跨域资源共享CORS相关面试题整理

最新推荐文章于 2024-01-24 09:09:45 发布
最新推荐文章于 2024-01-24 09:09:45 发布
阅读量833 收藏 1
点赞数 5
分类专栏: # 前端必备 offer路 文章标签: javascript js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45890970/article/details/124099849
版权

跨域资源共享Cross-origin resource sharing

前言

分享一下最近整理的面试题,答案由我结合相关知识、理解后用自己的话复述出来的。
如果觉得有用记得点赞、收藏!!!

正文

1. 什么是同源策略?

如果两个URL的协议、域名和端口相同的话,则说明这两个URL是同源的。同源策略是浏览器通过的一种安全策略,它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。简单来说,如果网站A和网站B不同源,那么网站A就不能读取非同源网页B的Cookie、localStorage,也不能接触B网站的DOM。而且A无法向非同源地址发送AJAX请求。同源策略能帮助阻隔恶意文档,减少可能被攻击的媒介。

浏览器允许发起跨域请求,但是跨域请求回来的数据会被浏览器拦截,Web页面无法获取。

2. CORS是什么?

CORS跨域资源共享是一个W3C标准,它是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他源,这样浏览器就可以向跨域的服务器发送AJAX请求访问加载资源了。

3. 怎么实现CORS?

CORS需要浏览器和服务器同时支持,比如IE浏览器需要IE10以上,浏览器一旦发现AJAX请求跨域,就会自动添加一些附加的头信息,有时还会多出一次附加的请求。实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨域通信。

4. 什么是预检请求(preflight request)?预检请求有什么作用?

HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。)

预检请求是用于检查服务器是否支持跨域资源共享,浏览器使用 OPTIONS 方法发起一个预检请求。它一般是用了以下几个 HTTP 请求首部的 OPTIONS 请求:Access-Control-Request-Method 和 Access-Control-Request-Headers,以及一个 Origin 首部。

OPTIONS /resource/foo
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: origin, x-requested-with
Origin: https://foo.bar.org

如果服务器允许,那么服务器就会响应这个预检请求。并且其响应首部 Access-Control-Allow-Methods 会将 DELETE 包含在其中:

HTTP/1.1 200 OK
Content-Length: 0
Connection: keep-alive
Access-Control-Allow-Origin: https://foo.bar.org
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Max-Age: 86400

如果服务器否定了“预检”请求,会返回一个正常的 HTTP 回应,Access-Control-Allow-Origin字段明确不包括发出请求的Origin。

5. 简单请求是什么?

不会触发 CORS 预检请求的请求称为简单请求。如果它的请求方式是GET、HEAD或者POST请求,且HTTP头部字段不超出Accept、Accept-Language、Content-Language、Content-Type:(text/plain、multipart/form-data、application/x-www-form-urlencoded则为简单请求。

不满足条件的就属于非简单请求。

  • multipart/form-data:可用于HTML表单从浏览器发送信息给服务器。作为多部分文档格式,它由边界线(一个由’–'开始的字符串)划分出的不同部分组成。每一部分有自己的实体,以及自己的 HTTP 请求头。一般用于文件。

  • text/plain: 是使用纯文本进行传输,平时用的很少

  • application/x-www-form-urlencoded :数据被编码成以 '&' 分隔的键-值对, 同时以 '=' 分隔键和值。

    举例:向服务器发送数据 {a:"a",  b:"b"}

如果头的格式是application/x-www-form-urlencoded,  则ajax.send("a='a'&b='b'");

如果头的格式是application/json,  则ajax.send(JSON.stringify(data));

    MIME 类型 - HTTP | MDN (mozilla.org)

6. 简单请求的流程?

