[HTTP趣谈]支持跨域及相关cookie设置

已于 2024-07-19 14:38:16 修改
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: HTTP协议 文章标签: http okhttp 网络协议
于 2018-03-13 20:55:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41791345/article/details/79546592
本文介绍了同源策略下跨域访问的问题及解决方法,包括JSONP和CORS两种主要技术,并详细探讨了CORS下如何携带cookies。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[HTTP趣谈]支持跨域及相关cookie设置

如今“前后端分离”的设计思想已经非常普及,所以一旦静态资源和后台应用部署在不同服务器上并采用不同域名,那么,必然会遇到“浏览器同源策略”的限制,也必然,需要前后台一起合作解决跨域问题。

1. 同源策略

什么样的URL是同源的?其必须满足下面三个条件:

  • 协议号相同
  • 域名相同
  • 端口相同

比如,a.com网站,想要访问b.com网站api,比如api.b.com。那么,在“同源策略”限制下,a.com网站无法获取api.b.com下的cookie,也无法向api.b.com发送ajax请求。

2. 如何支持跨域

最简单的方式是后台服务器将允许跨域访问的URL添加到白名单中,这样,前台应用不需要做任何特殊处理。

另外,还有两种常用方法:

1) JSONP

基本思想为:网页通过添加一个

<body>
<button onclick="loadData()">LoadData</button>
<script>
    function foo(res){
        console.log(res)
    }

    function loadData(){
        var elem = document.createElement('script');
        elem.src = 'http://a.com/jsonp?callback=foo';
        document.head.appendChild(elem);
    }
</script>
</body>

用JSONP,浏览器会自动在request header里面带上a.com下的cookie信息。
其实,通过src调用api都是GET方式,类似请求资源文件,必须明确,从Web页面产生的文件请求都会带上cookie

因此,JSONP的缺点很明显了:

  • 只支持GET请求
  • 只能带本域下的cookies
2) CORS(Cross-origin resource sharing)

CORS是一个W3C标准,全称是"跨域资源共享"。它运行浏览器向跨域服务器发送AJAX请求。

小贴士

IE10以上用XMLHttpRequest对象实现CORS;
IE8,IE9用XDomainRequest支持CORS。

整个CORS跨域,是浏览器自动完成,不需要前端特殊处理。浏览器一旦发现是AJAX请求跨域,会添加origin头信息,后台应用需要根据request header中的origin/referer,来设置正确的response header,完成跨域请求。

img

cors.png

CORS具体的概念和讲解,网上很多资料,包括什么是简单请求和“Preflighted”,请参考 https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

下面要重点提到的是,CORS下,前端如何携带cookies?

Requests with credentials

用JS/JQuery启动AJAX请求时,必须设置withCredentials头为true,写法如下:

JS:
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('POST', ‘a.com’, true);
xhr.send();

JQuery:
$.ajax({
  url: a_cross_domain_url,
  xhrFields: {
    withCredentials: true
  }
});

这时,后台设置response header时,需要返回:

Access-Control-Allow-Credentials: true;
Access-Control-Allow-Origin: a.com; //必须为具体域名,不能是*

重点需要注意的是cookies信息!!!这时,request请求中可以携带的cookies,不仅仅有本域下的cookies,还包括跨域服务器下设置的cookies(注意:跨域服务器下的cookies,是无法通过JS代码document.cookie访问,该cookies只能被远程服务器控制)。

可见,在安全性上,CORS比JSONP强悍很多!

CORS缺点是,低版本的IE浏览器支持不好。

3. 小结

针对iframe,还有些特殊的解决跨域方式,比如HTML5新特性:postMessage。
如果父子窗口是同一个主域,不同子域,也可以通过设置document.domain属性,规避同源策略。

