CORS跨域限制与解除

最新推荐文章于 2025-03-19 14:27:48 发布
最新推荐文章于 2025-03-19 14:27:48 发布
阅读量3.2k 收藏 1
点赞数
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shiyidemingzij/article/details/108109170
版权

概念

CORS(跨域资源共享)是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。
  发起请求的域与请求指向的域所在的资源不一样,就形成了跨域。
  域资源常常包括 协议、域名(IP)、端口号,若均相同,就是同域,若一个不相同,则是跨域。

跨域请求的安全问题

标签

CORS跨域请求的限制和解决

模拟跨域

我们模拟一个跨域的请求,一个是8888,一个是8887

//server.js
const http = require('http');
const fs = require('fs');
http.createServer(function(req,res){
  console.log('req come', req.url);
  const html = fs.readFileSync('test.html', 'utf8');
  res.writeHead(200,{
    'Content-Type': 'text/html'
  })
  res.end(html);
}).listen(8888);

//server2.js
const http = require('http');

http.createServer(function(req,res){
  console.log('req come', req.url);
  res.end('123');
}).listen(8887);

然后分别启动这两个服务

<!--test.html-->
<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
  </head>
  <body>
    <script>
      var xhr = new XMLHttpRequest();
      xhr.open('GET', 'http://127.0.0.1:8887');
      xhr.send();
    </script>
  </body>
</html>

html里面发送了一个8887的get请求,在server 8888端口里面读取了html的内容并发送8887的请求,就制造了一个跨域请求

一 跨域-设置 “Access-Control-Allow-Origin”

请求以后,控制台提示,No ‘Access-Control-Allow-Origin’ ,‘Access-Control-Allow-Origin’ 是什么呢?就是服务端允许跨域的头,要怎么设置才能让这个跨域请求生效呢?

// server2.js
const http = require('http');

http.createServer(function(req,res){
  console.log('req come', req.url);
  res.writeHead(200, {
    'Access-Control-Allow-Origin': '*'
  })
  res.end('345');
}).listen(8887);

在server2.js里面设置这个请求头,再从8888里面请求,发现8888里面会开始请求8887,并且没有报错了,这个*是代表所有的网站都可以跨域请求8887,我们可以限制域名,比如’Access-Control-Allow-Origin’: ‘http://localhost:8888’,这里只能设置一个值,不能设置多个,那么想设置多个怎么办呢?可以设置一个值,动态的去判断

这就是符合期望的跨域状态,这里就有一个概念,我们就这么一个操作,就可以使这个跨域请求让server2接受,其实不管server2有没有接受这个请求,8888都会去发送这个8887的请求,只是没看到这个头,会把请求返回内容给忽略掉,在curl并没有这样的限制,这是浏览器跨域的限制

二、跨域-jsonp

是否只有通过这种方式实现跨域呢,显然不是,因为我们知道json这样一个实现方法,那jsonp到底做了什么呢?我们来看一下,8888端口的内容不变

//server2.js
const http = require('http');
http.createServer(function(req,res){
  console.log('req come', req.url);
  res.end('345');
}).listen(8887);

server2里面去除掉Access-Control-Allow-Origin,test.html请求的方式改掉

<!--test.html-->
<body>
  <!-- <script>
    var xhr = new XMLHttpRequest();
    xhr.open('GET', 'http://127.0.0.1:8887');
    xhr.send();
  </script> -->
  <script src="http://127.0.0.1:8887"></script>
</body>

再重启8887服务,发现请求使正常发送,也是正常返回的,这是因为,浏览器允许js的跨域请求,他并不在乎跨域的头,所以可以在script里面的代码是一段可执行的js代码,然后去调用jsonp,在发起请求之前,他给我们设置的一些内容,这样就可以达到目的,这就是json的原理,利用了link,script标签的可跨域性