浏览器发现这次跨域 AJAX 请求是简单请求,就自动在头信息之中,添加一个Origin字段。如果Origin指定的源,不在许可范围内,服务器会返回一个正常的 HTTP 回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequestonerror回调函数捕获。注意,这种错误无法通过状态码识别,因为 HTTP 回应的状态码有可能是200。

7. CORS响应头有几种?作用是什么?

Access-Control-Allow-Origin:指定了允许访问该资源的外域 URI,通配符*表示允许来自所有域的请求。

Access-Control-Allow-Methods: 用于预检请求的响应,其指明了实际请求所允许使用的 HTTP 方法。

Access-Control-Allow-Headers:用于预检请求的响应。其指明了实际请求中允许携带的首部字段。

Access-Control-Allow-Credentials:响应头表示是否可以将对请求的响应暴露给页面。返回true则可以,其他值均不可以。当作为对预检请求的响应的一部分时,这能表示是否真正的请求可以使用credentials。

Access-Control-Expose-Headers:在跨源访问时,XMLHttpRequest 对象的 getResponseHeader() 方法只能拿到一些最基本的响应头,比如Content-Language、Content-Type等,如果要访问其他头,则需要服务器设置本响应头。

Access-Control-Max-Age:预检请求的结果能被缓存多久,即在多少秒内有效。

8. CORS请求头有几种?作用是什么?

Origin:表明预检请求或实际请求的源站,值为源站 URI,它不包含任何路径信息,只是服务器名称。

Access-Control-Request-Method:用于预检请求。其作用是将实际请求所使用的 HTTP 方法告诉服务器。

Access-Control-Request-Headers:用于预检请求。其作用是将实际请求所携带的首部字段告诉服务器。

9. CORS的优缺点是什么?

CORS是 W3C 标准属于跨域 Ajax 请求的根本解决方案支持 GET 以外的其他请求,比如 POST 请求。缺点是出现的晚,不兼容某些低版本的浏览器,比如IE浏览器需要IE10以上。

本篇文章到处结束,后续可能会补充相关的知识!!

