如何理解CROS

原创 已于 2022-07-11 14:45:29 修改 · 5k 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #mybatis #spring boot
于 2022-07-09 16:24:20 首次发布
本文详细介绍了CORS(跨域资源共享)的概念,它是浏览器为提高安全性实施的一种机制。CORS通过预检请求(Preflight)来确认前端跨域请求是否被后端允许。在前后端分离的应用中,当前端和后端运行在不同端口时,会出现跨域问题。解决办法是后端设置允许的来访域,如在Spring Boot中配置CORS过滤器。浏览器根据Access-Control-Allow-Origin响应头判断是否允许跨域。总结了CORS的流程和作用。

文章目录

前言

一、CROS是什么?

  1. cross-origin resource sharing,跨域资源共享。一般是在当前页面通过ajax访问了别的应用的页面或者前后端分离应用。
  2. cros是一种安全机制,且是在浏览器中实现的。通过request的header控制。

二、如何实现

还沿用当初自己对这块的几个疑问,回答疑问的过程,也是梳理的过程。

1.前后端分离应用产生cros问题的原因?

&:前后端分离的应用,前端、后端是2个独立的应用,运行在不同端口。在浏览器看来,是不同的域。前端页面中的ajax请求后端接口,即是跨域访问了,触发cros。

如下截图:浏览器中跨域访问的提示。
在这里插入图片描述因为跨域、且不再允许的来访域,第2次的真实的请求直接没有发送。

2.前后端分离应用如何解决cros问题?

&:有多种方法,其中1个是在后端应用设置允许放入的来访域请求。
对应的后端也支持了preflight(option)请求。
springboot有现成方法。eg:

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @author: Eli Shaw
 * @Date: 2019-05-29 11:18:43
 * @Description: CORS 配置允许前端跨域访问
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 1
        corsConfiguration.addAllowedHeader("*"); // 2
        corsConfiguration.addAllowedMethod("*"); // 3
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig()); // 4
        return new CorsFilter(source);
    }
}

3.浏览器是如何控制cros的?

&:浏览器对跨域请求,发出preflight;得到后端响应,看响应header中允许的来访域是否包含本域。Access-Control-Allow-Origin: *。
注意观察:预检的方式是option。这也解释了为什么开发调试时,点1次按钮,总是有2个请求发出。实际第1个是preflight,通过会第2个才是真实的请求。
如下图:

  1. 先预检,只发送request header,并得到response header,得知允许的来访域是*。
  2. 然后就发送真实的post请求了。
    在这里插入图片描述
    浏览器每次都preflight吗?不影响效率?怎么验证?

4.预检preflight是怎么触发的?怎么做的?

&:preflight是浏览器自动控制的,不需要用户或程序员控制,对用户无感。
当浏览预判可能危害服务器安全时,且满足对应条件,则发出preflight。

也所以说是浏览器中的控制。
在这里插入图片描述

总结

CROS流程图
在这里插入图片描述
至此,CROS总结:

  1. 是一种安全机制,限制了跨域访问,一定程度提高安全性;
  2. 是浏览器控制的,同时受后端允许来访域的影响;对用户无感。
  3. 基于http协议,预检option类型,然后真实的post。
【node.js从入门到精通】编写接口,使用CROS解决跨域问题,jsonp的接口
zhaochen1127的博客
10-21 1277
接口是后端设计的一套供给第三方使用的方法。(第三方指前端/后端)接口通过网络协议来调用,最常用的协议是HTTP协议。在定义一个接口时,会写好接口路径和接口方法名的映射,然后前端通过接口路径来调用方法,接下来就看看什么是接口
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 3083
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
CORS 跨域解决方案
running_pork的博客
01-04 2241
复杂请求则需要2次,先发起options请求,确认目标资源是否支持跨域,浏览器会根据服务端响应的header自动处理剩余的请求,如果响应支持跨域,则继续发出正常请求;简单跨域请求只需要请求一次,复杂跨域请求需要请求2次,第一次是预检请求(options请求),第二次是真是的跨域请求。所以,当触发预检时,跨域请求便会发送2次请求,增加请求次数,同时,也延迟了请求真正发起的时间,会严重地影响性能。crossDomain: true //// 会让请求头中包含跨域的额外信息,但不会含cookie。
CORS(跨原产资源共享)靶场1
最新发布
不是立达刘宁宇
04-27 406
跨域”是前端开发中一个非常核心的概念,它源于浏览器的一项基本安全机制——同源策略(Same-Origin Policy, SOP)。只有当两个页面的协议、域名、端口这三者完全一致时,才被认为是“同源”。对比项协议域名端口同源要求必须相同必须相同必须相同只要有任何一项不同,就会被浏览器判定为“跨域”,并阻止脚本读取对方的数据(如AJAX请求的响应、Cookie等)。您提到的“跨原产资源共享”,在专业术语中被称为跨域资源共享(Cross-Origin Resource Sharing, CORS)
springboot之跨域访问cros,@CrossOrigin注解
热门推荐
YMYYZ的博客
01-09 1万+
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
如何解决CORS跨域问题
superioc的博客
03-30 1901
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 762
03Web服务器基础-19. HTTP协议请求部分详解
理解并解决【跨域】问题--通过代理或【CROS
dfghjkkjjj的博客
03-10 1979
是一个位于客户端和目标服务器之间的服务器(代理服务器),为了从目标服务器取得内容,客户端向代理服务器发送一个请求并指定目标,然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。,端口不同)的服务器,只需要请求相同的源的服务器就可以解决这个问题,这就用到了代理,所有请求都请求相同的。,对于部分请求(主要是获取静态资源的,不涉及跨域问题)直接返回对应资源,对于涉及跨域的请求,让。既然跨域浏览器不允许,那就直接告诉浏览器允许跨域----后端接口允许跨域,也可以解决跨域问题。这样解决了跨域问题问题。
chromeos cros_sdk
easy
09-06 341
查看python脚本:/home/jagger/crystaldrift/chromite/scripts/cros_sdk.py。编译环境:ChromeBook AMD crystaldrift项目。之后进入inside。
Fastify系列-手把手教你理解并使用cros,helmet,Csurf/CSRF
tangdou369098655的博客
09-14 602
一些著名的对Web攻击有XSS跨站脚本, 脚本注入 clickjacking 以及各种非安全的请求等对Node.js的Web应用构成各种威胁,使用Helmet能帮助你的应用避免这些攻击。Helmet是一系列帮助增强Node.JS之Express/Connect等Javascript Web应用安全的中间件。contentSecurityPolicy是设置Content Security Policy,防止XSS攻击。ieNoOpen设置IE8+的 sets X-Download-Options。
AJAX-跨域请求
weixin_34220179的博客
06-18 513
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
#渗透测试#网络安全# 一文了解什么是跨域CROS!!!
soc的博客
01-10 1272
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种用于在浏览器中处理跨域资源访问的机制。当一个网页尝试从一个源请求获取资源,而该资源的服务器与网页所在的源不同时,就会涉及到跨域请求。CORS通过在HTTP请求头中添加一些特定的字段信息来进行通信,以告知服务器是否支持跨域请求,从而使得网页能够在受限的情况下安全地进行跨域资源访问。CORS是一种用于在浏览器中处理跨域资源访问的机制,它通过在HTTP请求头中添加一些特定的字段信息来进行通信,以告知服务器是否支持跨域请求。
CROS 跨域请求原理
qq_36416878的博客
10-13 7164
cros 分为两种请求 简单请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(预检请求)(not-so-simple request)。 只要同时满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP请求头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值applicat
通过服务器配置cros来解决跨域问题
qq_35693377的博客
03-16 1547
跨域问题是指浏览器执行的 JavaScript 代码试图通过 XMLHttpRequest 或 Fetch API 等方式向不同域(协议、主机、端口)的服务器发起请求时所遇到的限制。在服务器之间通信的情况下,由于没有浏览器的参与,跨域问题并不会存在。服务器可以自由地与其他服务器进行通信,无需考虑同源策略的限制。
解决跨域——CROS
x1037490413的博客
07-06 852
server.js const { request } = require('express'); const express=require('express'); const app=express(); app.all('/cros-server',(request,response)=>{ //设置响应头才能跨域 响应头有很多个,可以根据需求选择 *是通配 所有网页都可用 response.setHeader("Access-Control-Allow-Origin", "*");
解决跨域CROS的三种方案
seeing97的博客
01-17 687
解决跨域报错CROS的三种方案
什么是csrf、cors?有啥区别?
m0_73302761的博客
07-21 1844
本文参考 原文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
cors深度解析
weixin_43623017的博客
03-01 1583
什么是cors? cors,中文是跨域资源共享,是http头的协议机制,用来解决浏览器跨域问题。 什么是跨域? 老生常谈的问题,不过多赘述了,需要注意的一个点是在跨域的情况下,请求是可以被发送到服务端的,并不是没有发出去,而且服务端也是可以接受到请求头或者请求体,正常处理这个请求,只是前端拿不到response,不要误以为是前端请求没有发出去,这点也经常被用来做csrf攻击。 cors涉及相关的请求响应头都有哪些?分别是什么? 请求头 描述 Origin 网站请求的URL,无论跨域总默认被发
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值