目录

  • 12.1 CORS介绍
  • 12.2 CORS原理
  • 12.3 CORS实现

12.1 CORS介绍

CORS跨域资源共享(Cross-origin resource sharing)是指在服务器端定义跨域请求规则,允许控制浏览器向跨域服务器发出请求,支持各种请求方式,解除了Ajax同源使用的限制

目前所有浏览器都支持CORS跨域设置,它突破了一个请求在浏览器发出只能在同源的情况下向服务器获取数据的限制,成为了主流的跨域解决方案

12.2 CORS原理

CORS通过额外的HTTP头部信息,浏览器将Ajax请求分为普通请求和特殊请求

普通请求

请求方法

  • GET
  • HEAD
  • POST(Content-Type只限于application/x-www-form-urlencodedmultipart/form-datatext/plain

HTTP的头信息

  • Accept
  • Accept-Language
  • Content-Language
  • DPR
  • Downlink
  • Save-Data
  • Viewport-Width
  • Width
  • Content-Type

特殊请求

请求方法

  • PUT
  • DELETE
  • TRACE
  • PATCH
  • POST(Content-Type值只限于application/json

HTTP的头信息

  • 自定义

12.3 CORS实现

SpringBoot设置CORS的的本质是通过设置浏览器响应头信息,浏览器使用OPTIONS方法发送预检请求,获知服务器是否允许该跨域请求,如果不允许发送带数据的真实请求,则会受到限制

普通请求

普通请求头中携带Origin字段,用于说明当前请求的协议、域名和端口,服务器根据这个值决定是否同意这次请求

  • Access-Control-Allow-Origin 服务端请求域设置
  • Access-Control-Allow-Credentials Cookie请求设置
  • Access-Control-Request-Headers 额外发送的请求头字段信息

XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段,想拿到额外的字段必须在Headers头字段里指定

  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma

1.浏览器正常请求

浏览器直接发出CORS请求,在头信息之中增加Origin、Access字段

GET /cors HTTP/1.1
Origin: http://www.xxx.com
Host: xxx.xxxx.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

2.服务端对请求的肯定回应

服务器收到请求以后,检查Origin、Access字段是否许可范围内,如果不在,服务器返回一个HTTP响应,如果在,服务器返回肯定响应

Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Allow-Methods: GET
Content-Type: text/html; charset=utf-8

特殊请求

特殊会在正式通信之前,增加一次HTTP预检请求(Preflight)

  • Access-Control-Allow-Origin 服务端请求域设置
  • Access-Control-Allow-Credentials Cookie请求设置
  • Access-Control-Request-Headers 额外发送的请求头字段信息
  • Access-Control-Max-Age 用来指定本次预检请求的有效期,单位为秒

1.浏览器预检请求

预检请求是指浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的HTTPRequest请求,否则就报错

OPTIONS /cors HTTP/1.1
Origin: http://www.xxx.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Header
Host: xxx.xxxx.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

2.服务端对预检请求的肯定响应

服务器收到预检请求以后,检查了Origin、Access头字段以后,确认允许跨域请求,做出响应

HTTP/1.1 200 OK
Date:
Server:
Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

3.浏览器正常请求

服务器通过了预检请求,以后每次浏览器正常的CORS请求和服务器的响应,都会有一个Origin、Access头信息字段

PUT /cors HTTP/1.1
Origin: http://www.xxx.com
Host: xxx.xxxx.com
Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

4.服务器响应数据

Access-Control-Allow-Origin: http://www.xxx.com
Content-Type: text/html; charset=utf-8

12:CORS跨域设置-Java Spring相关推荐

  1. 【SpringMVC】与权限拦截器冲突导致的Cors跨域设置失效问题

    问题描述 前端域名FE.com向后端域名BE.com分别请求访问优惠券的列表和提交新增的优惠券,API设计所用的Method分别为Get和Post,结果为前一次访问成功而后一次访问失败.这两次请求都是 ...

  2. filter导致跨域失效_【SpringMVC】与权限拦截器冲突导致的Cors跨域设置失效问题...