如果觉得本篇文章对你有用,记得点赞、收藏哦~

CORS问题全解:原理、问题与解决方案
私聊前往站内信:https://i.youkuaiyun.com/#/msg/chat/weixin_44976692
08-19 2万+
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
彻底理解前端安全面试题(3)—— CORS资源共享,解决问题,建议收藏(含源码)
有一棵树的博客
01-03 2736
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于的问题已经总结完成,本篇文章详细介绍了如何使用并配置CORSJSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
面试----cors
weixin_33730836的博客
10-05 369
cors是什么 cors 资源共享 Cross-origin resource sharing是一种的解决方案 它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 但是需要浏览器的支持。值得注意的是:整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,...
【安全与风险】恶意软件-概念、攻击和检测
最新发布
qq_53058639的博客
01-24 1613
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
前端面试题的实现
欢迎来到我的博客
08-19 888
已经不止一次的被问到这个问题了,今天来总结了一下前端的实现方式,虽然有的方式自己在项目中没有用过,但是还是需要了解一下的。 首先需要了解一下什么是就是说在一个下去请求另一个下的资源,那什么是另一个呢?就是说在两个之间,不管是协议,名甚至端口,只要有一个不一样,就属于不同的,不同的之间去请求数据,这就是。 其实我们通常所说的是狭义的,是由浏览器同源策略限制的一类请求场景。 什么是同源策略呢,同源策略/SOP(Same origin policy)是一种约定,由Nets
java中级面试题整理
01-28
Java面试题涵盖广泛,从基础到进阶,再到算法、并发、中间件等方面,以下是根据题目内容整理出的知识点详解: 一、Java基础 1. Java的数据类型:包括基本数据类型(整型、浮点型、字符型、布尔型)和引用数据类型...
2017前端面试题整理汇总
08-23
这份"2017前端面试题整理汇总"旨在为求职者提供一个全面了解前端面试趋势和必备技能的平台。 1. **JavaScript** JavaScript是前端开发的核心语言,面试中通常会考察基础语法、函数、闭包、原型链、异步处理等方面...
2017年前端面试题整理汇总100题.pdf
07-24
资源共享CORS)是前端工作中常见的问题。解决问题通常有以下几种方法: - **JSONP**:由于浏览器同源策略限制,JSONP通过动态创建`<script>`标签的方式请求资源,并利用回调函数取得数据。但JSONP只...
JSONP与CORS面试
qq_45226846的博客
09-17 246
1、两者原理及比较 原理: JSONP利用script标签可以的原理。 CORS与AJAX类似,只是版的AJAX(我认为是这样) 比较: JSONP只支持GET请求;CORS支持所有。 JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。 2、CORS发送几次(面试) 简单请求发送一次。直接发出CORS请求。 非简单请求发送两次。先预检(先询问服务器,当前网页所在的名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的
你可能不知道的CORS资源共享
10-17
主要给大家介绍了关于CORS资源共享相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
面试题】1342- 前端面试必会网络之问题解决
pingan8787
06-05 773
什么是浏览器有一个重要的安全策略,称之为「同源策略」其中,源=协议+主机+端口源=协议+主机+端口源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为源或比如:源 1源 2是否同源www.baidu.com[1]www.baidu.com/news[2]✅www.baidu.com[3]www.baidu.com[4]❌http://localhos...
面试整理(2)jsonp与CORS
weixin_30377461的博客
06-01 160
问题:有哪些方法?jsonp的原理是什么? jsonp: 先说jsonp,jsonp的主要原理是利用script标签的src可以请求,据说有src属性的都可以请求,但script标签返回的会直接执行,所以都是用script请求。jsonp=json+padding,padding是指服务器返回数据时把数据用padding(函数)包裹了起来。也就是说,一般情况下浏览器向服务器发送请求...
前端面试题汇总--
weixin_42246997的博客
03-05 1838
### 如何解决问题 --- **JSONP:** - 原理是:动态插入`script`标签,通过`script`标签引入一个`js`文件,这个`js`文件载入成功后会执行我们在`url`参数中指定的函数,并且会把我们需要的`json`数据作为参数传入 - 由于同源策略的限制,`XmlHttpRequest`只允许请求当前源(名、协议、端口)的资源,为了实现请求,可...
前端面试之----解决方案之一(CORS
m0_60237095的博客
12-29 772
解决方案(CORS) 1. 什么是? ​ 问题是出于浏览器的【同源策略】限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个javascript脚本和另外一个的内容进行交互。 ​ 所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)
总结一下最近遇到的面试题(下)
eswang的优快云博客
03-10 681
44. CSS动画和JS动画 css动画相对于优一些,css动画通过GUI解析;js动画需要经过js引擎代码解析,然后再进行GUI解析渲染。 如果需要大量操作动画,使用JS。 从编写难度来看,CSS要简单整洁许多。 45. XSS与CSRF 站脚本攻击(XSS) 输入恶意脚本代码 输入恶意GET请求参数 通过对用户输入转义;设置httpOnly;利用浏览器安全策略(CSP)等 站请求伪...
面试题--你了解的解决的方案有哪些?
efew212efe的博客
04-14 312
JSONP 请求本质上是利用了 “Ajax 请求会受到同源策略限制,而 script 标签请求不会” 这一点来绕过同源策略。 资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的 Web 应用被准许访问来自不同源服务器上的指定的资源。 — MDN 的解决方案 jsonp:只支持 GET,不支持 POST 请求,不安全 XSS cors:需要后台配合进行相关的设置 postMessage:配合使用 iframe,需要兼容 I.
CSRF面试题
m0_61990875的博客
11-08 648
CSRF部分面试题答案
前端的面试题
weixin_58276266的博客
08-16 387
1、什么是盒子模型? 在网页中,一个元素占有空间的大小由几个部分构成,其中包括元素的内容(content),元素的内边距(padding),元素的边框(border),元素的外边距(margin)四个部分。这四个部分占有的空间中,有的部分可以显示相应的内容,而有的部分只用来分隔相邻的区或区。4个部分一起构成了css中元素的盒模型。 2、行内元素有哪些?块级元素有哪些? 空(void)元素有那些? 行内元素:a、b、span、img、input、strong、select、label、em、button、
前端高频面试题整理与分析
- **问题**:理解同源策略以及如何通过CORS、代理、JSONP等方式解决问题。 - **Web安全**:了解XSS攻击、CSRF攻击的原理和防御措施,以及HTTPS、内容安全策略(CSP)等安全机制。 ### 5. 工具与开发流程 -...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

焦妮敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值