分析CORS跨域资源共享

本篇内容主要讲解“分析CORS跨域资源共享”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“分析CORS跨域资源共享”吧!

创新互联建站主打移动网站、网站设计、网站建设、网站改版、网络推广、网站维护、域名与空间、等互联网信息服务，为各行业提供服务。在技术实力的保障下，我们为客户承诺稳定，放心的服务，根据网站的内容与功能再决定采用什么样的设计。最后，要实现符合网站需求的内容、功能与设计，我们还会规划稳定安全的技术方案做保障。

了解下同源策略

源（origin）*：就是协议、域名和端口号；
同源：就是源相同，即协议、域名和端口完全相同；
同源策略：同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源；
同源策略的分类：

1 . DOM 同源策略：即针对于DOM，禁止对不同源页面的DOM进行操作;如不同域名的 iframe 是限制互相访问。

2 . XMLHttpRequest 同源策略：禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。

不受同源策略限制：

1. 页面中的链接，重定向以及表单提交(因为表单提交，数据提交到action域后，本身页面就和其没有关系了，不会管请求结果，后面操作都交给了action里面的域)是不会受到同源策略限制的。

2. 资源的引入不受限制，但是js不能读写加载的内容：如嵌入到页面中的，，，等</p><p><strong>为什么要跨域限制</strong></p><ul><li><p> 如果没有 DOM 同源策略：那么就没有啥xss的研究了，因为你的网站将不是你的网站，而是大家的，谁都可以写个代码操作你的网站界面</p></li><li><p> 如果没有XMLHttpRequest 同源策略，那么就可以很轻易的进行CSRF（跨站请求伪造）：</p></li></ul><p>      1.  用户登录了自己的网站页面 a.com,cookie中添加了用户标识。</p><p>      2.  用户浏览了恶意页面 b.com，执行了页面中的恶意 AJAX 请求代码。</p><p>      3.  b.com 向 a.com发起 AJAX HTTP 请求，请求会默认把 a.com对应cookie也同时发送过去。</p><p>      4.  a.com从发送的 cookie 中提取用户标识，验证用户无误，response 中返回请求数据;数据就泄露了。而且由于Ajax在后台执行，这一过程用户是无法感知的。</p><ul><li><p> （附）有了XMLHttpRequest 同源策略就可以限制CSRF？别忘了还有不受同源策略的：表单提交和资源引入，（安全问题下期在研究）</p></li></ul><p><strong>跨域决解方案</strong></p><p>  1. JSONP 跨域：借鉴于 script 标签不受浏览器同源策略的影响，允许跨域引用资源；因此可以通过动态创建 script 标签，然后利用 src 属性进行跨域；</p><p>      缺点：</p><p>    1.所有网站都可以拿到数据，存在安全性问题，需要网站双方商议基础token的身份验证。</p><p>    2.只能是GET，不能POST。</p><p>    3.可能被注入恶意代码，篡改页面内容，可以采用字符串过滤来规避此问题。</p><p>  2. 服务器代理：浏览器有跨域限制，但是服务器不存在跨域问题，所以可以由服务器请求所要域的资源再返回给客户端。</p><p>  3. document.domain、window.name 、location.hash：借助于iframe决解DOM同源策略</p><p>  4. postMessage：决解DOM同源策略，新方案</p><p>  5. CORS（跨域资源共享）：这里讲的重点</p><p><strong>CORS（跨域资源共享）</strong></p><ul><li><p> HTML5 提供的标准跨域解决方案，是一个由浏览器共同遵循的一套控制策略，通过HTTP的Header来进行交互；主要通过后端来设置CORS配置项</p></li></ul><p><strong>CORS简单使用</strong></p><ul><li><p> 之前说得CORS跨域，嗯嗯，后端设置Access-Control-Allow-Origin：*|[或具体的域名]就好了；</p></li><li><p>初次尝试： </p></li></ul><pre>app.use(async(ctx,next) => {      ctx.set({          "Access-Control-Allow-Origin": "http://localhost:8088"  })</pre><ul><li><p> 发现有些请求可以成功，但是有些还是会报错：</p></li></ul><p><img src="/upload/otherpic59/459487.png" alt="分析CORS跨域资源共享"></p><ul><li><p> 请求被同源策略阻止，预请求的响应没有通过检查：http返回的不是ok?</p></li><li><p> 并且发现发送的是OPTIONS请求:</p></li></ul><p><img src="/upload/otherpic59/459488.png" alt="分析CORS跨域资源共享"></p><ul><li><p> 发现：CORS规范将请求分为两种类型，一种是简单请求，另外一种是带预检的非简单请求 </p></li></ul><p><strong>简单请求和非简单请求</strong></p><ul><li><p> 浏览器发送跨域请求判断方式：</p></li><ul><li><p>  浏览器在发送跨域请求的时候，会先判断下是简单请求还是非简单请求，如果是简单请求，就先执行服务端程序，然后浏览器才会判断是否跨域；</p></li><li><p>  而对于非简单请求，浏览器会在发送实际请求之前先发送一个OPTIONS的HTTP请求来判断服务器是否能接受该跨域请求；如果不能接受的话，浏览器会直接阻止接下来实际请求的发生。</p></li></ul><li><p> <strong>什么是简单请求</strong></p></li></ul><p>     1. 请求方法是如下之一：</p><p>        GET</p><p>        HEAD</p><p>        POST</p><p>     2. 