2. 程式人生 > >跨域資源共享CORS

跨域資源共享CORS

阿新 發佈:2018-12-09

1. 同源政策

1.1 含義

  • 1995年,同源政策由 Netscape 公司引入瀏覽器。目前,所有瀏覽器都實行這個政策。
  • 最初,它的含義是指,A網頁設定的 Cookie,B網頁不能開啟,除非這兩個網頁”同源”。所謂”同源”指的是”三個相同”。 
協議相同
域名相同
埠相同

舉例來說,http://www.example.com/dir/page.html這個網址,協議是http://,域名是www.example.com,埠是80(預設埠可以省略)。它的同源情況如下。

http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html
 
:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(埠不同)

2. 跨域解決方案CORS

2.1 定義:

  • CORS 是一個 W3C 標準,全稱是”跨域資源共享”(Cross-origin resource sharing)。CORS 需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE 瀏覽器不能低於 IE10。
  • 它允許瀏覽器向跨源伺服器,發出 XMLHttpRequest 請求,從而克服了 AJAX 只能同源使用的限制。整個 CORS 通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS 通訊與同源的 AJAX 通訊沒有差別,程式碼完全一樣。瀏覽器一旦發現 AJAX 請求跨源,就會自動新增一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。因此,實現 CORS 通訊的關鍵是伺服器。只要伺服器實現了 CORS 介面,就可以跨源通訊。

2.2 兩種跨域請求

2.2.1 簡單請求

  • 同時滿足以下條件,那麼就是簡單請求。
1) 請求方法是以下三種方法之一:
    HEAD
    GET
    POST
(2)HTTP的頭資訊不超出以下幾種欄位:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
(3)沒有事件監聽器被註冊到任何用來發出請求的 XMLHttpRequestUpload 上(經由 XMLHttpRequest.
 
upload 方法取得)上。
(4)請求中沒有 ReadableStream 型別的內容被用於上傳。

PS:雖然這些都是網頁目前已經可以送出的跨站請求,除非後端伺服器回覆正確CORS標誌,否則不會有內容傳回來,因此不允許跨域請求的網站無須擔心會受到新的HTTP 存取控制的影響。

通常情況下主要涉及條件(1)和條件(2) 如果不滿足上述條件任何一個,那麼它就是預檢請求 (非簡單請求)。

瀏覽器發現自己傳送的是簡單跨域請求,則會只發送一次HTTP請求。相較於同源請求,CORS簡單請求會在頭資訊中額外增加一個Origin欄位。

下圖是一個簡單跨域請求例子:瀏覽器發現本次請求是跨域請求,就會自動在請求頭資訊中增加Origin欄位(依賴於瀏覽器機制/或者JS直譯器的實現) 簡單跨域

  • 請求和響應內容如下: 假定是從apigw.qcloud.com去請求qcloud.com的資源 
請求頭: 
GET /resources/public-data/ HTTP/1.1
Host: qcloud.com
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://apigw.qcloud.com

響應頭:
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2.0.61 
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

HTTP請求中的Origin欄位表示該請求是來自於http://apigw.qcloud.com的請求 如果Origin指定的域名在許可範圍內,伺服器返回的響應,會多出幾個頭資訊欄位。

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: application/xml

本次請求示例中響應是攜帶了Access-Control-Allow-Origin: *, 或者是 Access-Control-Allow-Origin: http://apigw.qcloud.com

  • 如果Origin指定的源,不在許可範圍內,伺服器會返回一個正常的HTTP迴應。瀏覽器發現,這個迴應的頭資訊沒有包含Access-Control-Allow-Origin欄位,就知道出錯了,從而丟擲一個錯誤,被XMLHttpRequestonerror回撥函式捕獲。

2.2.2 預檢請求

  • 不滿足簡單請求條件之一的即是非簡單請求。非簡單請求的CORS請求,會在正式通訊之前,增加一次HTTP查詢請求,稱為”預檢”請求(preflight)。
  • 「預檢(preflight)」請求會先用HTTP 的OPTIONS 方法請求另一個域名資源,確認後續實際(actual)請求能否可安全送出。由於跨域請求可能會攜帶使用者的資訊,所以要先進行預檢請求。

下圖是一個預檢請求例子: 這裡寫圖片描述

請求和響應內容如下: 假定是從apigw.qcloud.com去請求qcloud.com的資源 - 第一次是預檢請求/響應:

OPTIONS /resources/post-here/ HTTP/1.1
Host: qcloud.com
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://apigw.qcloud.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://apigw.qcloud.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

  • 先看請求,Access-Control-Request-Method告訴伺服器發的請求是POST請求,Access-Control-Request-Headers通知自己帶有X-PINGOTHER自定義header

