CORS问题详解

最新推荐文章于 2025-03-24 10:26:22 发布
最新推荐文章于 2025-03-24 10:26:22 发布
阅读量2.1k 收藏
点赞数
分类专栏: HTTP 文章标签: http 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014473112/article/details/78933355
版权

参考:http://restlet.com/company/blog/2015/12/15/understanding-and-using-cors/
https://stackoverflow.com/questions/27915191/how-does-the-chrome-browser-decide-when-to-send-options

什么是CORS

Cross Origin Resource Sharing(CORS),顾名思义,即跨域共享,当两个不同domain进行访问的时候,默认情况是不能访问的,需要解决CORS问题。

理解CORS两种不同请求

在远程web应用决定一个request是否能被服务的时候,CORS会区分两种请求:
(1)Simple requests :如果远程服务器允许当前发送域发送请求,简单请求就会直接返回结果,否则会返回权限错误
(2)Preflighted requests:先发送一个和target request一样的url的OPTIONS请求去检查是否有权利执行这个请求,OPTIONS如果正常处理了就会返回什么类型的请求可以被执行,浏览器就会匹配当前请求,如果可以被执行,就会接着发送真正的target请求。举例:
当我们向请求头添加signkey、appid、token等字段的时候,浏览器首先发送一个option请求,然后根据服务器的设置请求返回如下字样:
这里写图片描述
可以看到允许header的内容包括signkey、appid、token等,所以浏览器就第二次发送请求:
这里写图片描述
这样Preflighted请求就正常发送了

两种请求发送时机

如果满足下面的情况,跨域算法就会发送简单请求:

  • request method是simple method 并且没有设置force preflight flag(这个怎么设置暂时还没找到)
  • request header是simple header或者request header为空
    否则,就会发送preflight request

simple method以及simple header

1、simple method(区分大小写)
- GET
- HEAD
- POST
2、simple header(区分大小写)
- header字段包括Accept, Accept-Language, 或者 Content-Language
- header字段包括Content-Type并且Content-Type值为 application/x-www-form-urlencoded, multipart/form-data, 或者 text/plain.

常见服务器处理跨域问题

各个平台跨域链接:https://enable-cors.org/
没有仔细看,就试了几个:
(1)springMVC跨域:参见http://blog.youkuaiyun.com/isea533/article/details/50449907
(2)springBoot跨域:
添加一个配置类,继承WebMvcConfigurerAdapter
重写addCorsMappings方法:

@Configuration
public class CorsConfiguration extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")  //允许跨域访问的链接 "/**" 表示允许所有链接
                .allowedMethods("*");           //允许的http方法(GET,PUT,POST,DELETE...),"*"表示允许所有方法
    }
}

(3)jersey跨域:http://www.codingpedia.org/ama/how-to-add-cors-support-on-the-server-side-in-java-with-jersey/
先写Provider类(我的方法名是CrosFliter有点问题,应该是CrosPorvider比较合理)

@Provider
public class CORSResponseFilter
implements ContainerResponseFilter {

    public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext)
            throws IOException {

        MultivaluedMap<String, Object> headers = MultivaluedMap<String, Object> headers = responseContext.getHeaders();

        headers.add("Access-Control-Allow-Origin", "*");
        headers.add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT,OPTIONS");
        headers.add("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, X-Codingpedia,signkey,appid,token");
    }

}

然后注册这个Provider,常见注册方法见这个:https://blog.dejavu.sk/2013/11/19/registering-resources-and-providers-in-jersey-2/
我使用的是在web.xml注册:

<servlet>
        <servlet-name>MobileJerseyServlet</servlet-name>
        <servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
        <init-param>
            <param-name>jersey.config.server.provider.packages</param-name>
            <param-value>com.xx.xx.mobile.rest</param-value>
        </init-param>
        <init-param>
            <param-name>jersey.config.server.provider.scanning.recursive</param-name>
            <param-value>false</param-value>
        </init-param>
        <init-param>
            <param-name>jersey.config.server.provider.classnames</param-name>
            <param-value>com.xx.xx.filter.CrosFilter</param-value>
        </init-param>
    </servlet>
    <servlet-mapping>
        <servlet-name>MobileJerseyServlet</servlet-name>
        <url-pattern>/api/ams/mobile/*</url-pattern>
    </servlet-mapping>
</servlet>

可以看到,在我的CORSResponseFilter类中,为了能接收OPTIONS请求,我在Access-Control-Allow-Methods加了OPTIONS,然后为了能够接收header有signkey、appid、token等特殊字段的请求,我也添加了允许。
最后,因为OPTIONS请求是不会携带一些特殊数据比如token信息的,所以如果你的服务器有对这个信息的校验的时候,需要忽略OPTIONS请求,否则OPTIONS请求被判为不合法:

