首页 > 其他分享 >CORS就是跨域吗?

CORS就是跨域吗?

时间:2024-02-20 17:24:29浏览次数:34  
标签:Origin 浏览器 请求 简单 CORS 就是 跨域

首先,跨域的域是什么?

跨域的英文是:Cross-Origin。

Origin 中文含义为:起源,源头,出生地。

在跨域中,"域"指的是一个 Web 资源(比如网页、脚本、图片等)的源头

包括该资源的协议主机名端口号

同源策略中,如果两个资源的域相同,则它们属于同一域,可以自由进行交互和共享数据。

反之,如果两个资源的域不同,就会出现跨域问题

这时就需要特殊的方式来处理,如跨域资源共享(CORS)

那什么是同源策略?

同源策略(Same-Origin Policy)是浏览器中的一项安全机制,用于保护用户的隐私和安全。

它限制了一个网页或者脚本只能从同一个源加载的资源进行访问,而不能访问其他来源的资源。

这样做可以防止恶意网站利用用户身份信息进行跨站请求伪造(CSRF)攻击,保护用户的数据安全。

什么是跨站请求伪造?

跨站请求伪造(CSRF,Cross-Site Request Forgery)是一种网络攻击方式。

在 CSRF 攻击中,攻击者利用已认证的用户身份(例如用户在银行网站上登录后的会话信息)来伪造请求,以执行未经授权的操作。

举个例子:

我登录了银行网站,浏览器根据我的登录信息生成了一个会话令牌,也就是 session token。

但是这个令牌被而恶意网站给拿到了,它拿着我的 token 去服务器发送请求。

就可以把我银行卡里的 29 块八毛五全部转走。

但是如果有同源策略的限制,恶意网站就无法直接发送请求到银行。

我的 29 块八毛五就可以保住。

因为恶意网站的域名与银行网站的域名不同,浏览器会阻止这种抢劫行为。

什么是跨域资源共享(CORS)?

为了防止被面试官笑话,这里一定要知道:

跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种用来解决由于浏览器的同源策略而导致的跨域请求问题的一种机制。

浏览器将 CORS 请求分成两类:

简单请求(simple request)和非简单请求(not-so-simple request)。

什么是简单请求?

只要同时满足以下两大条件,就属于简单请求。

(1)请求方法是以下三种方法之一:
- HEAD
- GET
- POST

(2)HTTP的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain

简单请求的工作流程如下:

1. 浏览器在请求中增加一个 Origin 头部字段,其中包含当前页面的源信息(协议、主机、端口)。

2. 服务器在收到这个请求后,会根据请求中的 Origin 头部信息来判断是否允许该请求。

3. 如果服务器允许该请求,会在响应头部中包含一个 Access-Control-Allow-Origin 头部,"*"表示允许所有来源。

4. 浏览器在收到响应后,决定是否允许页面访问该资源。

什么是非简单请求?

不是简单请求的,就是非简单请求。

非简单请求它非简单在哪?

或者说:

它非简单又能怎么样?

非简单请求在发起正式请求之前,会先发起一个预检请求

什么是预检请求?

预检请求是用于在实际的跨域请求之前进行探测和验证,以确保服务器能够正确处理,预防跨域请求可能会引发的安全性问题。

一句话就是:

我去前面探探路!

只有得到服务器的肯定答复,浏览器才会发出正式的 XMLHttpRequest 请求,否则就报错。


实际 java 开发中的 CORS 解决跨域配置长这样:

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 允许所有的URL路径都可以跨域访问
        registry.addMapping("/**")
            // 允许所有来源(即允许任何域名)的请求跨域访问
            .allowedOrigins("*")
            // 允许发送身份验证信息(如cookies、HTTP身份验证或客户端SSL证明)
            .allowCredentials(true)
            // 允许跨域请求的HTTP方法,包括GET、POST、PUT、DELETE和OPTIONS。
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            // 预检请求(OPTIONS请求)的有效期,单位为秒
            .maxAge(3600);
    }
}

还有别的方式可以解决跨域问题吗?

有的。

使用 Nginx 部署为同一域。

什么意思呢?

