绝绝让你明白跨域cores

最新推荐文章于 2024-09-24 08:00:00 发布
最新推荐文章于 2024-09-24 08:00:00 发布
阅读量928 收藏 1
点赞数
分类专栏: get  post cookie小饼干 计算机网络 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60622481/article/details/128042324
版权
本文详细介绍了跨域资源共享(CORS)的工作原理,包括简单请求和非简单请求的区别,以及预检请求的过程。此外,还讨论了CORS中Cookie的处理方式,强调了在实现跨域通信时服务器设置的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是cors

下面是MDN对于CORS的定义:

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器  让运行在一个 origin (domain)上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP 请求。

 CORS需要浏览器和服务器同时支持,整个CORS过程都是浏览器完成的,无需用户参与。因此实现CORS的关键就是服务器,只要服务器实现了CORS请求,就可以跨源通信了。

cors的类别

 浏览器将CORS分为简单请求非简单请求

简单请求

简单请求不会触发CORS预检请求。若该请求满足以下两个条件,就可以看作是简单请求: 

1)请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

若不满足以上条件,就属于非简单请求了。

简单请求过程:

对于简单请求,浏览器会直接发出CORS请求,它会在请求的头信息中增加一个Orign字段,该字段用来说明本次请求来自哪个源(协议+端口+域名),服务器会根据这个值来决定是否同意这次请求。如果Orign指定的域名在许可范围之内,服务器返回的响应就会多出以下信息头:

Access-Control-Allow-Origin: http://api.bob.com  // 和Orign一样
Access-Control-Allow-Credentials: true   // 表示是否允许发送Cookie
Access-Control-Expose-Headers: FooBar   // 指定返回其他字段的值
Content-Type: text/html; charset=utf-8   // 表示文档类型

注意注意注意

如果Orign指定的域名不在许可范围之内,服务器会返回一个正常的HTTP回应,浏览器发现没有上面的Access-Control-Allow-Origin头部信息,就知道出错了。

这个错误无法通过状态码识别,因为返回的状态码可能是200

在简单请求中,在服务器内,至少需要设置字段:Access-Control-Allow-Origin

非简单请求过程

非简单请求是对服务器有特殊要求的请求,比如请求方法为DELETE或者PUT等。非简单请求的CORS请求会在正式通信之前进行一次HTTP查询请求,称为预检请求

预检请求使用的请求方法是OPTIONS,表示这个请求是来询问的。他的头信息中的关键字段是Orign,表示请求来自哪个源。除此之外,头信息中还包括两个字段

Access-Control-Request-Method:该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法。
Access-Control-Request-Headers: 该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。

服务器在收到浏览器的预检请求之后,会根据头信息的三个字段来进行判断,如果返回的头信息在中有Access-Control-Allow-Origin这个字段就是允许跨域请求,如果没有,就是不同意这个预检请求,就会报错。

服务器回应的CORS的字段如下:

Access-Control-Allow-Origin: http://api.bob.com  // 允许跨域的源地址
Access-Control-Allow-Methods: GET, POST, PUT // 服务器支持的所有跨域请求的方法
Access-Control-Allow-Headers: X-Custom-Header  // 服务器支持的所有头信息字段
Access-Control-Allow-Credentials: true   // 表示是否允许发送Cookie
Access-Control-Max-Age: 1728000  // 用来指定本次预检请求的有效期,单位为秒

只要服务器通过了预检请求,在以后每次的CORS请求都会自带一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

在非简单请求中,至少需要设置以下字段:

'Access-Control-Allow-Origin'  
'Access-Control-Allow-Methods'
'Access-Control-Allow-Headers'

减少OPTIONS请求次数:

OPTIONS请求次数过多就会损耗页面加载的性能,降低用户体验度。所以尽量要减少OPTIONS请求次数,可以后端在请求的返回头部添加:Access-Control-Max-Age:number。它表示预检请求的返回结果可以被缓存多久,单位是秒。该字段只对完全一样的URL的缓存设置生效,所以设置了缓存时间,在这个时间范围内,再次发送请求就不需要进行预检请求了。

CORS中Cookie相关问题:

在CORS请求中,如果想要传递Cookie,就要满足以下三个条件:

  • 在请求中设置 withCredentials

默认情况下在跨域请求,浏览器是不带 cookie 的。但是我们可以通过设置 withCredentials 来进行传递 cookie.

