知道什么是 CORS嘛?一文搞懂 CORS 原理!

最新推荐文章于 2025-08-10 19:21:14 发布
原创 最新推荐文章于 2025-08-10 19:21:14 发布 · 838 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cors #接口请求 #资源共享 #网路策略

CORS 概述

  • 全称: 跨域资源共享(Cross-Origin Resource Sharing)
  • 目的: 允许网页从不同源请求资源,实现安全的跨域通信。

CORS 工作流程

  1. 预检请求(Preflight Request)

    • 对于某些请求类型(如 PUT、DELETE 或带有非简单头部的请求),浏览器先发送 OPTIONS 请求。
    • 服务器返回响应头部,指明是否允许实际请求。

  2. 实际请求(Actual Request)

    • 如果预检请求通过,浏览器发送实际请求。

  3. 响应头部(Response Headers)

    • 服务器响应包含 CORS 特定头部,如 Access-Control-Allow-Origin

Origin 定义

  • Origin 由协议、域名和端口组成,三者完全一致才视为同一来源。

同源策略(Same-Origin Policy, SOP)

  • 防止恶意网站通过脚本访问其他网站内容。
  • 同源指协议、域名和端口相同。

跨域请求

  • 从一个域向另一个域发起的 HTTP 请求。
  • 常见于现代 Web 应用,如前端向后端 API 请求数据。

CORS 请求类型

  • 简单请求: 使用 GET、POST、HEAD 方法,且请求头部符合特定条件。
  • 预检请求: 对于复杂请求,浏览器先发送 OPTIONS 请求。

CORS 头部字段

  • Access-Control-Allow-Origin: 指示允许访问资源的源。
  • Access-Control-Allow-Credentials: 是否允许发送凭据(如 Cookies)。
  • Access-Control-Expose-Headers: 指示哪些头部可以作为响应的一部分被访问。

实现 CORS

  • 客户端处理: 发送签名请求,如在请求头中包含 Authorization
  • 服务器端处理:
    • 使用 SpringBoot 的 @CrossOrigin 注解。
    • 采用过滤器(filter)方式。
    • 配置 Configuration 类。