  • 再看響應,Access-Control-Allow-Origin這個與前面類似,Access-Control-Allow-Methods這裡說明支援POST/GET/OPTIONS方法,Access-Control-Allow-Headers這裡說明允許X-PINGOTHER自定義header,Access-Control-Max-Age用來指定本次預檢請求的有效時間,86400是24小時也就是一天。

等到預檢請求完成後,瀏覽器才會傳送真正的響應:

POST /resources/post-here/ HTTP/1.1
Host: qcloud.com
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
X-PINGOTHER: pingpong
Content-Type: text/xml; charset=UTF-8
Content-Length: 55
Origin: http://apigw.qcloud.com
Pragma: no-cache
Cache-Control: no-cache

<?xml version="1.0"?><person><name>Arun</name></person>


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:40 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://apigw.qcloud.com
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some GZIP'd payload]

問題: 1、若簡單跨域請求校驗失敗,APIGW應如何回覆? 2、若預檢跨域請求校驗失敗,APIGW應如何回覆? 3、目前瀏覽器並不支援預檢請求的重定向,如果發生了預檢請求的重定向,則瀏覽器會大概率報錯

3. 跨域請求實現

3.1 原始CORS

1)首先修改 cart-web 的 CartController.java 的 addGoodsToCartList 方法,新增下面兩句程式碼

// 可以訪問的域, 此方法不需要訪問 cookie
response.setHeader("Access-Control-Allow-Origin", "http://localhost:9105"); 
// 如果要操作 cookie, 則必須加上這句話
response.setHeader("Access-Control-Allow-Credentials", "true");

Access-Control-Allow-Origin : - Access-Control-Allow-Origin 是 HTML5 中定義的一種解決資源跨域的策略。他是通過伺服器端返回帶有 Access-Control-Allow-Origin 標識的 Response header,用來解決資源的跨域許可權問題。 - 使用方法,在 response 新增 Access-Control-Allow-Origin,例如 : Access-Control-Allow-Origin:www.google.com , 也可以設定為*表示該資源誰都可以用

2)修改 pyg-item-web 的 itemController.js


    //新增商品到購物車
    $scope.addGoodsToCartList=function(){
        //這是一個跨域的地址
        var url='http://localhost:8086/cart/addGoodsToCartList/'+$scope.sku.id+'/'+$scope.num + '-';
        // {'withCredentials':true} : 是否使用憑證, 需要訪問 cookie 時加上
        $http.get(url,{'withCredentials':true}).success(
            function(response){
                if(response.success){
                    location.href="http://localhost:8086/cart.html";
                }else{
                    alert(response.message);
                }
            }
        );
    }

CORS 請求預設不傳送 Cookie 和 HTTP 認證資訊。如果要把 Cookie 發到伺服器,一方面要伺服器同意,指定Access-Control-Allow-Credentials 欄位。另一方面,開發者必須在 AJAX 請求中開啟withCredentials 屬性。否則,即使伺服器同意傳送 Cookie,瀏覽器也不會發送。或者,伺服器要求設定 Cookie,瀏覽器也不會處理。

3.2 SpringMVC 跨域註解

  • springMVC 的版本在 4.2 或以上版本,可以使用註解實現跨域, 我們只需要在需要跨域的方法上添加註解@CrossOrigin 即可
// allowCredentials="true" 是否使用憑證, 需要訪問cookie時設定, 可以預設,預設值時true
@CrossOrigin(origins="http://localhost:9105",allowCredentials="true")

4. 錯誤資訊

1. 無法跨域

無法跨域

2. 重定向不支援跨域請求

重定向不支援跨域請求

參考文獻

相關推薦

資源共享CORS詳解

附加 accep 不發送 地址 code 克服 通信 數據 ror 簡介 CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。 它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX

資源共享(CORS)

flight turn 地理 add example html 變化 ring 否則   通過 XHR 實現 Ajax 通信的一個主要限制,來源於跨域安全策略。默認情況下,XHR 對象只能訪 問與包含它的頁面位於同一個域中的資源。這種安全策略可以預防某些惡意行為。但是,實現

資源共享——CORS

跨域資源共享(Cross-Origin Resource Sharing)是一種機制,它使用額外的 HTTP 頭部告訴瀏覽器可以讓一個web應用進行跨域資源請求。 請求型別 簡單請求 若一個請求同時滿足下述所有條件,則該請求可視為“簡單請求”(注:灰色字型內容瞭解即可): 使用的方法為

資源共享(CORS)安全性淺析

0×00 背景 提起瀏覽器的同源策略,大家都很熟悉。不同域的客戶端指令碼不能讀寫對方的資源。但是實踐中有一些場景需要跨域的讀寫,所以出現了一些hack的方式來跨域。比如在同域內做一個代理,JSON-P等。但這些方式都存在缺陷,無法完美的實現跨域讀寫。所以在XMLHttpRequest

jQuery-ajax系列用法及JSONP,資源共享CORS

jQuery-ajax 基本使用 $.ajax({ url:'json.php', //設定的是請求引數,二者沒關係 data:{name:'張三',age:'18'}, //用於設定響應體型別 dataType:'json', type:'

