跨域-CORS

最新推荐文章于 2023-05-16 09:55:50 发布
最新推荐文章于 2023-05-16 09:55:50 发布
阅读量221 收藏
点赞数 4
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38979515/article/details/107967396
版权

跨域-CORS(跟ajax请求差不多)

原理:向响应头header中注入Access-Control-Allow-Origin,这样浏览器检测到header中的Access-Control-Allow-Origin,则就可以跨域操作了。CORS跨域分为简单请求和复杂请求。

跨域造成的CSRF攻击解决方案:
防止CSRF攻击,浏览器的Cookie新增加了一个SameSite属性
sameSite有三个值:
strict、Lax(设置前两个,基本杜绝了CSRF的攻击)、none
strict:最严格,完全禁止第三方Cookie,跨站时,任何情况都不会发送Cookie,只有当前网页的URL与请求目标一直,才会才上Cookie
Lax:大多数情况不发送第三方Cookie,但是导航到目标网址的Get请求除外。
None:关闭sameSite属性,将其设置为None,必须同时设置Secure属性(cookie只能通过https协议发送),否则无效。

简单请求:

在头信息中加origin字段
服务器返回:Access-Control-Allow-Origin

复杂请求:

发送预检请求,使用OPTION请求,用于询问要被跨域访问的服务器是否允许当前域名下的页面发送跨域的请求

  • 发送OPTION请求(携带以下请求头)
    origin
    Access-Control-Request-Header
    Access-Control-Request-Methods
  • 服务器收到请求后,检查origin、Access-Control-Request-Header、Access-Control-Request-Methods,确认允许跨域做出回应:
    Access-Control-Allow-Origin
    Access-Control-Allow-Methods
    Access-Control-Allow-Headers
  • 然后发起第二次正常请求
    origin
  • 服务器返回:
    Access-Control-Allow-Origin
发生预检请求的条件:
  • 1.请求方法不是GET、POST、HEAD其中任意一个
  • 2.不是下面定义对CORS安全的首部字段(请求头信息)集合,而是是集合之外的其他首部字段。
    Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width。
  • 3.Content-Type的值不是text/plain、multipart/form-data、application/x-www-form-urlencoded中任意一个值
  • ps:content-type常用四个取值:text/xml、multipart/form-data、application/x-www-form-urlencoded、application/json
相关字段作用:

请求头:
origin :发起跨域请求的源域名
Access-Control-Request-Header :用于在预检请求时,告知服务器要发起的跨域请求中会携带的请求头信息
Access-Control-Request-Methods :用于表明跨域请求使用的HTTP方法

响应头:
Access-Control-Allow-Origin:携带服务器验证后允许的跨域请求的域名。
Access-Control-Allow-Methods :用于告知浏览器实际发送跨域请求时,可以支持的请求方法
Access-Control-Allow-Headers :用于告知浏览器实际发送跨域请求时,可以支持的请求头
Access-Control-Allow-Credentials:表示是否允许发送Cookie
Access-Control-Max-Age:用来指定本次预检请求的有效期
Access-Control-Expose-Headers:用于允许返回给跨域请求的响应头列表,在列表中的响应头的内容,才可以被浏览器访问。