服务器 CORS 设置

  • 通过设置响应头部配置 CORS,如允许所有源访问或特定源访问,允许凭据请求访问,允许特定方法和头部,设置预检请求的缓存时间。

常见问题及解决方案

  1. 缺少 Access-Control-Allow-Origin 头部。

    • 解决方案: 确保服务器端正确设置该头部。

  2. 请求包含凭据时,Access-Control-Allow-Origin 不能为通配符 *

    • 解决方案: 明确指定允许的源,并设置 Access-Control-Allow-Credentials

  3. 预检请求失败。

    • 解决方案: 确保服务器正确处理 OPTIONS 请求并返回相应的 CORS 头部。

总结

CORS 是现代 Web 开发中的重要机制,理解其工作原理和配置方法有助于有效解决跨域请求问题。

知道跨域?一文教会你
sharkchen的专栏
12-19 926
跨域,在前后端分离的架构里面最常见的问题,这个问题怎么来的?怎么解决?有没有什么实践的方案?本文带你弄懂他
一文搞懂单点登录系统:架构、原理与实战案例
最新发布
srlsong的博客
12-24 872
单点登录系统作为现代数字化环境中身份验证和访问管理的关键解决方案,其重要性不言而喻。通过对单点登录系统架构的剖析,我们了解到认证中心、服务提供者和用户代理等关键组件在系统中各自承担着重要职责,协同工作以实现用户的统一认证和授权。集中式架构和分布式架构各有特点,适用于不同规模和业务需求的场景,企业在选择架构时需要综合考虑自身的实际情况。在原理方面,单点登录系统通过一系列严谨的工作流程,实现了用户在多个应用系统之间的 “一次登录,处处通行”。
CORS:了解CORS
02-16
CORS:了解CORS
CORS原理详解
qq_44197554的博客
05-31 5073
JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它的全称是Cross-Origin Resource Sharing,跨域资源共享。 它的总体思路是
CORS实现原理
文生同学
03-21 2408
1.简介 CORS,跨域资源共享,需要浏览器和服务器同时支持,基本思想为使用自定义的HTTP头部让浏览器和服务器通信 2.分类 浏览器将CORS分为两类: 简单请求 HEAD,GET,POST, HTTP头部信息不超出几个字段 非简单请求 HEAD请求请求页面的首部,可以判断一个资源是否存在 3.简单请求 浏览器直接发出CORS请求,在头信息中添加一个Origin字段,用来...
什么是cors?原理是什么?
qq_60504665的博客
06-18 944
CORS(Cross-Origin Resource Sharing)是一种浏览器技术的规范,也被称为跨域资源共享。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持,所有现代浏览器都支持此功能,但IE浏览器不能低于IE10。CORS的优势在于它可以让所有现代浏览器都支持跨域请求,从而为用户提供更好的体验。然而,需要注意的是,某些古老的浏览器可能不支持CORS或支持有限。
Go中间件CORS简化攻略:一文搞定跨域请求复杂性
![Go中间件CORS简化攻略:一文搞定跨域请求复杂性](https://img-blog.csdnimg.cn/0f30807256494d52b4c4b7849dc51e8e.png) ...接下来,我们会深入探讨CORS的工作原理以及如何在实际的开发中运用这一技术
一文搞懂 NestJS 装饰器:类装饰器 vs 方法装饰器(附全景流程图)
一萧烟雨任平生
08-10 1168
NestJS的装饰器体系是其核心特性之一。文章通过类装饰器(如@Controller、@Injectable)和方法装饰器(如@Get、@Post)的对比,通俗易懂地解释了两者的区别:类装饰器用于标记和改造整个类,而方法装饰器则专注于类中的特定方法,用于绑定路由或添加功能。文中通过建筑类比(整栋楼挂牌vs单扇门贴标签)和流程图,帮助读者理解装饰器在请求处理流程中的作用。最后总结了记忆口诀,帮助开发者区分不同类型的装饰器用途。
一文彻底搞懂Gateway的应用、谓词、过滤器和限流
imDony
12-24 611
网关Gateway在分布式、微服务中都是不可或缺的核心组件,本文从核心概念、拦截器原理、谓词和限流降级等多角度进行介绍,如服务、降级和熔断等,如果要集成Spring Cloud的功能 ...
CORS
alodina的博客
08-13 514
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说...
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5359
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
【WEB】深入理解 CORS(跨域资源共享):原理、配置与常见问题
人生苦短,睡觉要紧,睡醒再说
11-13 4341
浏览器的同源策略(Same-Origin Policy)是一种重要的安全机制,用于阻止不同源(域)之间的恶意操作。根据同源策略,网页中的脚本只能访问与其所在网页相同源的资源。协议(Scheme):如http://或https://;主机(Host):如或;端口(Port):如80或8080。如果请求的协议、主机名或端口号不一致,浏览器将视为跨域请求,默认会阻止这样的访问。和属于不同来源(协议不同);和属于不同来源(主机名不同);和属于不同来源(端口不同)。如果不使用cors// 允许的源。
代码中的 CORS
借物小人的博客
03-27 290
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)跨域资源共享 CORS 详解。看名字就知道这是处理跨域问题的标准做法。 模拟环境:http://api.bob.com 通过ajax向 http://api.alice.com 发起请求 CORS简单请求 前端 function sendAjax() { var xhr = new XM...
【JavaScript】CORS(跨源资源共享
好久不见的流星
02-25 2585
CORS是现代跨域解决方案的核心,通过在服务端设置响应头,实现了在浏览器中安全、可控地进行跨域请求。了解CORS原理和使用步骤,对于处理跨域问题至关重要。在使用CORS时,注意设置合适的CORS头,处理带凭据的请求,以及对预检请求的正确响应。希望通过本篇博客,你对CORS有了更深入的了解,并能够在实际项目中应用这一现代跨域解决方案。
Http的CORS
Meskjei的博客
04-10 1034
文章目录浏览器的同源策略CORS例子预检请求 浏览器的同源策略 所谓同源策略,就是指浏览器会限制从一个源加载的网页和脚本与其他源的资源交互。这是一种用于隔离潜在恶意软件的机制。 可能有人会奇怪,明明网页是自己写的,自己怎么会请求含有恶意程序的URL呢?话虽如此, 可是我们在开发中经常会引入第三方的库,当我们通过script标签将它们引入的时候是没有限制的。而它们之中就可能含有对恶意URL的请求。 ...
什么是CORS
KIoIK的博客
10-16 644
当我们想从一个域去访问另一个域的资源时,就是跨域,服务器不同、端口号不同等都可以视作跨域。而CORS定义了在跨域访问资源时浏览器和服务器之间如何通信。 解决跨域:1.修改响应头,在后端中我们将响应头修改尾"Access-Control-Allow-Origin",以node中为例: 2.jsonp 在网页中通过src方式访问数据是不受同源策略影响的,那么请求数据时把数据装入含src的标签中就行了,而json的数据格式刚好被js原生支持,所以服务器需要生成json格式的数据发送给客户端,客户端再将其装进sr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值