CORS

最新推荐文章于 2023-07-26 18:23:02 发布
原创 最新推荐文章于 2023-07-26 18:23:02 发布 · 222 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cors #跨域

本文详细介绍CORS(跨域资源共享)的实现原理与实践,通过一个具体的代码示例,展示了如何在服务端通过添加响应头信息来实现客户端的AJAX跨域请求。包括配置允许的来源、方法、凭证等关键步骤。

CORS

跨域请求CORS

CORS 全称为 Cross Origin Resource Sharing(跨域资源共享),服务端只需添加相关响应头信息,即可实现客户端发出 AJAX 跨域请求
实现方式:
服务端可通过任何编程语言来实现,只要能将 CORS 响应头写入 response 对象中即可。

代码示例

(1)编写filter
过滤所有的 HTTP 请求

public class CorsFilter implements Filter {
    private String allowOrigin;
    private String allowMethods;
    private String allowCredentials;
    private String allowHeaders;
    private String exposeHeaders;
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        allowOrigin = filterConfig.getInitParameter("allowOrigin");
        allowMethods = filterConfig.getInitParameter("allowMethods");
        allowCredentials = filterConfig.getInitParameter("allowCredentials");
        allowHeaders = filterConfig.getInitParameter("allowHeaders");
        exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
    }
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        if (StringUtil.isNotEmpty(allowOrigin)) {
            List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
            if (CollectionUtil.isNotEmpty(allowOriginList)) {
                String currentOrigin = request.getHeader("Origin");
                if (allowOriginList.contains(currentOrigin)) {
                    response.setHeader("Access-Control-Allow-Origin", currentOrigin);
                }
            }
        }
        if (StringUtil.isNotEmpty(allowMethods)) {
            response.setHeader("Access-Control-Allow-Methods", allowMethods);
        }
        if (StringUtil.isNotEmpty(allowCredentials)) {
            response.setHeader("Access-Control-Allow-Credentials", allowCredentials);
        }
        if (StringUtil.isNotEmpty(allowHeaders)) {
            response.setHeader("Access-Control-Allow-Headers", allowHeaders);
        }
        if (StringUtil.isNotEmpty(exposeHeaders)) {
            response.setHeader("Access-Control-Expose-Headers", exposeHeaders);
        }
        chain.doFilter(req, res);
    }
    @Override
    public void destroy() {
    }
}

(2)配置web.xml

<filter>
    <filter-name>corsFilter</filter-name>
    <filter-class>com.vander.api.cors.CorsFilter</filter-class>
    <init-param>
        <param-name>allowOrigin</param-name>
        <param-value>http://web.xxx.com</param-value>
    </init-param>
    <init-param>
        <param-name>allowMethods</param-name>
        <param-value>GET,POST,PUT,DELETE,OPTIONS</param-value>
    </init-param>
    <init-param>
        <param-name>allowCredentials</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <param-name>allowHeaders</param-name>
        <param-value>Content-Type</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>corsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

说明:
Access-Control-Allow-Origin:允许访问的客户端域名,例如:http://web.xxx.com,若为 *,则表示从任意域都能访问,即不做任何限制;
Access-Control-Allow-Methods:允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS;
Access-Control-Allow-Credentials:是否允许请求带有验证信息,若要获取客户端域下的 cookie 时,需要将其设置为 true;
Access-Control-Allow-Headers:允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type;
Access-Control-Expose-Headers:允许客户端访问的服务端响应头,多个响应头用逗号分割。

