跨域问题的解决方案2:CORS

最新推荐文章于 2025-02-21 17:53:55 发布
最新推荐文章于 2025-02-21 17:53:55 发布
阅读量341 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wyb_Night/article/details/80356271
本文介绍了CORS(跨域资源共享)的概念及其工作原理。CORS是一种由W3C定义的安全策略,允许浏览器向跨源服务器发出XMLHttpRequest请求,解决了AJAX只能同源使用的限制。文章还展示了如何在客户端和服务端实现CORS,并解释了Access-Control-Allow-Origin和Access-Control-Allow-Credentials的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CORS 是一个W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE 浏览器不能低于IE10。

它允许浏览器向跨源服务器,发出XMLHttpRequest 请求,从而克服了AJAX 只能同源

使用的限制。整个CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来
说,CORS 通信与同源的AJAX 通信没有差别,代码完全一样。浏览器一旦发现AJAX 请求跨
源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS 通信的关键是服务器。只要服务器实现了CORS 接口,就可以跨源通信。

下面我们就开始动手,让我们的购物车工程能够接收跨域请求

先看案例:

Demo1 ajax发送请求

<script type="text/javascript" src="js/jquery-1.9.1.js"></script>
<script type="text/javascript">
	$(function(){
		$.post("http://localhost:8080/Demo2/SaveGoodsServlet",
				{"id":"1001","name":"aaa",'withCredentials':true},
				function(data){
				alert(data);
			});
	});
</script>

Demo2 Servlet接收并响应

public class SaveGoodsServlet extends HttpServlet {

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setHeader("Access-Control-Allow-Origin", "http://localhost:8180");
		response.setHeader("Access-Control-Allow-Credentials", "true");
		String id = request.getParameter("id");
		String name = request.getParameter("name");			
			response.getWriter().write(id);
	
	}

结果:


servlet加入:

response.setHeader("Access-Control-Allow-Origin", "http://localhost:9100");//url可以用*表示,接受cookie必须写路径

response.setHeader("Access-Control-Allow-Credentials", "true");//如果是接受cookie需要加
ajax加入
'withCredentials':true
Access-Control-Allow-Origin

Access-Control-Allow-Origin 是HTML5 中定义的一种解决资源跨域的策略。
他是通过服务器端返回带有Access-Control-Allow-Origin 标识的Response header,用来
解决资源的跨域权限问题。
使用方法,在response 添加Access-Control-Allow-Origin,例如
Access-Control-Allow-Origin:www.google.com

也可以设置为* 表示该资源谁都可以用

Access-Control-Allow-Credentials

CORS 请求默认不发送Cookie 和HTTP 认证信息。如果要把Cookie 发到服务器,一方面要服
务器同意,指定Access-Control-Allow-Credentials 字段。另一方面,开发者必须在AJAX 请求
中打开withCredentials 属性。否则,即使服务器同意发送Cookie,浏览器也不会发送。或者,