所有的Header都只包含如下列表中（没有自定义header）：</p><p>        Cache-Control</p><p>        Content-Language</p><p>        Content-Type</p><p>        Expires</p><p>        Last-Modified</p><p>        Pragma</p><ul><li><p> 除此之外都是非简单请求</p></li></ul><p><strong>CORS非简单请求配置须知</strong></p><ul><li><p> 正如上图报错显示，对于非简单请求，浏览器会先发送options预检，预检通过后才会发送真是的请求；</p></li><li><p> 发送options预检请求将关于接下来的真实请求的信息给服务器： </p></li></ul><pre>Origin：请求的源域信息  Access-Control-Request-Method：接下来的请求类型，如POST、GET等  Access-Control-Request-Headers：接下来的请求中包含的用户显式设置的Header列表</pre><ul><li><p> 服务器端收到请求之后，会根据附带的信息来判断是否允许该跨域请求，通过Header返回信息： </p></li></ul><pre>Access-Control-Allow-Origin：允许跨域的Origin列表  Access-Control-Allow-Methods：允许跨域的方法列表  Access-Control-Allow-Headers：允许跨域的Header列表,防止遗漏Header，因此建议没有特殊需求的情况下设置为*  Access-Control-Expose-Headers：允许暴露给JavaScript代码的Header列表  Access-Control-Max-Age：浏览器预检请求缓存时间，单位为s</pre><p><strong>CORS完整配置</strong></p><p> 1. koa配置CORS跨域资源共享中间件：</p><pre>const cors = (origin) => {      return async (ctx, next) => {          ctx.set({              "Access-Control-Allow-Origin": origin, //允许的源          })          // 预检请求          if (ctx.request.method == "OPTIONS") {              ctx.set({                  'Access-Control-Allow-Methods': 'OPTIONS,HEAD,DELETE,GET,PUT,POST', //支持跨域的方法                  'Access-Control-Allow-Headers': '*', //允许的头                  'Access-Control-Max-Age':10000, // 预检请求缓存时间                  // 如果服务器设置Access-Control-Allow-Credentials为true，那么就不能再设置Access-Control-Allow-Origin为*,必须用具体的域名                  'Access-Control-Allow-Credentials':true // 跨域请求携带身份信息(Credential，例如Cookie或者HTTP认证信息)              });              ctx.send(null, '预检请求')          } else {              // 真实请求              await next()          }      }  }  export default cors</pre><ul><li><p> 现在不管是简单请求还是非简单请求都可以跨域访问啦～</p></li></ul><p><strong>跨域时如何处理cookie</strong></p><ul><li><p> cookie：</p></li></ul><p>      我们知道http时无状态的，所以在维持用户状态时，我们一般会使用cookie；</p><p>      cookie每次同源请求都会携带；但是跨域时cookie是不会进行携带发送的；</p><ul><li><p> 问题：</p></li></ul><p>      由于cookie对于不同源是不能进行操作的；这就导致，服务器无法进行cookie设置，浏览器也没法携带给服务器（场景：用户登录进行登录操作后，发现响应中有set-cookie但是，浏览器cookie并没有相应的cookie）</p><ul><li><p> 决解：</p></li></ul><p>      浏览器请求设置withCredentials为true即可让该跨域请求携带 Cookie；使用axios配置axios.defaults.withCredentials = true</p><p>      服务器设置Access-Control-Allow-Credentials=true允许跨域请求携带 Cookie</p><p>到此，相信大家对“分析CORS跨域资源共享”有了更深的了解，不妨来实际操作一番吧！这里是创新互联网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！</p> <br> 当前名称：分析CORS跨域资源共享 <br> 文章位置：<a href="http://cdkjz.cn/article/jdjihp.html">http://cdkjz.cn/article/jdjihp.html</a> </div> <div class="g-return-wrapper clearfix"> <a href="http://www.cdkjz.cn/" class="home">返回首页</a> <a href="http://www.cdkjz.cn/news/" class="column">了解更多建站资讯</a> </div> </div> </div> <div class="full-related-news"> <h3 class="related-title">相关资讯</h3> <div class="related-news weblg"> <ul class="clearfix"> <li> <a href="/article/dgsepgh.html"> <h2 class="title">mysql怎么插大数据 mysql大数据量导入</h2> </a> </li><li> <a href="/article/dgsehgc.html"> <h2 class="title">android系统警告安卓警告对话框</h2> </a> </li><li> <a href="/article/dgsehsi.html"> <h2 class="title">android圆角椭圆 er图是椭圆还是圆角矩形</h2> </a> </li><li> <a href="/article/dgsehjj.html"> <h2 class="title">android字体细 android 字体大小自适应</h2> </a> </li><li> <a href="/article/dgsehip.html"> <h2 class="title">html5文章特效 html文字特效代码</h2> </a> </li><li> <a href="/article/dgsehoi.html"> <h2 class="title">mysql怎么设置成中文怎么让mysql支持中文</h2> </a> </li><li> <a href="/article/dgsehis.html"> <h2 class="title">html5字居中 html5文字居中代码怎么写</h2> </a> </li><li> <a href="/article/dgsepjg.html"> <h2 class="title">css外部样式编码 css外部样式编码是什么</h2> </a> </li> </ul> </div> </div> <div class="full-icontact-cover m-ft-contact"> <div class="weblg"> <div