨域资源访问:CORS
weixin_57726902的博客
11-24 765
CORS()是由W3C定制的一种跨域资源共享技术,其目的就是为例解决前端的跨域请求。在javaEE开发中,最常见的前端跨域请求解决方案时JSONP,但是JSONP只支持GET请求;什么是JavaEE请求:它的原理是借助script标签不受浏览器同源策略限制,允许跨域请求资源,因此可以通过script标签的src属性,进行跨域访问。// 1. 前端定义一个 回调函数 handleResponse 用来接收后端返回的数据 function handleResponse(data) {};
Javascript跨域访问资源
ybdesire的专栏
08-19 2907
API的设计要考虑CORS。同源策略,跨域资源共享,错误No 'Access-Control-Allow-Origin' header is present on the requested resource.的缘由及解决方案。
(二十) 跨域资源访问
Luckyzhoufangbing的博客
05-01 240
1. CORS: 基本思想是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定是响应成功还是响应失败。 Access-Control-Allow-Origin: http://www.nczonline.net 2. JSONP: JSON with padding ( JSON填充 ) ,jsonp 由两部分组成,回调函数和数据 回调函数是当响应来时,在页面中调用的函数,回...
跨域访问(CORS与代理)
islautao的博客
07-01 2067
CORS和代理都是解决跨域问题的常用方法,但是它们也有各自的优缺点。CORS是一种更简单和安全的方法,但是它需要服务器端的支持和配置。代理是一种更灵活和强大的方法,但是它需要额外的网络开销和中间层的维护。
跨域:利用CORS实现跨域访问
qq_68163788的博客
11-12 2156
CORS(Cross-Origin Resource Sharing)是一种用于解决跨域访问的机制,允许在一个域下的Web应用程序访问另一个域下的资源。在传统的同源策略下,由于浏览器的安全限制,JavaScript代码只能从同一个域名下加载资源,而无法直接访问其它域名下的资源。 CORS通过在服务器端设置相应的响应头来允许跨域访问,其中最重要的是Access-Control-Allow-Origin响应头。
初学林中跨域资源访问只需要这一篇就可以了
weixin_60136157的博客
09-22 958
前言: 1.林、子域、域树的概念 子域:域中添加的任何新域都叫做子域,子域上层的域是父域。子域的域名是由子域本身的名称和父域域名结合而形成的DNS名称。 域树:具有连续名称空间的多个域,也就是说在一个域树中,所有域名的扩展名都相同。域树是一种结构,它的第一个域是该域树的根,单个域也可构成一个单域的域树。 域林:单个域树或者多个域树就构成了林。林中的不同域树不共用连续的名称空间。林中的所有域共用相同的配置,架构和全局编录。 2.林中信任域的关系是怎样的? 在Windows server2000之前,
【一文读懂】浏览器跨域访问问题及其解决方案
Bl_a_ck的博客
02-17 2027
介绍一下浏览器跨域访问问题及其解决方案
跨域资源共享(CORS):详解跨域请求的限制与解决方法
你若盛开,清风自来
03-05 5831
💡 本文将带你深入了解跨域资源共享(CORS)的概念,探讨浏览器对跨域请求的限制以及如何有效地解决这些问题。掌握 CORS 的原理和应对策略,将有助于你在前端开发中更好地实现资源共享。跨域是指在一个域下的网页尝试访问另一个域下的资源。例如,一个在的网页尝试访问的资源。跨域()是一种安全策略,由浏览器 enforced,限制跨域 HTTP 请求。跨域问题主要发生在浏览器端,服务器端由于协议设计的原因,不存在跨域问题。浏览器端跨域请求主要涉及到同源策略(Same-Origin Policy)。
http如何实现跨域访问
热门推荐
傲然君
12-21 1万+
当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),则认为它们是相同的域(协议,域名,端口都必须相同)。出于安全考虑,浏览器允许跨域写(即:上行,发送请求),而不允许跨域读(即:下行,接受响应)。跨域访问失败时,实际上浏览器发送请求成功,浏览器也接收到了响应,但是它会限制xmlhttprequest接受响应并在js控制台报错。解决方法:通过
什么是跨域
05-17
### 跨域的定义 跨域是指当一个网页通过 JavaScript 或其他前端技术尝试访问另一个域名下的资源时,如果该资源所在的服务器不允许被外部访问,则会产生同源策略限制的现象。这种现象源于浏览器的安全机制——即只有在同一协议、同一主机名和同一端口号的情况下,才能互相访问资源[^1]。 为了应对这一问题,开发者引入了多种技术和方法来实现合法的跨域通信,其中包括 JSONP 请求、CORS 配置以及 WebSocket 技术等。 --- ### 跨域在 Web 开发中的影响 #### 1. **安全性** 跨域的存在主要是出于安全考虑。如果没有跨域限制,恶意网站可能会利用用户的登录状态窃取敏感信息或执行未经授权的操作。因此,在实际开发中,合理配置 CORS 是保障数据传输安全的重要手段之一[^3]。 #### 2. **功能受限** 由于默认情况下无法直接跨越不同的源获取数据,这给一些需要调用第三方 API 的场景带来了挑战。例如电商平台可能希望展示来自多个供应商的商品列表,而这些商品的信息存储于各自的独立服务之中。此时如果不妥善处理好跨域设置,就可能导致页面加载失败或者显示不全的情况发生[^1]。 #### 3. **用户体验优化** 解决跨域问题是改善用户体验的关键环节之一。比如采用 Service Worker 结合 `mode: 'no-cors'` 可以绕过某些严格的跨域检查规则从而加快静态文件下载速度;又或者是借助 WebSocket 实现低延迟双向通讯以便实时更新界面内容等等[^4]。 以下是基于上述提到的技术的一个简单示例: ```javascript // 利用WebSocket建立持久化连接 const socket = new WebSocket("wss://example.com/socket"); socket.onopen = () => { console.log("Connection opened"); }; socket.onerror = (error) => { console.error("Error:", error); }; socket.onmessage = (event) => { const message = event.data; console.log(`Received from server: ${message}`); }; ``` 此代码片段展示了如何创建并维护一条稳定的 WebSocket 连接通道用于持续交换消息。 --- ### 浏览器兼容性注意事项 值得注意的是,尽管现代主流浏览器普遍支持 CORS 和 WebSocket 功能,但对于老旧版本仍需特别留意它们的具体行为差异。像 Internet Explorer 就是在第10版才完全遵循标准实现了跨资源共享特性,而在更早期则依赖特殊的 XDomainRequest 对象作为替代方案[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值