服务器要求设置Cookie,浏览器也不会处理。

Access-Control-Allow-Credentials和'withCredentials':true配合使用




聊聊CORS过度设计缺陷
wonking666的博客
08-03 2923
注:本文不讲CORS原理,且默认你已了解CORS,但对其中一些细节抱有同样的怀疑 同源策略 浏览器的同源策略自其诞生以来就一直存在,如何进行Hack,一代又一代的前后端都为此费尽了心机。 首先可以肯定的是,同源策略的限制是合理的。因为,服务端后台接口就部署在那,任何人只要构造了一个正确的HTTP请求,都能得到服务器的应答。但很显然,我们不希望我们的接口任何人都能访问(事实上,因为大家采...
[WebApi]WebApi 问题解决方案CORS
德仔
01-17 1778
一、问题的由来 同源策略:出于安全考虑,浏览器会限制脚本中发起的请求,浏览器要求JavaScript或Cookie只能访问下的内容。 正是由于这个原因,我们不同项目之间的调用就会被浏览器阻止。比如我们最常见的场景:WebApi作为数据服务层,它是一个单独的项目,我们的MVC项目作为Web的显示层,这个时候我们的MVC里面就需要调用WebApi里面的接口取数据展现在页面上。因为我们的WebApi和MVC是两个不同的项目,所以运行起来之后就存在上面说的问题。 二、问题解决原理 CORS全称
cors原理 超级简单版本
m0_59070120的博客
04-18 790
浏览器在发送请求时会在消息头上加上origin,value为当前协议+名+端口,服务器根据这个值,决定是否同意这次请求。 如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误。 cors通过设置Access-Control-Allow-Origin为*来表示接受任意名的请求,到时也会把该数据挂载在消息头上面回应给浏览器 ...
CORS 另外一种方式
fyddaben的专栏
04-26 1558
转载自:http://www.adobe.com/cn/devnet/html5/articles/understanding-cross-origin-resource-sharing-cors.html CORS代表资源共享,是 HTML5 的一项特性,它允许一个站点访问不同名下另一个站点的资源。 我将在下文进行详细介绍。 在 CORS 出现之前,人们采用一种名为
CORS问题常见解决办法
最新发布
csdnuu123的博客
02-21 2412
CORS 是一种浏览器安全机制,用于防止资源请求带来的潜在安全风险。浏览器在执行请求时,会检查目标服务器是否允许访问。如果服务器没有正确设置 CORS 头信息,浏览器将阻止请求,并返回 CORS 错误。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2917
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
WebApi 问题解决方案CORS
07-23
1. 创建一个包含MVC项目(Web)和Web API项目(WebApiCORS)的解决方案2. 在MVC项目中,如Home控制器的Index视图,使用Ajax向WebApiCORS发起请求。 3. 在WebApiCORS项目中,创建一个如ChargingController的...
通信问题解决方案CORS与JSONP原理
# 1. 引言 ## 1.1 通信的定义与意义 在Web开发中,通信是指在不同名、不同端口或不同协议的网站间进行数据交换的过程...为解决通信问题,常见的解决方案包括CORS(Cross-Origin Resource Sharing)和JS
GeoServer问题解决方案CORS Filter包解析
综上所述,本文档的知识点围绕着如何解决Geoserver在提供Web GIS服务时遇到的问题,详细介绍了CORS的工作机制以及通过cors-filter库实现CORS配置的步骤和方法。同时,也提到了java-property-utils工具库在...
允许CORS访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
允许CORS访问控制_-_允许来源 前端问题 本插件解压之后直接拖到谷歌浏览器扩展程序界面 即可使用
SpringMVC CORS测试
02-10
SpringMVC CORS测试
安全测试 之 常见安全漏洞:CORS
Orange_hhh的博客
06-03 948
CORS:(Cross-origin resource sharing)资源共享,CORS是一种机制,这种机制通过在http头部添加字段,通常情况下,web应用A告诉浏览器,自己有权限访问应用B。这样就可以解决源的问题了。
如何解决CORS策略的限制
codedadi的博客
06-03 1791
根据需要,还可以设置其他CORS相关的响应头,如Access-Control-Allow-Methods(允许的HTTP方法)、Access-Control-Allow-Headers(允许的请求头)等。服务器需要在响应头中添加Access-Control-Allow-Origin字段,并设置允许请求名。如果不能直接修改目标服务器的CORS设置,可以使用代理服务器来转发请求。解决CORS来源资源共享)策略的限制通常涉及服务器端和客户端的配置。确保使用的浏览器支持CORS
java web 解决cors 问题
sj1231984的专栏
11-22 506
解决问题要在服务器端解决,在服务器端的响应头中增加如下设置即可: //表示允许所有访问 response.headers().set("Access-Control-Allow-Origin", "*"); //表示请求头中可以包含任意的属性 response.headers().set("Access-Control-Allow-Headers", "*"); //表示允许所有的请...
CORS——请求那些事儿
weixin_33730836的博客
02-08 712
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行操作,而在实际进行请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
CORS漏洞利用检测和利用方式
weixin_30245867的博客
07-21 5944
  CORS全称Cross-Origin Resource Sharing, 资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求。 检测方式:   1.curl访问网站     curl https://www.huasec.com -H "Origin: https://test.com" -I   检查返回包的 Access-C...
HTTP访问控制(CORS)
FY19951211的博客
10-20 2423
站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在不同于该请求所指向资源所在的的HTTP请求。比如说,名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),...
NGINX的CORS--访问配置
weixin_34221112的博客
10-23 132
阻止交叉源访问问题。 网上可搜N多,解决办法都差不多,其中一种: add_header Access-Control-Allow-Origin http://xxxx:port; add_header Access-Control-Allow-Credentials true; add_header Access-Control-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值