设置header,实现跨域访问

最新推荐文章于 2025-05-07 10:47:30 发布
最新推荐文章于 2025-05-07 10:47:30 发布
阅读量7.4k 收藏 10
点赞数 1
分类专栏: web前端开发 文章标签: Access-Control-Allow-Origin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyb2010yaonuli/article/details/84531828
版权

受浏览器的同源策略限制,JavaSript只能请求本域内的资源。跨域资源共享(Cross-Origin Resource Sharing, CORS)是为解决Ajax技术难实现跨域问题而提出的一个规范,这个规范试着从根本上解决安全的跨域资源共享问题。在此之前,解决此类问题的途径往往是服务器代理、JSONP等,治标不治本。目前基本所有浏览器都已经支持该规范。

一个域是由schema、host、port三者共同组成,与路径无关。所谓跨域,是指在http://example-foo.com/域上通过XMLHttpRequest对象调用http://example-bar.com/域上的资源。CORS约定服务器端和浏览器在HTTP协议之上,通过一些额外HTTP头部信息,进行跨域资源共享的协商。服务器端和浏览器都必需遵循规范中的要求。

CORS把HTTP请求分成两类,不同类别按不同的策略进行跨域资源共享协商。

1. 简单跨域请求。
当HTTP请求出现以下两种情况时,浏览器认为是简单跨域请求:

1). 请求方法是GET、HEAD或者POST,并且当请求方法是POST时,Content-Type必须是application/x-www-form-urlencoded, multipart/form-data或着text/plain中的一个值。
2). 请求中没有自定义HTTP头部。

对于简单跨域请求,浏览器要做的就是在HTTP请求中添加Origin Header,将JavaScript脚本所在域填充进去,向其他域的服务器请求资源。服务器端收到一个简单跨域请求后,根据资源权限配置,在响应头中添加Access-Control-Allow-Origin Header。浏览器收到响应后,查看Access-Control-Allow-Origin Header,如果当前域已经得到授权,则将结果返回给JavaScript。否则浏览器忽略此次响应。

2. 带预检(Preflighted)的跨域请求。
当HTTP请求出现以下两种情况时,浏览器认为是带预检(Preflighted)的跨域请求:

1). 除GET、HEAD和POST(only with application/x-www-form-urlencoded, multipart/form-data, text/plain Content-Type)以外的其他HTTP方法。
2). 请求中出现自定义HTTP头部。

带预检(Preflighted)的跨域请求需要浏览器在发送真实HTTP请求之前先发送一个OPTIONS的预检请求,检测服务器端是否支持真实请求进行跨域资源访问,真实请求的信息在OPTIONS请求中通过Access-Control-Request-Method Header和Access-Control-Request-Headers Header描述,此外与简单跨域请求一样,浏览器也会添加Origin Header。服务器端接到预检请求后,根据资源权限配置,在响应头中放入Access-Control-Allow-Origin Header、Access-Control-Allow-Methods和Access-Control-Allow-Headers Header,分别表示允许跨域资源请求的域、请求方法和请求头。此外,服务器端还可以加入Access-Control-Max-Age Header,允许浏览器在指定时间内,无需再发送预检请求进行协商,直接用本次协商结果即可。浏览器根据OPTIONS请求返回的结果来决定是否继续发送真实的请求进行跨域资源访问。这个过程对真实请求的调用者来说是透明的。

XMLHttpRequest支持通过withCredentials属性实现在跨域请求携带身份信息(Credential,例如Cookie或者HTTP认证信息)。浏览器将携带Cookie Header的请求发送到服务器端后,如果服务器没有响应Access-Control-Allow-Credentials Header,那么浏览器会忽略掉这次响应。

这里讨论的HTTP请求是指由Ajax XMLHttpRequest对象发起的,所有的CORS HTTP请求头都可由浏览器填充,无需在XMLHttpRequest对象中设置。以下是CORS协议规定的HTTP头,用来进行浏览器发起跨域资源请求时进行协商:
1. Origin。HTTP请求头,任何涉及CORS的请求都必需携带。
2. Access-Control-Request-Method。HTTP请求头,在带预检(Preflighted)的跨域请求中用来表示真实请求的方法。
3. Access-Control-Request-Headers。HTTP请求头,在带预检(Preflighted)的跨域请求中用来表示真实请求的自定义Header列表。
4. Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。可以用通配符*表示允许任何域的JavaScript访问资源,但是在响应一个携带身份信息(Credential)的HTTP请求时,Access-Control-Allow-Origin必需指定具体的域,不能用通配符。
5. Access-Control-Allow-Methods。HTTP响应头,指定服务器允许进行跨域资源访问的请求方法列表,一般用在响应预检请求上。
6. Access-Control-Allow-Headers。HTTP响应头,指定服务器允许进行跨域资源访问的请求头列表,一般用在响应预检请求上。
7. Access-Control-Max-Age。HTTP响应头,用在响应预检请求上,表示本次预检响应的有效时间。在此时间内,浏览器都可以根据此次协商结果决定是否有必要直接发送真实请求,而无需再次发送预检请求。
8. Access-Control-Allow-Credentials。HTTP响应头,凡是浏览器请求中携带了身份信息,而响应头中没有返回Access-Control-Allow-Credentials: true的,浏览器都会忽略此次响应。