資源共享CORS

1. 同源政策 1.1 含義 1995年,同源政策由 Netscape 公司引入瀏覽器。目前,所有瀏覽器都實行這個政策。 最初,它的含義是指,A網頁設定的 Cookie,B網頁不能開啟,除非這兩個網頁”同源”。所謂”同源”指的是”三個相同”。

資源共享 CORS 詳解

一、簡介 CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。 整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJAX通訊沒有差別,程式碼完全一樣。瀏覽器一旦發現AJAX請求

資源共享 CORS 深入學習

瀏覽器將CORS請求分成兩類:簡單請求和非簡單請求。簡單請求在之前部落格中總結過了,詳見傳送門 這裡主要總結一下非簡單請求。非簡單請求是那種對伺服器有特殊要求的請求,比如請求方法是PUT或DELETE,或者Content-Type欄位的型別是applicati

資源共享 CORS 詳解( 阮一峰)

CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。

CORS資源共享你該知道的事兒

自身 沒有 對象的使用方法 one 一起 接受 gpm spa eat “嘮嗑之前,一些客套話” CORS跨域資源共享,這個話題大家一定不陌生了,吃久了大轉轉公眾號的深度技術好文,也該吃點兒小米粥溜溜胃裏的縫兒了,今天咱們就再好好屢屢CORS跨域資源共享這個話題,大牛怡情

HTTP(二)、資源共享CORS

2.跨域資源共享(CORS) 跨域簡介 當訪問一個資原始檔時,如果從非該資原始檔所在的伺服器不同域名或者埠處進行訪問時,該資源會發起一個跨域請求。 例如,網站A的地址是http://www.domain-a.com ,該網站中HTML頁面通過 img 標籤中的

CORS資源共享

簡介 跨域資源共享的主要思想就是使用自定義的HTTP頭部讓瀏覽器與伺服器進行溝通,從而決定響應式是成功還是失敗,它允許了瀏覽器向跨源伺服器傳送請求,克服了同源的限制。 CORS需要瀏覽器和伺服器同時支援,所有瀏覽器目前都支援,IE需要10以上。在整個通訊過程中,不需要使用者參與,都是由瀏覽器

Access-Control-Allow- 設定 CORS(資源共享)詳解

跨域訪問的專案常在過濾器或者攔截器中新增如下配置     response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allo

java服務端解決js的問題 CORS資源共享) 的配置

nginx相容跨域上傳 相容情況: 各種新版本的ie10,firefox,opera,safari,chrome以及移動版safari和Android瀏覽器 ie9及一下版本請使用flash方式來相容 通過OPTIONS請求握手一次的方式實現跨根域傳送請求,需要服務端配置

DAY104 - 路飛學城(一)- CORS資源共享和pycharm開發vue專案

一、CORS跨域資源共享 1.什麼是CORS跨域資源共享 ​ 為了解決跨域問題,就需要CORS。 ​ CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。 ​ 整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJ

前後端互動問題解決方案,資源共享CORS

跨域資源共享(CORS) 普通跨域請求:只服務端設定Access-Control-Allow-Origin即可,前端無須設定,若要帶cookie請求:前後端都需要設定。 需注意的是:由於同源策略的限制,所讀取的cookie為跨域請求介面所在域的cookie,而非當前頁。如

cors資源共享方法

cors是一個服務端和客戶端協作宣告的方式來確保請求的安全性。 服務端在HTTP請求頭增加一些列的請求頭資訊(例如Access-Control-Allow-Orign等),說明哪些域的請求可以接受,或哪些型別的請求可以接受。 客戶端在發起請求時,也必須在請求

的另一種解決方案——CORS(Cross-Origin Resource Sharing)資源共享

      在我們日常的專案開發時使用AJAX,傳統的Ajax請求只能獲取在同一個域名下面的資源,但是HTML5打破了這個限制,允許Ajax發起跨域的請求。瀏覽器是可以發起跨域請求的,比如你可以外鏈一個外域的圖片或者指令碼。但是Javascript指令碼是不能獲取這些資源的內容的,它只能被瀏覽器執行或渲染。主

tomcat下CORS資源共享) 的配置

CORS介紹    它在維基百科上的定義是:跨域資源共享(CORS )是一種網路瀏覽器的技術規範,它為Web伺服器定義了一種方式,允許網頁從不同的域訪問其資源。而這種訪問是被同源策略所禁止的。CORS系統定義了一種瀏覽器和伺服器互動的方式來確定是否允許跨域請求。 它是

AJAX請求和CORS資源共享

同源策略限制: 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果沒有同源策略,攻擊者可以通過JavaScript獲取你的郵件以及其他敏感資訊,比如說閱讀私密郵件,傳送虛假郵件,檢視聊天記錄等等。所謂同源是指,