谈谈CORS那点事

最新推荐文章于 2025-09-06 22:56:13 发布
最新推荐文章于 2025-09-06 22:56:13 发布
阅读量111 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 前端 ViewUI
原文链接:https://juejin.im/post/59c8f3cb6fb9a00a42477ad1

前端开发过程中常常需要进行跨域请求 说跨域 有个名词来简单了解下 "同源策略"

同源策略:限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。

如果协议,端口(如果指定了一个)和域名对于两个页面是相同的,则两个页面具有相同的源。

下表给出了相对baidu.com/dir/page.ht…:

  1. (同协议 同域名) baidu.com/dir/page1.h… 同 源
  2. (不同协议) baidu.com/dir/page1.h… 不同源
  3. (不同端口) baidu.com:81/dir/page1.h… 不同源
  4. (不同域名) baidu2.com/dir/page.ht… 不同源

跨域就跟在自己(同源)的家 一样想干啥就干啥 可以别人家(不同源)就不行了
这时候我就想要访问不同源的 以往的干法是
JSONP是可以实现的 但是有几个不好的地方

  1. JSONP只能实现GET请求
  2. JSONP被老的浏览器支持

这个时候cors出现了
CORS:跨域资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。

所以按照这么说 这CORS就是一种规范 只有基于这个规范 按照规矩来就可以实现不同源之间资源访问

各主流的浏览器都会对动态的跨域请求进行特殊的验证处理。验证处理分为简单请求验证处理和预先请求验证处理。

简单请求:
当请求同时满足下面两个条件时候

请求方法是下列之一:

  • GET
  • HEAD
  • POST

请求头中的Content-Type请求头的值是下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

简单请求时候 浏览器会直接发送跨域请求在请求头中携带Origin的header表明这是一个跨域的请求。服务器端接到请求后,会根据自己的跨域规则,通过Access-Control-Allow-Origin和Access-Control-Allow-Methods响应头,来返回验证结果。

Access-Control-Allow-Origin: http://XXX.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8复制代码

这里是允许访问后服务器响应
来解释下

  • Access-Control-Allow-Origin: 要么指定 origin值 要么就是* 表示接受任意域名请求
  • Access-Control-Allow-Credentials: 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

预先请求
当请求同时满足下面两个条件时候

请求方法不是下列之一:

  • GET
  • HEAD
  • POST

请求头中的Content-Type请求头的值不是下列之一:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

预先请求 浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

下面是预先请求的HTTP头信息

OPTIONS /cors HTTP/1.1
Origin: http://xxx.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...复制代码

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
上面预先请求中

  • Access-Control-Request-Method: 表示请求的用到那个HTTP方法
  • Access-Control-Request-Headers:该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。

下面是预先请求响应

Access-Control-Allow-Origin: http://xxx.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header复制代码
  • Access-Control-Allow-Origin:表示xxx.com可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