就是说 Nginx 作为唯一域,代理所有服务端,在客户端眼里,只有 Nginx 这一个域,也就不存在跨域问题,由 Nginx 拿到请求再分发给对应服务器。

这里我们就不再展开。


往期推荐:

● 师爷,翻译翻译什么叫AOP

翻译,师爷师爷什么叫事务

纪念JDBC

● SpringBoot实现动态数据源配置

● 聚簇索引、回表与覆盖索引

Java锁到底是个什么东西

标签:Origin,浏览器,请求,简单,CORS,就是,跨域
From: https://www.cnblogs.com/cosimo/p/18023596

相关文章

  • c#使用webView2 访问本地静态html资源跨域问题 || Cors
    背景在浏览器中访问本地静态资源html网页时,可能会遇到跨域问题如图。 是因为浏览器默认启用了同源策略,即只允许加载与当前网页具有相同源(协议、域名和端口)的内容。WebView2默认情况下启用了浏览器的同源策略,即只允许加载与主机相同源的内容。所以如果我们把静态资源发布到ii......
  • 跨域问题
    文章目录前言一、为什么会跨域1.什么是源2.URL结构3.同源不同源举......
  • 跨域问题
    1,概念跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域问题的产生是由于浏览器的同源策略。同源策略(Same-OriginPolicy)是一种浏览器安全策略,用于限制在浏览器中加载的网页脚本与来自不同源的资源进行交互。同源指的是协议(如......
  • 跨域问题解决
    跨域举例A网站部署在localhost:63343请求loocalhost:8080/api/user/add,就会出现跨域问题。同源策略同源策略:协议,主机,端口,只有这三者全部相同时,才可以相互访问。现在接口地址为101.10.11.1X:8081,请判断以下哪些可以通过:访问地址描述结果https://127.0.0.1:808......
  • 跨域传文件时 如何确保数据安全可控传输共享?
    跨域传文件指的是在不同的域(Domain)之间安全地传输文件,这通常涉及到安全域、组织域、不同地理位置域之间。在跨域数据文件共享过程中,既要保障合法用户的正常阅读文件,又要防范在传播过程中的不可控,敏感文件的机密性受到极大挑战,如何防范敏感文件泄露,保护关键数据资产成为各组织的......
  • 知识就是力量
    知识力量——携手经典阅读,承担青年使命在知识的海洋中,经典著作是璀璨的明珠,它们承载着历史的智慧与文化的精髓。为了推广经典阅读,让更多人领略其中的魅力,我参与了“携手经典阅读”社会实践活动。活动伊始,我们组建了一个由青年志愿者组成的阅读推广小组。大家分工合作,精心策划了......
  • 五十步就是可以笑百步
    《22-五十步就是可以笑百步》五十步就是可以笑百步,虽然我也做过恶,但是我就是不准你作恶。世上做恶的人太多了,还是少一个是一个为好,就当是赎罪好了,还世界一片清净,如果有一天我被人清净了我也不怪你。有关系,有交情,有利益的能够互相理解,亲戚也能够护下短,大不了好言相劝,做好自己的本......
  • Vite+Vue3项目如何获取环境配置,并解决前端跨域问题
    步骤根目录新建.env.development和.env.production文件package.json配置启动参数vite命令启动项目时,指定mode参数,加载vite.config.ts文件。"dev":"vite--host0.0.0.0--port8093--modedevelopment","prod":"vite--port8093--host0.0.0.0--modepr......
  • 【转帖】就是要你懂抓包--WireShark之命令行版tshark
    plantegg.github.io/2019/06/21/就是要你懂抓包--WireShark之命令行版tshark/ 玩转TShark(Wireshark的命令行版)在我感叹Wireshark图形界面的强大时候,有时候也抱怨有点慢,或者感叹下要是有命令行界面版该多好啊,实际上TShark就是WireShark的命令行版,WireShark的功能基本都有,还......
  • useEffect 传入的函数,它的返回值要么是一个方法(清理函数),要么就是undefined,其他情况都
    useEffect传入的函数,它的返回值要么是一个方法(清理函数),要么就是undefined,其他情况都会报错比较常见的一个情况是,我们的useEffect需要执行一个async函数,比如://❌//Type'Promise<void>'providesnomatch//forthesignature'():void|undefined'useEffect(asyn......