js 使用ajax设置和获取自定义header信息的方法小结
10-15
主要介绍了js 使用ajax设置和获取自定义header信息的方法,结合实例形式总结分析了js 使用ajax自定义设置和获取header响应信息相关操作技巧与使用注意事项,需要的朋友可以参考下
Spring Boot实现访问实现代码
08-29
本文将通过实例代码,介绍 Spring Boot 实现访问的知识,并详细介绍 Spring Boot 服务器端设置允许访问的方法。 首先,需要了解什么是访问访问是指从一个名下的网页去请求另一个名下的资源,...
js设置自定义header
clz1314521的专栏
09-18 8044
1、js ajax 设置自定义header 1.1 方法一: $.ajax({ type: "POST", url: "Handler1.ashx", contentType: "application/x-www-form-urlencoded", beforeSend: function (request) { request.setRequestHeader("token1", "Chenxizhang"); }, success:
什么是,如何解决问题
最新发布
weixin_55862073的博客
05-07 1709
问题产生的根本原因是浏览器的同源策略(Same-Origin Policy)。同源策略是浏览器实现的一种安全协议,它限制了一个源的文档或脚本如何与另一个源的资源进行交互。如果没有同源策略,恶意网页可能会读取另一个网页的敏感信息,如用户输入的密码、银行账号等,从而进行非法操作。
原生JS实现ajax与ajax的请求实例
11-27
一、原生JS实现ajax 第一步获得XMLHttpRequest对象 第二步:设置状态监听函数 第三步:open一个连接,true是异步请求 第四部:send一个请求,可以发送一个对象和字符串,不需要传递数据发送null 第五步:在监听函数中,判断readyState=4&&status=200表示请求成功 第六步:使用responseText、responseXML接受响应数据,并使用原生JS操作DOM进行显示 var ajax = new XMLHttpRequest(); ajax.onreadystatechange = function(){ console.log(ajax.r
thinkjs解决(设置header头方法)
热门推荐
LI_YICHAO的博客
11-19 2万+
thinkjs解决(设置header头方法) this.header("Access-Control-Allow-Origin", "*"); 将上面的代码在请求发送之前执行即可 如果不知道放在哪里 可以参照下面的图片 ...
javascript之Ajax获取和设置标头
bboyjoe的博客
07-23 1480
XMLHttpRequest对象中与标头有关的方法: setRequestHeader(,)——用指定值设置标头; getResponseHeader()——获取指定标头的值; getAllResponseHeaders()——以单个字符串形式获取所有标头; 覆盖请求的HTTP方法,如下代码:可规避防火墙只允许GET和POST请求通过的限制; httpRequest.setReq
ASP.NET MVC中设置访问问题
10-18
以下是如何在ASP.NET MVC中设置访问的详细步骤: 1. **理解请求**: 请求是指一个下的文档或脚本尝试请求另一个下的资源。例如,一个运行在www.example1.com上的网页尝试通过Ajax请求获取...
golang实现访问的方法
09-19
在Golang中实现访问,主要是为了克服Web应用程序中由同源策略导致的限制,使得前端能够通过Ajax从不同源获取数据。本篇将详细解释如何在Golang后端设置CORS(资源共享)策略,以便允许前端进行请求。 ...
Springboot 实现访问无需使用jsonp的实现代码
10-17
在Spring Boot中,我们可以直接通过配置或者自定义拦截器来实现访问。下面我们将详细介绍如何在Spring Boot应用中实现CORS,而无需使用JSONP。 1. **CORS基本概念** CORS是一种浏览器安全策略,用于限制浏览器...
java web服务器实现访问
08-25
"java web服务器实现访问" 资源共享(CORS)是一种机制,允许Web页面向源服务器发出请求,从而克服同源策略的限制。下面是关于java web服务器实现访问的知识点。 一、CORS概述 Cross-Origin ...
node.js中的http.response.setHeader方法使用说明
10-25
主要介绍了node.js中的http.response.setHeader方法使用说明,本文介绍了http.response.setHeader的方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
Http自定义Header导致的问题
08-04 557
Http自定义Header导致的问题
javascript设计网页代码的时候怎么设置请求?
aoxiangchina的博客
11-16 653
在JavaScript中,请求(Cross-Origin Resource Sharing, CORS)是一种安全机制,它允许或限制网页从另一个名(不同于原始请求的名)请求资源。如果你需要在网页代码中设置请求,通常有两种方式:服务器端设置和客户端设置
JavaScript
qq_36427929的博客
03-27 300
JavaScript Ajax 创建 XMLHttpRequest 对象 XMLHttpRequest 是 AJAX 的基础 所有现代浏览器均支持 XMLHttpRequest 对象(IE5 和 IE6 使用 ActiveXObject)。 XMLHttpRequest 用于在后台与服务器交换数据。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。 var xmlhttp; i...
解决方案 (含header、cookie