九、Spring Boot 优雅的实现CORS
2401_83704125的博客
03-27 674
经过日积月累, 以下是小编归纳整理的深入了解Java虚拟机文档,希望可以帮助大家过关斩将顺利通过面试。由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容![外链图片转存中…(img-F1neJ5wd-1711486713490)][外链图片转存中…(img-Rwrh0d39-1711486713490)]
014-趣谈网络协议014-趣谈网络协议
05-04
本讲座“014-趣谈网络协议”旨在深入浅出地探讨这个关键领,帮助我们理解网络背后的运作机制。 首先,我们要了解网络协议的核心概念。在计算机网络中,数据通信依赖于一系列标准和规范,这就是网络协议。最著名的...
Cookie
05-18 786
    所有的网站开发者都会非常喜欢cookie的强大特性和易用性,它在跟踪用户信息,建设人性化、个性化的网站方面,有着强大的作用,而且,又避免了使用数据库的昂贵开销。但是,cookie却不能传递,只有那些创建它的才能访问;这里,我们讨论如何利用ASP突破这个限制。    Cookie简介    首先,我们对Cookie做一个简单的介绍,说明如何利用ASP来维护cookie。    Coo
Cookie吗?如何设置
小草莓的博客
11-09 8572
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie访问。对于请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许的。设置 Cookie 只能在响应中设置,而不能在请求设置
http问题(cookie等)
weixin_33835690的博客
03-18 126
2019独角兽企业重金招聘Python工程师标准>>> ...
cookie能不能
c_studer_的博客
11-07 1045
在学习整理的知识点的时候想到这个问题,但是看了网上的好几篇文章感觉说的不是很清晰而且不全面,于是我整理总结了这篇文章通常情况下,(如同源策略,Same-Origin Policy)会阻止 Cookie 共享,以保护用户的隐私和防止站攻击。但通过一些特殊手段和配置,可以在特定条件下实现 Cookie共享。
趣谈Linux操作系统
06-29
Linux的开放源码特性使其成为全球开发者共同参与和改进的项目,拥有丰富的软件生态和强大的社区支持。 Linux运维是IT领中的一个重要角色,运维工程师负责安装、配置、监控、优化以及维护Linux服务器,确保系统的...
趣谈网络协议 pdf .zip
04-13
14HTTP协议 15HTTPS协议 16流媒体协议 17P2P协议 18DNS协议 19HTTPDNS 20CDN 21数据中心 23移动网络 24云中网络 25软件定义网络 26云中的网络安全 27云中的网络Qo 28云中网络的隔离GRE、VXLAN 29容器网络 30容器网络...
[详细完整版]趣谈大数据.pdf
06-22
趣谈大数据 一、大数据的初步理解 似乎一夜之间,大数据(Big Data)变成一个IT行业中最时髦的词汇。 首先,大数据不是什么完完全全的新生事物,Google的搜索服务就是一个典型的大数据运用,根据 客户的需求,Google...
计算机发展史趣谈资料.pdf
11-23
计算机发展史趣谈资料.pdf 计算机发展史趣谈资料.pdf文档提供了计算机发展的历史概述,从人类最早的计算工具到现代计算机的发明和发展,概括了计算机发展的历史进程。 计算工具的起源 人类最早的计算工具可以追溯...
设置Cookie
weixin_34113237的博客
03-23 120
2019独角兽企业重金招聘Python工程师标准>>> ...
Java 支持
努力努力再努力
12-23 843
WebMvcConfig是自定义的类名,主要是实现WebMvcConfigurer接口,项目中那个类实现了WebMvcConfigurer接口就在那个类里写。
nginx支持
一檐宁静的专栏
11-27 1060
nginx支持配置 配置 修改nginx.conf 增加如下配置: http{ add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; ...
后台支持
HelloQ的博客
08-12 775
后台配置 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.Servle...
关于cookie
jaychou1979的博客
02-19 972
关于cookie 在使用cookie时会涉及到domain属性,以vue-cookies为例,设置cookie的方法为 this.$cookies.set("userInfo", "userInfo",-1, "/","baidu.com") this.$cookie.set(key,value,expireTimes,path,domain) vue-cookies API https://www.npmjs.com/package/vue-cookies. domain属性是为cookie
访问支持(Spring Boot、Nginx、浏览器
qq_38976693的博客
12-26 727
什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 本文转自:公众号  (A周立SpringCloud ) 一、Spring Boot配置 我们的后端使用Spring Boot。Spring Boot非常简单,只需书写以下代码即可。 @Configurationpublic class CustomCORSC
Sharing cookie Across domain cookie访问 cookie
weixin_33905756的博客
08-22 138
Sharing cookie Across domain cookie访问 cookie 今天研究一下cookie的问题,主要有两种情况,一种是允许访问,这种通过给Domain属性赋值的方法可以轻松实现。另一种则是允许完全不相关可以访问同一个cookie。这里主要介绍一下第二种的情况,比如http://www.blog.com/有 Login.aspx 页面http://w...
生成Cookie
热门推荐
笑青天的专栏
08-10 1万+
最近在做通行证功能,即单点登陆!即用户从www.a.com登陆后,www.b.com自动登陆、注销!实现该功能有二种途径:1.基于数据库(在此不讨论)2.基于Cookie由于某种原因需要使用Cookie来实现信息同步,基于安全性考虑,默认情况下浏览器不允许访问外的资源(Cookie等),所以不能以的形式来直接访问另外一个cookie。有没有可能使2个共享一个cookie
实现支持请求
qq_37809967的博客
09-20 208
实现支持请求全局通过配置CorsFilter(请求过滤器)实现支持单个请求支持通过 @CrossOrigin 注解来实现 全局通过配置CorsFilter(请求过滤器)实现支持 @Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource urlBasedCorsCo
趣谈网络协议 P2P
最新发布
02-07
### P2P网络协议介绍 #### 定义与特点 P2P(Peer-to-Peer)网络是一种分布式网络架构,在这种架构下,所有节点既是客户端也是服务器。这些节点能够相互请求并提供资源和服务,而不依赖于集中式的服务器[^1]。 #### 工作原理 在网络中,各个对等节点可以直接相互通信,并共享计算能力、带宽以及存储空间等资源。当某个节点需要获取特定数据时,它会查询临近的多个节点而不是单个中心服务器;一旦找到所需的数据副本,则可以从多个源同时下载片段直至完成整个文件的组装[^2]。 #### 协议层面上的操作机制 对于具体的消息传递而言,某些实现可能会采用像`store`这样的子协议来进行操作管理——例如保存或检索信息单元。这类活动通常是在更广泛的广播框架之上执行,比如通过Libp2p库创建的安全流通道与其他参与者交互[^3]。 #### 应用场景与发展历程 随着技术进步,基于P2P模式的应用不断涌现和发展壮大。特别是在区块链领内,去除了传统意义上的中间件之后,使得交易验证变得更加透明高效。然而值得注意的是,“纯正”的P2P体系强调完全分布化特性,这与那些保留了一定程度集权控制的设计有所区别[^4]。 ```python # Python伪代码展示如何在一个简单的P2P环境中发起一次资源共享请求 def request_resource(peer_id, resource_name): # 向邻居节点询问是否有该资源 neighbors = get_neighbors() for neighbor in neighbors: response = send_query(neighbor, {"type": "resource_request", "id": peer_id, "name": resource_name}) if response['status'] == 'success': download_from_peer(response['source'], resource_name) break def download_from_peer(source_peer, resource_name): print(f"正在从{source_peer}下载 {resource_name}") ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值