同源策略与CORS源资源共享)以及django项目支持CORS
花城的博客
01-04 3929
文章目录一、同源策略/SOP(Same origin policy)1.1 源(origin)的定义1.2 同源的含义1.3 同源策略二、CORS源资源共享)2.1 预检请求2.2 请求分类2.3 简单请求2.4 非简单请求三、使Django项目支持CORS3.1 自定义中间件3.2 使用django-cors-headers3.2.1 安装3.2.2 配置 一、同源策略/SOP(Same origin policy) 1.1 源(origin)的定义 以下三个部分共同构成了一个源: 协议:如htt
Spring解决CORS问题
ZHL's Blog
03-22 1754
1、前言 出于安全原因,浏览器禁止AJAX调用当前来源之外的资源,资源共享(CORS)是由大多数浏览器实施的W3C规范,使您可以灵活地指定对哪种请求进行授权。 从Spring Framework 4.2开始,开箱即用地支持CORSCORS请求(包括带有OPTIONS方法的预检请求)将自动分派到各种已注册的HandlerMappings。 2、Controller方法的CORS配置 可以...
web.xml cors_CORS,CSP和其他Web安全概念:开发人员简介
cumian9828的博客
07-28 224
web.xml corsIf you keep hearing acronyms like CORS, CSP, and SSL - but don't know what they mean - you're in luck. This article by Austin Tackaberry covers these security concepts in detail. It's a gr...
DRF三个配置项allow_hosts、cors_allowed_origins、CSRF_TRUSTED_ORIGINS
weixin_58414392的博客
07-26 1655
DRF三个配置项
Cors解决问题之web.xml过滤器方式
William_TWG的博客
03-19 1588
web.xml配置方式 <filter> <filter-name>CorsFilter</filter-name> <filter-class>com.springmvc.common.filter.CORSFilter</filter-class> </filter> <filter-...
tomcat配置CORS/web.xml配置准许
向阳
04-08 1万+
直接上代码 web.xml配置如下: &lt;filter&gt; &lt;filter-name&gt;tracingContextFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.maycur.common.util.web.TracingServletContextFilter&lt;/filter-...
CORS Scanner工具
最新发布
02-21
CORS(Cross-Origin Resource Sharing,源资源共享)是一种网络浏览器安全策略,用于限制网页脚本从不同源获取资源的能力。CORS Scanner工具是专门针对这一机制进行检测和分析的软件或插件,它帮助开发者检查并...
精选资源
cors扩展插件chrome
12-13
标题中的“cors扩展插件chrome”指的是用于解决Web应用程序问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
精选资源
cors-filter-1.7.jar,cors-filter-2.5.jar,cors-filter-2.10.jar
06-20
在IT行业中,尤其是在Web开发领资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(名、协议或端口)发送Ajax请求,以突破同源策略的限制。Tomcat作为一款广泛...
精选资源
cors-unblocker:绕过 CORS 的简单免费代理
06-13
CORS(Cross-Origin Resource Sharing,源资源共享)是Web浏览器为保护用户数据而实施的一种安全策略,限制了脚本从不同源获取资源的能力。当一个请求的源与目标资源的、协议或端口不同时,浏览器会执行CORS检查...
精选资源
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
名称:Allow CORS Access-Control-Allow ---------------------------------------- 版本:0.1.9 作者:Muyor 分类:生产工具 ---------------------------------------- 概述:轻松将(Access-Control-Allow-Origin...
CORS 几种解决方案
制心入境
08-26 1万+
CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否. Access-Control-Allow-Origin:指定授权访问的 Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等) 一:简单的自定义CORSFilter / Intercepto
SpringBoot 解决问题
coolshyman的博客
07-18 2883
在Spring Boot中,解决问题可以通过配置CORS(Cross-Origin Resource Sharing)来实现。注解指定了允许访问的来源、HTTP方法和请求头。在SpringBoot中,CORS默认是关闭的。通过以上步骤,可以解决Spring Boot中的问题。指定了允许访问的来源,可以是一个名或一个IP地址。文件中配置CORS来解决问题。指定了允许的HTTP方法,如GET、POST等。指定了允许的请求头,可以根据需要进行添加。在Spring Boot中,可以通过在。
Cors(三):Access-Control-Allow-Origin多名?
架构师:通透,才能写出好代码!
06-21 2万+
响应头设置不合理,公司安全部门会请你喝茶
CORS资源共享) 的配置
ye1992的专栏
02-04 7222
各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和 android 浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现发送请求,需要服务端配置 nginx增加类似如下配置: server {       location / {           if ($ request_me
Cors解决Java开发时的问题
个人学习笔记库,一篇一篇记录成长的足迹
02-08 2785
同源与 问题伴随着前后端分离而产生。不想jsp,asp,ejr等嵌入html语言,直接在混入html中就可以操作数据库从而获取数据,前后端分离开发的模式,前后端的通讯是基于Ajax技术,这是也是Javascript最重要的技术之一。 为了维护浏览器的安全,指定了同源策略也就是名、协议、端口均相同的才能进行访问,当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,就会被浏览器拦截。 但是在前后端分离开发中可能使用的软件都不一样,就可能造成三个中的不一致。(最常见就是端口)
Spring MVC配置CORS(解决请求)
热门推荐
switch513的博客
01-19 4万+
1. CORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 ajax 请求的。 为了解决这个问题,w3c 提出了源资源共享,即 CORS(Cross-Origin Resource Sharing)。 CORS 做到了两点: 不破坏即有规则服务器实现了 CORS 接口,就可以源通信 基于这两点,CORS
javaWeb解决问题
来自外太空的鱼-张小张
01-05 1319
javaWeb解决问题
cors
06-02
CORS,全称为Cross-Origin Resource Sharing,即资源共享。它是一种机制,用于在浏览器和服务器之间,安全地实现的数据传输。 在传统的同源策略下,浏览器限制了网页从不同源加载资源的行为。但是,在某些...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值