weixin_30555515的博客
07-26 1286
知识小结: 1.的问题不是服务器的问题,是浏览器不允许 从而报错。 2.协议 ip 端口,只要其中一个前后端不同,浏览器都视为。 3.只有X-Requested-With为XMLHttpRequest的情况下才会发生的问题。 而$.get $.post $.ajax都是XMLHttpRequest的类型,所以产生问题。getJsonP就是通过绕过这个类型来解决...
自定义Header问题
MuNineyi的博客
05-23 2932
自定义 Header 问题需要在后台相关部分,添加上允许的自定义 Header 信息,否则会报403错误。 CORS org.apache.catalina.filters.CorsFilter cors.allowed.methods GET,POST,DELETE,PUT cors.allowed.headers <!--注意,若你
js原生ajax请求:get和post
chenronglong20的博客
02-16 280
'get’请求 <script> window.onload=funciton(){ // 创建ajax对象 var xhr=new XMLHttpRequest(); //配置参数 需要两个1:get;2:url 请求地址 xhr.open('get','url'); ...
【JS】问题的解决方法
A_soulmate的博客
07-17 826
一、什么是? 在前端领中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制      什么是同源策略?      同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。  ...
shiro实现访问
03-08
### 使用Apache Shiro实现CORS资源共享 在Web应用程序中,资源共享(CORS, Cross-Origin Resource Sharing)是一个常见的需求。当客户端请求来自不同的名、协议或端口时,默认情况下浏览器会阻止这些请求以保护用户安全。为了使服务器能够响应不同源的HTTP请求并允许特定的操作,可以通过配置Apache Shiro来解决这个问题。 #### 配置Shiro Filter Chain定义中的自定义过滤器 为了让Shiro支持CORS,在`shiro.ini`文件或其他形式的FilterChainDefinitionMap里加入一个新的过滤器用于处理预检请求以及设置响应头: ```ini [main] corsFilter = org.apache.shiro.web.filter.authc.CorsFilter [urls] /** = corsFilter ``` 这段代码创建了一个名为`corsFilter`的对象实例化为`org.apache.shiro.web.filter.authc.CorsFilter`类,并将其应用到所有的URL路径上[^1]。 #### 自定义CorsFilter类 由于默认的Shiro并没有提供现成的支持CORS功能的过滤器,因此需要编写自己的过滤器逻辑。下面给出一个简单的例子展示如何构建这样一个过滤器: ```java import javax.servlet.Filter; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request= (HttpServletRequest)req; // 设置允许哪些来源可以访问资源 response.setHeader("Access-Control-Allow-Origin", "*"); // 设置允许的方法类型 response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); // 设置允许携带的头部信息 response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type," + "access-control-request-headers, access-control-request-method, accept"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } } ``` 此段Java代码实现了对所有传入请求添加必要的CORS响应头字段,从而使得前端可以从其他发起AJAX调用而不会被同源策略所阻挡。对于预飞行(Preflight)请求即方法为`OPTIONS`的情况,则直接返回成功状态码而不执行后续操作;而对于正常的业务请求则继续传递给下一个过滤器或目标Servlet进行处理[^2]。 #### 注册自定义过滤器至Spring容器(如果适用) 如果是基于Spring的应用程序,还可以将上面提到的`CorsFilter`注册成为Bean以便于管理和依赖注入: ```xml <bean id="corsFilter" class="com.example.security.CorsFilter"/> <!-- 或者使用注解方式 --> @Component public class CorsFilter {...} ``` 接着更新`web.xml`或者对应的Spring MVC配置文件让其知道新加入的过滤器的存在: ```xml <filter> <filter-name>cors</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetBeanName</param-name> <param-value>corsFilter</param-value> </init-param> </filter> <filter-mapping> <filter-name>cors</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这样就完成了整个流程——从理解问题背景到最后的具体实施步骤都涵盖了进来,确保了方案的有效性和完整性[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值