CORS跨域资源共享与OPTIONS请求

已于 2024-04-18 14:26:58 修改
阅读量443 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 面试 文章标签: CORS 跨域 跨站资源共享
于 2019-03-31 18:37:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhongqw_00/article/details/88933169
本文介绍了CORS(跨域资源共享)的基本概念,区分了简单请求与非简单请求,并详细解释了预检请求的工作原理及其实现过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于同源策略的影响,所以作为程序员就必须解决跨域的问题,此文章说的是CORS(跨域资源共享)

1、简单请求

必须满足以下的条件
  • 请求方法必须是HEAD GET POST之一
  • http的头信息
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type:
                   application/x-www-form-urlcoded
               mutipart/form-data
               text/plain

不能同时满足上面的俩个条件,就属于非简单请求
简单请求是在发送ajax的时候,给Request Header中添加Orgin(协议+域名+端口)字段,它表示我们的请求源,CORS服务端会将该字段作为跨域标志。
在这里插入图片描述
CORS收到该请求后,首先会判断Orgin是否在允许源范围内,验证通过,服务端就会返回下面
在这里插入图片描述
反之如果没有通过验证,那么就会抛出“同源检测异常”

2、 非简单请求

如果发出的是非简单请求的时候,就会进行预检请求,先发送OPTIONS来验证,如果验证通过之后,就会发生和简单请求一样的检测了。
options请求:是一种预检请求,用于在实际发送另一个请求(如POST、PUT、DELETE等)之前,确定服务器是否接受该请求。这种方法的主要作用在于CORS(跨源资源共享)场景中,用来检查跨域请求的可行性。

3、CORS

当你的网页尝试从一个域名发起一个跨域请求到另一个域名时,浏览器会首先使用OPTIONS方法发起一个HTTP预检请求到服务器上的资源,询问服务器是否允许这样的跨域请求。这个请求包括以下HTTP头信息:

  • Origin: 发起跨域请求的页面的域名。
  • Access-Control-Request-Method: 在实际请求中会使用的HTTP方法。
  • Access-Control-Request-Headers: 在实际请求中会额外使用的头信息字段。

服务器在响应OPTIONS请求时会返回一些HTTP头信息,这些信息告诉浏览器服务器是否允许预检请求中描述的跨域请求。这些头信息可能包括:

  • Access-Control-Allow-Origin: 指定哪些域名可以访问资源。
  • Access-Control-Allow-Methods: 指定允许的HTTP方法。
  • Access-Control-Allow-Headers: 在实际请求中可以携带的自定义HTTP头部字段。
  • Access-Control-Max-Age: 指定预检请求的结果能够被缓存多长时间。

在这里插入图片描述
该图中发起了content-type=application/json的非简单请求,就发起了俩次jsonp.do请求,第一次就是预检阶段
Origin: http://127.0.0.1:8020,
Access-Control-Request-Method:POST
Access-Control-Request-Headers:content-type
文章借鉴掘金
知乎