// 原生 xml 的设置方式
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
// axios 设置方式
axios.defaults.withCredentials = true;
  • Access-Control-Allow-Credentials 设置为 true
  • Access-Control-Allow-Origin 设置为非 *
.Net Core笔记知识点(、缓存)
俞祥胜的.Net进阶之旅
02-03 687
对需要设置缓存的控制器加上ResponseCacheAttribute属性,Asp.Net Core会自动添加cache-control报文头,效果如下:20秒内的二次请求将直接获取头第一次的返回的值。注:不使用app.UseReonseCaching()时,不同浏览器请求到的是不同的缓存;如果浏览器禁用缓存,这个缓存机制是无法生效的,客户端缓存与服务器端缓存都无法生效。恶意请求无效数据,导致缓存机制中请求数据库访问变多,造成服务器压力变大。方案1:引入缓存服务器,集群部署的服务器直接请求缓存服务器。
使用CORS解决问题
weixin_34163553的博客
05-02 1449
1.问题 1.1 什么是 是指名的访问,以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 item.jd.com 与 miaosha.jd.com 如果名和端口都相同,但是请求路径不同,不属于...
"" ----cores By Ajax
weixin_34409741的博客
07-28 226
实现的方法有好多种:JSONPcoresdocument.domainwindow.postMessage()今天主要分析的是Cores的实现---------------------------------------------------------cores---Cross-Orgin Resource Sharing,使用自定义的HTTP头部,让服务器声明那些来...
python之路_Cores解决请求
weixin_30847271的博客
01-08 180
三、服务端解决请求   上述我们介绍了如何在客户端解决请求问题,同样我们可以在服务端进行设置处理,是否还记得在我们不做任何处理的时候,请求时候浏览器给我们报的错误不?如下,翻译过来就是因为相应头没有指定Access-Control-Allow-Origin所允许原始的请求路径,因此原始请求路径http://127.0.0.1:8001不被允许访问。   基于上述的原因解释,我们...
Cors解决问题
weixin_46378983的博客
11-27 579
Cors中文名为资源共享,定义了在场景下浏览器和服务器通信的规范,Corsajax请求分为两类,一类是简单请求,另一类是非简单请求,两类请求的通信过程存在差别 。 简单请求 什么是简单请求 简单请求要满足两个条件 请求方法类型为以下三种之一 get post head 请求首部字段只含简单头部,简单头部如下 Accept Accept-Langurage Content-Type(必须为application/x-www-urlencoded、multipart/form-dat
你可能不知道的CORS资源共享
10-17
CORS资源共享)是HTML5引入的标准解决方案,它通过设置特定的HTTP头部字段,如`Access-Control-Allow-Origin`,让服务器告诉浏览器哪些来源的请求可以被允许。CORS分为简单请求和非简单请求两类。简单请求...
H5的video标签.HTML的video标签_ajax
12-24
H5的video标签.HTML的video标签 我们都知道HTML video标签能播放视频 但是如果你的video要播放的是非当前名下的视频文件,这就要播放视频, 应该如何实现呢?
22-09-25-06_uniAppVue3(uin-app本地主机数据(Cors)数据交互实现之--前端)
09-25
开发前端App最先需要被实现的功能是:与本地主机上已经布置在IIS服务上的后端数据实现(Cores)交互操作,这也是前端App作为前端工程性项目存在的根本意义和需求,因此需要首先对上一章中示例:22-09-24-04_...
chrome浏览器插件
最新发布
10-10
不同的插件可能有不同的配置方法,但大多数插件都提供了直观的用户界面,让开发者能够通过图形化的方式进行设置。 在使用插件的过程中,开发者可能需要了解一些基本的配置项。例如,设置要代理的目标URL地址,...
ArcGIS Server 10.2jar包
09-25