 if (!"OPTIONS".equalsIgnoreCase(request.getMethod())) {
         //过滤处理的代码
            }
        }else{
            chain.doFilter(request,response);
        }
Spring MVC CORS配置详解及实例
m0_62153576的博客
08-10 406
在开发应用时,CORS(Cross-Origin Resource Sharing)是一个重要的概念。Spring MVC提供了灵活的CORS支持,允许开发者轻松实现资源共享。本文将详细介绍两种常用的Spring MVC CORS配置方法,并提供实例进行说明。
CORS 完全手册之 CORS 详解
LuckyWinty的博客
04-11 752
CORS 完全手册之如何解决CORS 问题?里面我们提到了常见的CORS 错误解法,以及大多数状况下应该要选择的解法:「请后端加上response header」。但其实「来源请求」...
cors 详解
weixin_33713503的博客
07-13 111
http://www.ruanyifeng.com/blog/2016/04/cors.html 转载于:https://www.cnblogs.com/FineDay/p/9303388.html
403 Invalid CORS request 问题解决
最新发布
weixin_64407162的博客
03-24 504
路漫漫其修远兮。
CORS详解
diaochou1143的博客
04-14 148
## 0、关于CORS 说到CORS,就不得不先了解HTTP请求(Cross-site HTTP request)。 HTTP请求是指发起请求的资源所在不同于该请求所指向资源所在的HTTP请求。 正如大家所知,出于安全考虑,浏览器会限制脚本中发起的站请求。使用XMLHttpRequest发起HTTP请求必须遵守同源策略。 具体而言,Web 应用程序能且只...
资源共享(CORS详解
TechEnthusiast的博客
12-29 1265
资源共享(CORS)是一项关键的 Web 安全机制,用于解决由同源策略引起的问题。在这篇文章中,我们将深入探讨 CORS 的概念、原理和最佳实践,以帮助开发者更好地理解和应对请求的挑战。
资源共享 CORS 详解
09-02
资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
django基于cors解决请求问题详解
09-18
同源策略和CORS资源共享)是浏览器安全策略中非常重要的两个概念,是Web开发中经常遇到的问题,尤其在前后端分离的项目中更为常见。下面将详细介绍这两个概念以及在Django项目中如何基于CORS解决请求问题...
CORS 所有知识点完全解析
geek word
11-27 1385
CORS 资源共享(CORS资源共享 (CORS) 是W3C标准 (协议、名/ip、端口有一个不一样的两个url就是) 查看同源策略 共享指的是:名A的网页请求名B的资源 解决了什么 现代浏览器都有同源限制,名A不允许访问名B的资源 请求的一个示例: https://domain-a.com用XMLHttpRequest访问https://domain-b.com/data.json 出于安全原因,浏览器会限制从脚本发起的 HTTP 请求。 CORS 机制
CORS问题总结一
Double_Face的博客
02-14 8384
服务端(SpringMVC) 在过滤器中代码如下 String origin = reqs.getHeader("origin");// 获取源站 String requestHeaders = reqs.getHeader("Access-Control-Request-Headers"); if (StringUtils.isEmpty(requestHeaders)) { ...
资源共享(CORS问题与解决方案
Java领域优秀创作者
06-12 3680
资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了问题。本文将详细讨论问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决问题的方法。
问题(CORS)详细说明和解决
在路上
07-19 3790
问题?一篇即懂!
CORS问题及解决方案详解
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
02-25 607
所以什么是问题呢,V 哥来小结一下,问题源于浏览器的同源策略,即浏览器在访问资源时要求该资源的协议、名和端口与当前页面完全一致,否则视为请求并进行限制。产生的原因是:不同源(协议、名、端口任意一项不同)的页面之间进行资源请求时触发,如前端 http://localhost:3000 向 http://localhost:8080 的后端发起请求。解决方法可以使用注解方式或全局配置。需要注意的是,本身不直接影响性能,但处理过程及相关情况会带来间接影响。关注威哥爱编程,全栈之路就你行。
CORS问题原因和解决方案
热门推荐
蔚然成风
06-21 1万+
Springboot问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTT
CORS是什么?一文秒懂CORS原理,解锁奥秘!
郑龙飞
02-22 1062
什么是CORSCORS,全称为源资源共享(Cross-Origin Resource Sharing),是一种机制,通过使用额外的HTTP头部告知浏览器,允许网页从与其所在不同的请求资源。这实现了服务器与客户端之间安全的源通信。当网页向不同的源发起请求时,CORS通过以下步骤处理:预检请求(Preflight Request):对于某些类型的请求(例如使用PUT或DELETE方法的HTT...
CORS 报错】请求问题CORS 多种环境下的解决方案
Allen-
07-11 1万+
CORS问题是前端开发中常见的一个挑战,但通过合理的代理配置和服务器设置可以有效解决。在不同环境下,可以使用Vite的代理功能、设置请求头、JSONP、服务器端代理、Nginx代理等多种方式来解决问题
cors深度解析
weixin_43623017的博客
03-01 1443
什么是cors? cors,中文是资源共享,是http头的协议机制,用来解决浏览器问题。 什么是? 老生常谈的问题,不过多赘述了,需要注意的一个点是在的情况下,请求是可以被发送到服务端的,并不是没有发出去,而且服务端也是可以接受到请求头或者请求体,正常处理这个请求,只是前端拿不到response,不要误以为是前端请求没有发出去,这点也经常被用来做csrf攻击。 cors涉及相关的请求响应头都有哪些?分别是什么? 请求头 描述 Origin 网站请求的URL,无论总默认被发
Vue调试时遇到浏览CORS问题处理及思路
guoqingll2008的博客
03-19 5855
Vue是许多前端开发小伙伴使用的开发前端框架,在调试前端代码时,会经常遇到调用网站接口。如果网站接口在调用时遇到浏览器同源策略,导致本地测试时调用服务器端接口时报错,有的即使获取当有接口,由于浏览器CORS导致cookie无法更新,而不能顺利调试程序。当前作者在调试公司项目时就遇到了此类问题。在此记录解决过程,以方便后面遇到此问题的同学借鉴。提示:以下是本篇文章正文内容,下面案例可供参考经以上处理后,可以解决由于浏览器同源策略导致的本地调试问题
NodeJS配置CORS实现详解
"这篇文档详细解释了如何在Node.js环境中配置CORS源资源共享)以解决问题。文档提到了W3C对HTTP头部的定义和一位网友的header详解链接,虽然没有直接给出相关的header属性定义,但它指出了CORS中的两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值