资源共享CORS
weixin_42451330的博客
06-17 1619
本文介绍了资源共享CORS)及常见示例,介绍了用于CORS的常见请求及相应字段及攻击等。
CORS资源共享漏洞
墨鱼菜鸡
01-16 274
目录 CORS资源共享 简单请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何获取资源,传送门——>浏览器同源策略和的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的内共享。这有效防止了系统机密信息的泄露。但此同时,...
什么是 CORS资源共享)?
qq_37116560的博客
05-11 2085
现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下,JavaScript 遵循同源策略,只能调用运行脚本在同一中的 URL。那么,我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢? CORS 就是答案。 资源共享 (CORS) 是一种允许网页访问在不同受限上运行的API或资产的方式的机制。 什么是 CORS资源共享 (CORS) 是一种浏览器...
CORS配置管理:允许资源共享实战指南
最新发布
weixin_36197669的博客
05-09 1042
CORS,全称为资源共享(Cross-Origin Resource Sharing),是一种安全机制,允许一个上的网页获取或操作另一个上的资源。这种机制打破了传统的同源策略限制,使得网页可以更加灵活地访问不同下的资源。CORS的作用体现在多个方面:允许安全的数据交换:CORS确保了请求的安全性,只有被服务器明确授权的请求才能被执行。支持现代Web应用开发:它支持多种类型的HTTP请求方法,包括GET、POST和PUT等,为现代Web应用提供了强大的开发能力。
CORS(资源共享)
IT新技术
05-02 892
目前为止,在Web应用程序中,可以通过使用JSON-P(基于安全因素的考虑而被受限使用)或设置一个自定义代理(安装维护比较麻烦)的方法来实现请求CORS(Cross-Origin Resource Sharing,资源共享)是W3C小组制定的一个标准,它允许浏览器实现通信。通过建立一个XmlHttpRequest对象,CORS允许开发者象实现同源请求那样实现请求。 COR
CORS资源共享
kjnsfijglqj的博客
08-17 205
简介 资源共享的主要思想就是使用自定义的HTTP头部让浏览器服务器进行沟通,从而决定响应式是成功还是失败,它允许了浏览器向源服务器发送请求,克服了同源的限制。 CORS需要浏览器和服务器同时支持,所有浏览器目前都支持,IE需要10以上。在整个通信过程中,不需要用户参,都是由浏览器自动完成。对开发者来说,CORS和普通的ajax同源请求一样,代码都一模一样,所以实现CORS通信的关键是...
你可能不知道的CORS资源共享
10-17
CORS资源共享)是Web开发中解决访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
资源共享 CORS 详解
09-02
资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
CORS资源共享及解决方案.docx
10-26
### CORS资源共享及其解决方案详解 #### 一、CORS资源共享背景 在现代Web应用开发中,前后端分离已成为一种主流趋势。在这种模式下,前端负责展示逻辑,而后端处理业务逻辑数据交互。然而,由于浏览器...
彻底理解前端安全面试题(3)—— CORS资源共享,解决问题,建议收藏(含源码)
有一棵树的博客
01-03 2789
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于的问题已经总结完成,本篇文章详细介绍了如何使用并配置CORS、JSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
CORS跨站资源共享)介绍
测试
12-03 589
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的名,一个是*。 为了实现资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
跨站资源共享CORS
zhutfly的博客
02-19 858
http请求 当两个站点的协议(http、https、ftp)、名、端口不同时,该两个站点构成。出于安全原因, 浏览器会限制脚本发起http请求(也有可能是正常发送,但是拦截返回值)。实际项目中常用的解决的方法通常有JSONP、CORS等。 使用CORS JSONP比较简单,不需要服务器端配合,但是只能发送GET请求CORS是目前使用最为广泛的...
CORS 资源共享
sekever的博客
04-03 965
浏览器一般使用 CORS资源共享)来处理问题。同源导致了不同源数据不能互相访问,而在开发中我们很多时候需要用第一个页面的脚本访问第二个页面里的数据,所以制定了一些允许的策略。
资源共享CORS)详解
TechEnthusiast的博客
12-29 1373
资源共享CORS)是一项关键的 Web 安全机制,用于解决由同源策略引起的问题。在这篇文章中,我们将深入探讨 CORS 的概念、原理和最佳实践,以帮助开发者更好地理解和应对请求的挑战。
同源策略和-总结
weixin_30826761的博客
03-09 269
目录: 1.同源策略 2. 3.几种技术 - JSONP, CORS 1.同源策略 什么叫同源? URL由协议、名、端口和路径组成,如果两个URL的协议、名和端口相同,则表示他们同源。相反,只要协议,名,端口有任何一个的不同,就被当作是。 e.g. 对于http://store.company.com/dir/page.html进行同源检测: ...
30 分钟理解 CORB 是什么
weixin_34130389的博客
08-23 536
写在前面 前些日子在调试 bug 的时候,偶然发现这么一个警告: Cross-Origin Read Blocking (CORB) blocked cross-origin response www.chromium.org/ with MIME type text/html. See www.chromestatus.com/feature/562… for more details. 我...
跨站资源共享CORS原理深度解析
字母哥博客
10-26 968
我相信如果你写过前后端分离的web应用程序,或者写过一些ajax请求调用,你可能会遇到过CORS错误。 CORS是什么? 它安全性有关吗? 为什么要有CORS?它解决了什么目的? CORS是怎样运行的? 如果您有这些问题,那么这篇文章非常适合您。 一、什么是CORS? 要了解什么是CORS(Cross-Origin Resource Sharing:跨站资源共享),首先我们需要了解什么是同源策略Same Origin Policy(SOP)。SOP是所有的现代浏览器都具备的安全措施,它不允许从一个加.
AJAX-请求
weixin_34220179的博客
06-18 479
1、什么是请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值