class="clearfix content"> <div class="motto"> 多年建站经验 </div> <div class="info"> <h3>多一份参考，总有益处</h3> <h2> 联系快上网，免费获得专属《策划方案》及报价</h2> <div class="msg"> <p>咨询相关问题或预约面谈，可以通过以下方式与我们联系</p> <h4> 大客户专线   成都：<a href="tel:+13518219792" rel="nofollow">13518219792</a>   座机：<a href="tel:02886922220" rel="nofollow">028-86922220</a> </h4> </div> </div> </div> <div class="btns clearfix"> <a href="https://wpa.qq.com/msgrd?v=3&uin=631063699&site=qq&menu=yes" target="_blank" rel="nofollow" class="oline">在线咨询</a> <a href="javascript:;" class="edit" rel="nofollow">提交需求</a> </div> </div> </div> <div class="footer-content"> <div class="weblg clearfix"> <div class="friend-links"> <h6 class="clearfix"> <span class="tilte">友情链接</span> <a class="exchagne" href="http://wpa.qq.com/msgrd?v=3&uin=631063699&site=qq&menu=yes">交换友情链接</a> </h6> <div class="link-list clearfix"> <div class="link-slider"> <a href="http://www.cdhuace.com/fuwu.html" title="名片印刷" target="_blank">名片印刷</a><a href="http://www.cdweb.net/solve/" title="网站解决方案" target="_blank">网站解决方案</a><a href="https://www.cdcxhl.com/xiaochengx.html" title="小程序开发" target="_blank">小程序开发</a><a href="http://www.cdxwcx.cn/tuoguan/jianyang.html" title="简阳电信服务器托管" target="_blank">简阳电信服务器托管</a><a href="http://m.xwcx.net/wechat/" title="成都微信二次开发" target="_blank">成都微信二次开发</a><a href="https://www.cdcxhl.com/seo.html" title="seo优化排名" target="_blank">seo优化排名</a><a href="http://www.cqcxhl.com/" title="网站制作" target="_blank">网站制作</a><a href="http://seo.cdkjz.cn/" title="百度推广公司" target="_blank">百度推广公司</a><a href="http://chengdu.cdcxhl.cn/qiye/" title="企业网站建设公司" target="_blank">企业网站建设公司</a><a href="http://www.njzdgg.com/" title="支点广告" target="_blank">支点广告</a> </div> </div> </div> </div> <div class="full-foot-bottom"> <div class="weblg clearfix"> <p>成都网站建设公司地址：成都市青羊区太升南路288号锦天国际A座10层建设咨询<a href="tel:028-86922220">028-86922220</a></p> <p> 成都快上网科技有限公司-四川网站建设设计公司 | <a href="http://www.miitbeian.gov.cn/" target="_blank" rel="nofollow">蜀ICP备19037934号</a> Copyright 2020,ALL Rights Reserved cdkjz.cn | <a href="http://www.cdkjz.cn/" target="_blank">成都网站建设</a> | © Copyright 2020版权所有.</p> <p>专家团队为您提供<a href="http://www.cdkjz.cn/" target="_blank">成都网站建设</a>,<a href="http://www.cdkjz.cn/" target="_blank">成都网站设计</a>,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网！ | 成都网站建设哪家好？ | <a href="###">网站建设地图</a></p> </div> </div> </div> <script type="text/javascript" src="../js/idangerous.swiper.min.js"></script> <script type="text/javascript" src="../js/wow.min.js"></script> <script type="text/javascript" src="../js/jquery.mousewheel.min.js"></script> <script type="text/javascript" src="../js/jquery.placeholder.min.js"></script> <script type="text/javascript" src="../js/layout.js"></script> </body> </html> <script> $(".singlepage img").each(function(){ var src = $(this).attr("src"); //获取图片地址 var str=new RegExp("http"); var result=str.test(src); if(result==false){ var url = "https://www.cdcxhl.com"+src; //绝对路径 $(this).attr("src",url); } }); window.onload=function(){ document.oncontextmenu=function(){ return false; } } </script>

网站建设

网站推广

案例

方案

电商网站开发

微信小程序

我们

联系

精准传达 • 有效沟通

查看其它板块

分析CORS跨域资源共享

网络推广

Network promotion

网站方案

Solution

电商网站开发

E-commerce & System

我们

About Us

联系

Contact Us

精准传达 • 有效沟通

查看其它板块

分析CORS跨域资源共享