使用这个jar包,开发者可以轻松地在ArcGIS Server上启用CORS,让Web应用程序能够通过JavaScript进行调用ArcGIS服务,如地图服务、地理编码服务、图层服务等。通常,这个过程涉及以下几个步骤: 1. **下载...
NET CORE 允许访问文件中间件
09-14
NET CORE 允许访问文件中间件,添加自定义文件夹后。可指定相应文件访问。
ASP.NET Core 配置(CORS)
qq_39173779的博客
03-14 2773
目前使用的是ASP.NET CORE 2.1, 其Cors组件已经升级,出于安全考虑必须明确要允许的内容。由于项目中需要实时消息,所以就使用了ASP.NET(Core) SignalR实时通讯库。因为业务服务与通讯服务是独立的,所以涉及到的问题, 浏览器抛出的异常非常明显,这个是明显相关内容。浏览器控制台错误依然存在,.net core也提示了相关警告信息,差点就忘了现在使用.net core 版本和以前不一样了。特别注意:app.UseCors()必须放在app.UseMvc()之前。
.net core 允许
qq165285727的专栏
11-19 552
在Startup的ConfigureServices()中添加services.AddCors() 在Startup的Configure()中添加app.UseCors(); 保证其在app.UseMvc();之前 app.UseCors(builder => builder .AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader() .AllowCredentials()); app.UseMvc(); ...
.netCore设置
cduoa的专栏
03-27 3371
/ 允许特定ip。// 设定特定ip允许 CustomCorsPolicy是在ConfigureServices方法中配置的策略名称。// 允许所有cors是在ConfigureServices方法中配置的策略名称。这里设置只允许ip为http://localhost:21632的来源允许。// 设定允许的来源,有多个可以用','隔开。
.net core 处理
qq_34220236的博客
06-05 318
在Startup.cs文件中的ConfigureServices加上处理代码 public void ConfigureServices(IServiceCollection services) { services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2); ...
前端 三种解决问题 jsonp 、CORS、代理服务器 解决全家桶
老段的优快云的博客
12-12 1280
首先是一种安全机制,是在开发上线前考虑到的安全问题并且需要采取合适的手段去避免这个问题带来的程序错误,接口可以后端处理,也可以前端处理,一般情况下后端会处理的问题,但是为了避免拿到的接口没有解决,我们也可以通过前端来处理这个需求。浏览器不能执行其他网站的脚本,是由浏览器同源策略限制的一类请求场景,从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,都是。同源策略是指"协议+ 名+端口“三者相同,即便两个不同的名指向同一个ip地址,也非同源,违背同源策略就是
.Net Core 处理问题
预立数据科技
09-19 3310
一、什么是(源) 指的是从一个名下去请求另外一个不同的名下的资源。 说明:源可以看作相同,只是用词不一样 二、为什么会有(源)这个问题 原因:浏览器的同源策略导致了(源) 同源策略说明:https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy 举例:http://www...
CORS 问题解决&&预检(OPTIONS)请求解释
weixin_42118323的博客
04-15 9609
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决问题,只使用一种解决问题即可,不要同时配置多个。
问题、同源策略、CORS机制、Nginx解决问题(AI问答,仅供参考)
宋冠巡的博客
09-24 1498
问题、同源策略、CORS机制、Nginx解决问题。 问题通常是指在浏览器中由于同源策略(Same-origin policy)的限制而引起的问题。同源策略是Web安全的一个基本概念,它的目的是防止某个文档或脚本从一个来源加载资源时非法访问或修改另一个来源的资源或数据。这里的“来源”(origin)由协议(http/https)、名(domain name)以及端口(port)三者共同确定。如果这三个条件完全相同,则认为是同源;否则,即为不同源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值