Ryrie Lc
关注
(二) SpringBoot中解决CORS
专搞技术的小兔子
08-10 1049
在前后分离的架构下,我们经常会遇到CORS问题,在浏览器上的表现就是出现如下一段错误提示:No ‘Access-Control-Allow-Origin’ header is present on the requested resource.而在SpringBoot中自定义过滤器的优先级高于WebMvcConfigurer中定义的过滤器,所以此时由于未经过CORS过滤器的处理还是会出现现象。通过setOrder()方法指定过滤器的执行顺序,用以保证CORS过滤器先入自定义过滤器执行。......
问题解决方法: chrome浏览器关闭CORS策略
skysys的研究小屋
02-03 2万+
在Chrome的快捷方式后面加:--args --disable-web-security --user-data-dir 然后打开这个快捷方式
nginx禁止,防范cors攻击
dl425134845的专栏
07-05 2021
参考了这篇文章default 1;"~^(http?)$" 1;"~^(http?)$" 1;"~*" 0;server {listen 81;server {return 403;
CORS解决问题
最新发布
weixin_68901096的博客
03-19 1377
text/plain;请求中的任意对象均没有注册任何事件监听器;请求中没有使用对象。请求中没有手动设置过请求头(例如,使用。
如何解决CORS策略的限制
codedadi的博客
06-03 1663
根据需要,还可以设置其他CORS相关的响应头,如Access-Control-Allow-Methods(允许的HTTP方法)、Access-Control-Allow-Headers(允许的请求头)等。服务器需要在响应头中添加Access-Control-Allow-Origin字段,并设置允许请求的名。如果不能直接修改目标服务器的CORS设置,可以使用代理服务器来转发请求。解决CORS来源资源共享)策略的限制通常涉及服务器端和客户端的配置。确保使用的浏览器支持CORS
解决方案CORS
qq_44805645的博客
03-06 279
能够CORS解决问题
谷歌浏览器优雅的关闭cors
花子占爷的博客
07-27 1万+
浏览器是一个常见的问题,在网络开发中涉及到多个不同名的网页时可能会遇到。是浏览器的一项安全策略,用于防止恶意网站利用访问用户的敏感信息。当一个网页从一个名请求访问另一个名的资源时,如果两个名不同,就会发生问题。浏览器会执行一些限制,例如阻止脚本的读取和修改其他名的内容。
同源策略以及CORS资源共享
Allurewuhui的博客
03-28 1630
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、名相同、端口相同。 3.只要以上三点有一点不满足,就会产生,解决常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
node.js学习之cors资源共享
weixin_53317758的博客
08-10 855
同源安全策略默认阻止浏览器请求
Node.js — 使用Express写接口、CORS资源共享、JSONP接口
m0_59897687的博客
03-11 706
目录 一、使用Express写接口 1.创建基本的服务器 2.创建API路由模块 3.编写GET接口 4.编写POST接口 5.CORS资源共享 (1).接口的问题 (2).使用 cors 中间件解决问题 (3).什么是 CORS (4).CORS 的注意事项 (5). CORS 响应头部 - Access-Control-Allow-Origin (6). CORS 响应头部 - Access-Control-Allow-Headers (7). CORS 响应头部-
CORS资源共享
maqiu233的博客
10-14 168
CORS介绍什么是CORSCORS注意事项CORS响应头部Access-Control-Allow-OriginAccess-Control-Allow-HeadersAccess-Control-Allow-MethodsCORS请求的分类简单请求复杂请求 什么是CORS CORS(Cross-Origin Resourcr Sharing,资源共享) 由一系列HTTP响应头组成,这些HTTP响应头决定浏览器是否阻止前端JS代码获取资源 浏览器的同源安全策略会拦截网页获取到的资源,但是如果接
如何解除 iframe 的限制
10-31
解除 iframe 的限制通常依赖于服务端的配置,特别是对于基于HTTP的访问。以下是几种常见的方法: 1. **CORS (Cross-Origin Resource Sharing)**: 在服务器端,提供者的网站需要添加响应头 `Access-Control-...
资源共享 CORS
于宝龙的博客
08-20 204
资源共享 CORS CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。 它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参。对于开发者来说,CORS通信同源的AJAX通信没有差别,代
解决资源共享(CORS)问题方法
WuwuwuH_的博客
07-26 471
问题解决
【教程】chrome关闭策略cors、samesite,带上cookie
yunmuq的博客
06-30 5914
谷歌浏览器允许origin,disable samesite,方便本地开发调试,测试csrf站请求伪造漏洞。犹记得两年前,测试csrf漏洞时得心应手。苦了本地调试的开发人员 -disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir......
【SpringBoot】8、SpringBoot中使用Cors开启
热门推荐
Asurplus
08-16 19万+
一、为什么要问题来源于JavaScript的【同源策略】,即只有【协议+主机名+端口号】相同,则允许相互访问。也就是说JavaScript只能访问和操作自己下的资源,不能访问和操作其他下的资源。问题是针对JS和Ajax的,HTML本身没有问题,比如a标签、script标签、甚至form标签(可以直接发送数据并接收数据)等。 二、实现的两种方式 1、JSONP...
mongodb基本使用、cors关闭、supervisor安装使用、Express 应用程序生成器
weixin_45415458的博客
10-22 333
mongodb基本使用、cors关闭、supervisor安装使用 安装 Express 应用程序生成器: cnpm install express-generator -g express -h 列出列出所有可用的命令行参数,该命令如果无法执行,试试cmd管理员权限执行 创建一个不带视图引擎的项目: express --no-view 项目名字 创建完成后进入项目执行cnpm i 安装...
资源共享 CORS 解析
Karka_的博客
01-02 1012
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参。对于开发者来说,CORS通信同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求OPTIONS请求,用于校验该次请求是否被服务器允许,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以源通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值