    问题描述 前端域名FE.com向后端域名BE.com分别请求访问优惠券的列表和提交新增的优惠券,API设计所用的Method分别为Get和Post,结果为前一次访问成功而后一次访问失败.这两次请求都是 ...

  3. CORS——跨域请求那些事儿

    [本期嘉宾介绍]睿得,具有多年研发.运维.安全等IT相关从业经历.目前从事CDN.存储.视频直播点播的技术支持.喜爱钻研,喜爱编码,喜爱分享. 在日常的项目开发时会不可避免的需要进行跨域操作,而在实际 ...

  4. cors跨域+php配置,CORS跨域详解

    废话少数,直接上代码!!!!!!!!!! html:html> Document var url = "http://japi.juhe.cn/tv/getCategory?key=1 ...

  5. 跨域问题JAVA后台设置cors跨域中关于access-control-allow-headers导致的错误

    cors跨域中关于access-control-allow-headers导致的错 1.详细错误信息是: Access to XMLHttpRequest at '[http://appservice ...

  6. spring MVC cors跨域实现源码解析

    spring MVC cors跨域实现源码解析 名词解释:跨域资源共享(Cross-Origin Resource Sharing) 简单说就是只要协议.IP.http方法任意一个不同就是跨域. sp ...

  7. Spring Boot CORS跨域资源共享实现方案

    同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能 同源策略限制cookie 等信息的跨源网页读取,可以保护本地用户信息 同源策略限制跨域 aja ...

  8. CORS跨域资源共享(二):详解Spring MVC对CORS支持的相关类和API【享学Spring MVC】

    每篇一句 重构一时爽,一直重构一直爽.但出了问题火葬场 前言 上篇文章通过我模拟的跨域请求实例和结果分析,相信小伙伴们都已经80%的掌握了CORS到底是怎么一回事以及如何使用它.由于Java语言中的w ...

  9. 关于 Spring Security OAuth2 中 CORS 跨域问题

    CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing).它允许浏览器向跨源服务器,发出XMLHttpRequest请求 ...

最新文章

  1. JavaScript 全选函数的实现
  2. php global变量无效
  3. “MIDI机器狗”的木马正在疯狂传播
  4. 【学习Python】的网站
  5. 自己动手制作(DIY)一个Mini-Linux系统
  6. boost::multi_array模块实现在矩阵上测试切片
  7. [Xcode 实际操作]七、文件与数据-(17)解析JSON文档
  8. php类中双冒号和-的区别
  9. 惠普电脑怎么截屏_惠普(HP)暗影精灵6游戏台式电脑主机怎么样?配置和使用体验测评-最新资讯...
  10. 《Scikit-Learn与TensorFlow机器学习实用指南》第16章 强化学习
  11. idea开发搭建scala项目流程(二)
  12. 从零基础入门Tensorflow2.0 ----三、10. 近似求导
  13. linux用户开放权限,linux权限设置(开放某个文件夹给指定用户)(示例代码)
  14. Windows Server 2008 R2 小技巧
  15. 一些web缓存相关的概念.cache-control expires no-cache no-store maxage
  16. matlab把图例放在左边,如何将图例放在p之外
  17. 用MUI花两天时间快速开发『One·一个』App,兼容Android、iOS双平台
  18. 《互联网的那些事之时代》第三回:滟滟随波千万里,何处春江无月明
  19. 英语六级-day10
  20. 如何从头开始创建可用于生产环境的Webpack 4配置

热门文章

  1. 线性代数Python计算:消元法与矩阵初等变换
  2. 在Excel中利用宏定义实现MD5加密和批量加密
  3. 计算机网络协议三要素及其定义,网络协议的三要素是什么?各有什么含义?
  4. 三星s8是否支持html,Galaxy S8/S8+,是否可以承载三星的野望?(中)
  5. js @@ 符号含义
  6. 【吴恩达】机器学习作业ex7--(k-means聚类)与(PCA降维)Python
  7. 数据库MySQL常见函数(含分组函数与复杂分组查询)
  8. 【企业分析】搞定设计公司
  9. java jps命令使用解析
  10. 为什么有人专收老旧小区的顶楼?