CORS(跨域资源共享)
1, 简介
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它容许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。spring
CORS须要浏览器和服务器同时支持。它的通讯过程,都是浏览器自动完成,不须要用户参与。对于开发者来讲,CORS通讯与同源的AJAX通讯没有差异,代码彻底同样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感受。
所以,实现CORS通讯的关键是服务器。只要服务器实现了CORS接口,就能够跨源通讯。json
2, 基本流程
浏览器将CORS请求分红两类:简单请求(simple request)和非简单请求(not-so-simple request)。
浏览器发出CORS简单请求,只须要在头信息之中增长一个Origin字段。
浏览器发出CORS非简单请求,会在正式通讯以前,增长一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及能够使用哪些HTTP动词和头信息字段。只有获得确定答复,浏览器才会发出正式的XMLHttpRequest请求,不然就报错。跨域
只要同时知足如下两大条件,就属于简单请求。
1) 请求方法是如下三种方法之一:
HEAD
GET
POST
2)HTTP的头信息不超出如下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain浏览器
3, 具体实现(spring boot)安全
/**
* 描述: 使用Filter 处理跨域请求,即CORS(跨来源资源共享)。
*
* @author city space
*
*/
@Configuration
public class SimpleCORS
{
/**
* 设置 跨域请求参数,处理跨域请求
*
* @return
*/
@Bean
public CorsFilter corsFilter()
{
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", buildConfig());
return new CorsFilter(source);
}服务器
private CorsConfiguration buildConfig()
{
CorsConfiguration corsConfiguration = new CorsConfiguration();cookie
// 容许跨域访问的域名
corsConfiguration.addAllowedOrigin("*");
// 请求头
corsConfiguration.addAllowedHeader("*");
// 请求方法
corsConfiguration.addAllowedMethod(HttpMethod.DELETE);
corsConfiguration.addAllowedMethod(HttpMethod.POST);
corsConfiguration.addAllowedMethod(HttpMethod.GET);
corsConfiguration.addAllowedMethod(HttpMethod.PUT);
corsConfiguration.addAllowedMethod(HttpMethod.DELETE);
corsConfiguration.addAllowedMethod(HttpMethod.OPTIONS);
// 预检请求的有效期,单位为秒。
corsConfiguration.setMaxAge(3600L);
// 是否支持安全证书
corsConfiguration.setAllowCredentials(true);app
return corsConfiguration;
}
}cors
4, 配置项解释
4.1 Access-Control-Allow-Origin
该字段必填。它的值要么是请求时Origin字段的具体值,要么是一个*,表示接受任意域名的请求。ui
4.2 Access-Control-Allow-Methods
该字段必填。它的值是逗号分隔的一个具体的字符串或者*,代表服务器支持的全部跨域请求的方法。注意,返回的是全部支持的方法,而不单是浏览器请求的那个方法。这是为了不屡次"预检"请求。
4.3 Access-Control-Expose-Headers
4.3 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。若是想拿到其余字段,就必须在Access-Control-Expose-Headers里面指定。
4.4 Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否容许发送Cookie.默认状况下,不发生Cookie,即:false。对服务器有特殊要求的请求,好比请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。若是服务器不要浏览器发送Cookie,删除该字段便可。
4.5 Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另外一条预检请求。
注意: CORS请求发送Cookie时,Access-Control-Allow-Origin只能是与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其余域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也没法读取服务器域名下的Cookie。
- 1. CORS:跨域资源共享
- 2. CORS 跨域资源共享
- 3. 跨域资源共享CORS
- 4. CORS跨域资源共享
- 5. 跨域资源共享(CORS)
- 6. js跨域资源共享
- 7. Tomcat跨域资源共享
- 8. CORS(跨域资源共享)
- 9. 跨域资源共享 CORS
- 10. 跨域资源共享——CORS
- 更多相关文章...
- • Docker 资源汇总 - Docker教程
- • 网站 域名 - 网站主机教程
- • PHP Ajax 跨域问题最佳解决方案
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 融合阿里云,牛客助您找到心仪好工作
- 2. 解决jdbc(jdbctemplate)在测试类时不报错在TomCatb部署后报错
- 3. 解决PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE无法输入中文
- 4. vue+ant design中关于图片请求不显示的问题。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解决IDEA用Maven创建的Web工程不能创建Java Class文件的问题
- 7. [已解决] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea让java文件夹正常使用
- 9. Eclipse启动提示“subversive connector discovery”
- 10. 帅某-技巧-快速转帖博主文章(article_content)
- 1. CORS:跨域资源共享
- 2. CORS 跨域资源共享
- 3. 跨域资源共享CORS
- 4. CORS跨域资源共享
- 5. 跨域资源共享(CORS)
- 6. js跨域资源共享
- 7. Tomcat跨域资源共享
- 8. CORS(跨域资源共享)
- 9. 跨域资源共享 CORS
- 10. 跨域资源共享——CORS