cors设置
weixin_45368324的博客
04-13 3746
CORS设置 CORS(Cross-origin resource sharing),资源共享,是一份浏览器技术的规范,用来避开浏览器的同源策略 简单来说就是解决问题的除了jsonp外的另一种方法;比jsonp更加优雅。 // 允许cors; ctx.set("Access-Control-Allow-Origin", "http://localhost:3000...
关于解决Chrome新版本中cookie携带和samesite的问题处理
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
以及解决的方案cors
weixin_42929948的博客
05-24 186
www.taobao.com====>www.jingdong.com这种操作存在 利用fetch(‘https://www.baidu.com/’)在浏览器console中可以检测
【教程】chrome关闭策略cors、samesite,带上cookie
yunmuq的博客
06-30 5919
谷歌浏览器允许origin,disable samesite,方便本地开发调试,测试csrf站请求伪造漏洞。犹记得两年前,测试csrf漏洞时得心应手。苦了本地调试的开发人员 -disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir......
与同源策略
howeres的博客
04-03 986
Same-origin policy也就是同源策略;是为了防止假冒网站冒充源网站,对网站进行了一些限制,主要有Cookie、LocalStorage 和 IndexDB 无法读取、DOM 无法获得、AJAX 请求不能发送,同时还规定,提交表单不受同源政策的限制。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。协议相同(http)、名相同(www.amazon.com)、端口相同(80); 但有时,我们就需要去网站请求,这就需要用.
同源、站、SameSite与withCredentials
Super_Tyr的博客
03-06 5035
系统性梳理前端同源策略、解决方案CORS、Cookie的安全策略,最后总结不同场景的站问题解决方法。
谷歌插件allow-cors-access-control.zip
08-04
标题中的“谷歌插件allow-cors-access-control.zip”指的是一个用于解决浏览器问题的Chrome插件。资源共享(CORS)是一种机制,它允许Web应用程序从不同的源请求资源,比如JavaScript通过Ajax从非同源的...
allow-cors-access-control插件,解决问题,内含使用教程
10-03
`allow-cors-access-control` 插件就是为了解决这一问题而诞生的,它允许我们绕过浏览器的同源策略,方便地在Chrome浏览器上进行请求。 `allow-cors-access-control` 插件的核心功能在于启用CORS(Cross-Origin...
DRF后端解决之django-cors-headers的使用
09-19
### DRF问题与django-cors-headers的解决方案 #### 问题概述 在Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单...
allow-cors-access-control插件.zip
10-11
标题 "allow-cors-access-control插件.zip" 指向的是一款用于解决问题的Google浏览器插件。资源共享(CORS)是Web开发中的一个重要概念,它允许浏览器在执行JavaScript时请求原本禁止的来自不同源的资源。这...
allow-cors-access-control插件
02-10
这个“标题”提到的“allow-cors-access-control插件”显然是针对这一机制的一个工具,旨在帮助前端开发者简化Ajax请求的处理过程。 在Web开发中,AJAX(Asynchronous JavaScript and XML)是一种创建动态网页...
Cookie Samesite简析
の博客
05-16 1138
Cookie Samesite简析
一次问题的解决经历(samesite)
菜鸟成长笔记
02-06 3064
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在的问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
因Spring Web 的Cookie sameSite坑 之坑
BoomMan
11-29 1万+
SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnblogs.com/ziyunfei/p/5637945.html spring web 最新版默认生成为SameSite=Lax,奇怪的是用spring data Session redis 后 cookie新增了 Same...
CORS请求的限制和解决
weixin_30446613的博客
11-30 516
我们模拟一个的请求,一个是8888,一个是8887 //server.js const http = require('http'); const fs = require('fs'); http.createServer(function(req,res){   console.log('req come', req.url);   const html = f...
使用CORS解决问题
weixin_34163553的博客
05-02 1444
1.问题 1.1 什么是 是指名的访问,以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 item.jd.com 与 miaosha.jd.com 如果名和端口都相同,但是请求路径不同,不属于...
chrome浏览器解决请求三种方案
Fonlin的博客
08-12 4万+
在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
情况下SameSite属性对Cookie的作用
hjfalz的博客
09-12 1073
情况下SameSite属性对Cookie的作用前提假设响应的情况 前提假设 假设前端页面的运行地址为 http://localhost:8848/demo-cors/index.html,后端接口的运行地址为 http://127.0.0.1:10071/domain-one/method-a。注意,对 cookie 来说, domain=127.0.0.1 和 domain=localhost 是不同的,可以认为是两个名。 响应的情况 后端设置cookie时如果没有显式的指定domain和pa
前后端分离Cookie sameSite坑 之坑
热门推荐
qq_37060233的博客
01-22 5万+
在前后端分离解决问题过程中,利用CORS解决问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。 SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
django-cors-headers版本4.7.0设置cors
最新发布
03-30
### Django 中使用 `django-cors-headers` 版本 4.7.0 进行 CORS 设置 为了实现资源共享 (CORS),可以利用 `django-cors-headers` 库来简化配置过程。以下是详细的配置说明: #### 安装依赖库 首先需要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值