参考链接: 跨域资源共享 CORS 详解

CORS跨域 实践
划不出的界限
07-18 575
本文首发于个人微信公众号《andyqian》,期待你的关注~ 前言   系统通常都是由单体应用逐渐演化而来,演化成为前后端分离的分布式应用。在享受分布式系统带来的诸多好处之时,随之而来的也有不少新的问题。其中跨域问题就成了第一只拦路虎。今天我们就来揭露一下这只老虎的真面目! 什么是跨域?   在解决问题前,我们首先得先了解什么是跨域?其实我们可以简单的理解跨域就是跨不同的”域名”。但这个域...
使用 cors 的一些心得
weixin_42638610的博客
07-22 683
1: 什么时候才会出现跨域 一般来说微服务项目中都存在跨域的问题,原因可能是 域名不同,二级域名相同,子域名不同,协议不同,端口不同 2: 解决方式 从技术层面来说解决可以从前端或者后端来解决。 前端解决方法: JSONP , google 提供了一个跨域插件 jfream 后端解决方法: 全局 cors 配置 和 局部 cors...
CORS详解
diaochou1143的博客
04-14 161
## 0、关于CORS 说到CORS,就不得不先了解跨站HTTP请求(Cross-site HTTP request)。 跨域HTTP请求是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。 正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。使用XMLHttpRequest发起HTTP请求必须遵守同源策略。 具体而言,Web 应用程序能且只...
CORS的简单理解
anw53724的博客
12-16 340
去年我在做一个项目,是关于标签打印的,它就是一个Windows程序,提供标签打印功能,由其它程序(包括网站)告诉它需要打印怎样的标签,它就出标签,这个“告诉它需要怎样的标签”的过程,是通过HTTP的Post请求实现的,我把这个程序做成一个Self-Host的小网站,接受来自各方面的HTTP请求,测试下来可行,我分别自己写了个HTTP客户端以及使用现成的Postman来测试,都没问题。 ...
关于跨域CORS,用最通俗的话说得最清楚的一篇文章
华 英雄
03-17 637
1.跨域只跟浏览器有关。 如果你不用浏览器,直接通过webkit API访问就不存在跨域的问题。 这样子有人就会问了,不用浏览器访问,那不是很危险?跨域限制主要是保护访问你的网站的客户的安全,一般人应该都是用浏览器访问的。如果他懂得用api访问,这个水平的客户也不会有危险。 2.域,简单来说就是浏览器地址栏的网址(域名部分),以及你要访问的网址(域名部分)。 如果地址栏的域名...
1.什么是CORS?在什么情况下会发生这个情况
weixin_42595331的博客
01-20 883
1.什么是CORS?在什么情况下会发生这个情况 解:CORS是跨域,域名,协议。端口相同为同域,不相同为跨域。 解决方法: JSONP:JSONP可以解决跨域问题,但是只能使用get请求,不能使用post请求 ...
Ajax跨域请求(一):什么是CORS
美奇软件开发工作室
04-08 671
一、什么是CORSCORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与...
【ASP.NET编程知识】谈谈如何在ASP.NET Core中实现CORS跨域.docx
05-21
ASP.NET Core 中实现 CORS 跨域 CORS(Cross-origin resource sharing)是一种 W3C 标准,翻译过来就是「跨域资源共享」,它主要是解决 Ajax ...这些知识都是 ASP.NET Core 中实现 CORS 跨域所需的关键技术和概念。
掌握CORS配置:cors-filter与java-property-utils实战指南
首先,我们来谈谈 cors-filter-1.7.jar。这是一个专门用于处理CORS请求的过滤器(Filter),通过添加这个过滤器到项目中,开发者可以集中管理CORS的配置,而无需修改每个控制器或服务。这个过滤器提供了灵活的方式来...
CORS 比较详细的说明
qq22692150的博客
08-09 3534
一个CORS请求的流程 发送一个预检请求 都为Options请求,因为Options请求不会对服务器做出任何改动。且带有"contentType:"application/json"请求头的get或者post才会进行预检请求。 检查 服务器验证该请求的origin是否在Access-Control-Allow-Origin范围内 请求方法是否...
一篇文章搞明白CORS跨域
weixin_33767813的博客
11-26 212
面试问到数据交互的时候,经常会问跨域如何处理。大部分人都会回答JSONP,然后面试官紧接着就会问:“JSONP缺是什么啊?”这个时候坑就来了,如果面试者说它支持GET方式,然后面试官就会追问,那如果POST方式发送请求怎么办?基础扎实一些的面试者会说,使用CORS跨域,不扎实的可能就摇摇头了。 这还没结束,如果公司比较正规或者很在乎技术...
前端自动化打包服务器无法安装高版本 Node.js v22 问题解决
Jason
09-03 821
摘要: 针对高版本Node.js因GLIBC依赖缺失无法运行的问题,本文提出了三种解决方案:升级系统Glibc(风险高)、降级Node版本或使用容器技术。最终选择通过Docker容器隔离环境,采用Node22-alpine镜像构建自动化部署流程。方案包含docker-compose配置、容器内pnpm安装及构建脚本,并实现编译产物自动同步到生产目录,同时确保了文件权限和服务的平滑重启,有效规避了系统库版本冲突问题。(143字)
Vue基础知识-脚手架开发-子传父-props回调函数实现和自定义件($on绑定、$emit触发、$off解绑)实现
2503_91308956的博客
09-04 994
本文演示了Vue2中两种子组件向父组件传递数据的方法:1)通过props回调函数,父组件传递回调函数给子组件,子组件调用该函数传参;2)通过自定义件,父组件给子组件绑定件,子组件用$emit触发并传参。
MySQL常见报错分析及解决方案总结(13)---使用 TRUNCATE 语句删除数据后,页面报错 “not found” ,数据库表自增 ID 被重置
SSHLY3的博客
09-05 472
摘要: 在Windows环境下,Java程序使用TRUNCATE清空MySQL表后,可能导致前端报"notfound"错误。原因是TRUNCATE会重置自增ID(从1开始),而业务逻辑可能依赖旧ID。解决方法包括:改用DELETE保留ID序列、手动重置自增ID为原最大值、清除缓存中的旧ID,或避免依赖自增ID连续性(如改用UUID)。核心是通过调整清表方式或业务逻辑,确保ID一致性。 (150字)
详解前端模块化导入中 .、.. 与 @ 的路径区别
2301_81781871的博客
09-04 761
.和虽为简单符号,却直接影响前端项目的模块化规范。和..是基于当前文件的相对路径,是简化绝对路径的配置型别名。在实际开发中,需根据目录层级和项目规范灵活选择,以写出清晰、可维护的导入代码。掌握路径规则,不仅能减少「模块找不到」的报错,更是前端工程化素养的基础体现。
Date、BigDecimal类型值转换
最新发布
2301_81922209的博客
09-06 140
本文展示了前后端数据交互中日期和数值类型的转换处理。前端输入JSON数据包含日期字符串(yyyy-MM-dd和yyyy/MM/dd格式)和数值,后端通过@JsonFormat注解自动转换为Date类型,BigDecimal类型则用于精确计算。数据库中存储datetime和decimal类型数据。后端处理时,使用工具类对价格和利率进行格式化:价格保留两位小数(四舍五入),利率转换为百分比格式。最终响应数据将日期转为时间戳或格式化字符串,数值转为格式化字符串,并转换支付方式编码为描述文本。完整流程涵盖数据接收、
Vue3 + Ant Design Vue 实现多选下拉组件(支持分组、搜索与标签省略)
weixin_42285486的博客
09-03 1069
通用性强:可复用于任何多选列表场景技术清晰:展示 Vue3 组合式 API + Ant Design Vue 高级用法扩展方向支持远程搜索,减少本地数据加载压力支持分组标题显示,优化用户体验支持自定义标签渲染,显示更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值