跨域及方案

原创 已于 2025-06-24 11:28:44 修改 · 230 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#CORS #HTTP
于 2025-05-21 15:54:45 首次发布

CORS : 是浏览器的安全策略.  不是HTTP的.   软件行为可以关掉. 或者搞个插件, 弄个代理转发.

Chrome:启动时添加参数--disable-web-security --user-data-dir=/tmp/chrome-dev
Firefox:通过about:config修改security.fileuri.strict_origin_policy为false

正经点的方法就是 服务器给配个header头 

Access-Control-Allow-Origin: *(允许所有来源)或指定具体域名。
Access-Control-Allow-Methods: GET, POST, PUT, DELETE(允许的HTTP方法)。
Access-Control-Allow-Headers: Content-Type, Authorization(允许的请求头)。
Access-Control-Allow-Credentials: True  是否允许发送凭据(如Cookies、HTTP认证)。如果设置为 true,则 Access-Control-Allow-Origin 不能为 *,必须指定具体域名。
Access-Control-Max-Age: 指定预检请求(OPTIONS)的缓存时间(秒)。浏览器会缓存预检请求的结果,减少重复请求
Access-Control-Expose-Headers: 指定响应头可以被前端代码访问。默认情况下,浏览器只能访问简单的响应头(如Content-Type)

为啥要服务器配头? 

CORS 实际上报文已经发出去了,服务器接受正常返回的情况下, 被浏览器检查拦截了. 

拦截的策略是什么?

域名不同, 含子域名;  端口不同; 协议不同;

有没有别的办法? 

JSONP,  只支持GET, 就是script 标签的src 属性, 请求时 加上callback=xx 字段,返回数据callback({xx})

websocket , 协议不限制同源, 但是浏览器实现要求同源。

受跨域影响的标签 script  img link iframe form ; script 可以加载跨域的脚本,但是js动态创建的标签 只能用get 请求获取jsonp 形式数据; img 加载的跨域图片无法使用js获取像素数据;link加载的css文件无法通过js修改css内容,iframe 跨域嵌入的网页无法直接交互;form提交的数据无法用js获取返回值。 

以及解决方案
snow
01-08 939
但是这样一来,浏览器和Node代理服务器会存在的问题,这个时候,我们通常的做法是将Node代理服务器和我们的静态资源部署在同一服务器下就不会产生的问题。其实在我们进行webpack配置是,它的本质也是在webpack-server的服务器中配置了代理,在我们进行了配置之后,webpack会开启一个node代理服务器,并使用http-proxy-middleware插件,将请求转发到真实请求的服务器中,node开启代理服务器具体的做法我会在下面讲到。
华为HCIE MPLS三种方案实验
m0_74169440的博客
07-05 1179
华为HCIE MPLS三种方案实验
深入解析 Nginx 解决方案
一碗黄焖鸡三碗米饭的博客
03-17 2902
在浏览器中,同源策略(Same-Origin Policy)是限制不同源之间交互的安全机制。具体而言,同源策略要求协议、名和端口必须相同才能允许两个网站之间的直接交互。就是指当前请求的源(包括协议、名、端口)与目标服务器的源不相同,浏览器会阻止这种请求,以避免潜在的安全风险。当前前端应用部署在,而后端接口在,这两个名被认为是不同源,浏览器会阻止前端直接发起请求。
解决问题的这6种方案,真香!
03-01 3273
我后端接口明明通了,Postman也能调,为啥浏览器就报红字?其实这事儿得怪浏览器的“同源策略”简单说,浏览器觉得“不同源的请求都是耍流氓”。比如你的前端跑在http://localhost:8080。而后端在https://api.xxx.com:8000。只要协议名端口任何一个不同,就会被浏览器直接掐断。// 前端代码(http://localhost:8080)// 浏览器控制台报错:这时候,你就需要“解决方案”来帮浏览器松绑了!那么,如何解决问题呢?简单粗暴。
js的解决方案
热门推荐
muzidigbig的博客
05-15 1万+
指的是浏览器不能执行其他网站的脚本,简单来说是浏览器同源政策的限制,浏览器针对于的限制。两个页面拥有相同的协议,端口,名就是同源,如果有一个不相同就是不同源。保护用户,防止一些网站盗取用户信息。 1、通过jsonp 2、资源共享(CORS) 3、document.domain + iframe 4、location.hash + iframe 5、window.name + iframe 6、postMessage 7、nginx代理 8、nodejs中间件代理(非vue、v
什么是问题以及其解决方案
dd的博客
04-15 855
在前端领中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。
渗透CORS漏洞修复方案
qq_52231508的博客
10-24 4457
线上系统在等保测评的时候被扫出来了CORS问题,但是根据网上大多数人用的方法之后,发现,还是能被扫出来问题,被这个问题困扰了很久,才找到了问题的解决方案,亲测有效!!!
什么是以及为什么会出现以及的解决方案
mischen520的博客
07-02 1万+
1.什么是:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生举例: 2.为什么会出现? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、名、端口组成的(协议,浏览器自动填充;名的端口默认为80,所以通常这两项不用输入)。而就是说去访问的网站信息中的协议、名、端口号这三者之中任意一个与当前页面的UR
前端解决方案
最新发布
dd的博客
08-29 847
方式优点缺点适用场景CORS标准、安全、功能强大需要服务器端配合修改主流方案,前后端分离的 Web 应用JSONP兼容老浏览器只支持 GET,不安全,是 Hack兼容性要求极高的老项目反向代理前端可自行配置,无感解决需要部署代理服务器开发调试前后端分离部署WebSocket双向通信,不受限并非为普通 HTTP API 设计实时双向通信应用最佳实践建议:首选 CORS:如果你的项目是全新的,或者可以控制后端服务器,直接使用 CORS 是最标准、最正确的做法。开发阶段用反向代理。
安全方案
chjunjun的博客
12-25 613
由于浏览器同源策略使得不同源、不同名、不同端口的Cookie无法读取、DOM和JS对象无法获取、AJAX不能发送,所以在写日常业务时常需要 一、jsonp(只能GET请求) 常见安全问题 1.JSON劫持,由于未校验referer来源,导致攻击者可以构造恶意页面诱导受害者访问接口,劫持敏感信息,从而导致csrf漏洞 2.callback自定义导致xss漏洞,由于未对JSON...
解决实现方案
m0_72030584的博客
04-28 859
解决实现方案
到底什么是,如何解决(常见的几种解决方案)?
u011047968的专栏
03-13 1万+
协议:http://子名:www子名:a.com端口号:8080请求资源地址:scripts/jquery.js根本原因是由同源策略引起的。所谓同源是指名,协议,端口相同,当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,在请求数据的时候浏览器会在控制台报一个异常,提示拒绝访问。注意:限制访问,其实是浏览器的限制。理解这一点很重要!!!访问的例子:请求了,那么请求到底发出去没有?
问题及解决方案
m0_73419365的博客
07-18 1360
问题是前端开发中常见的技术难题,主要源于浏览器的同源策略限制,不允许不同源之间的资源访问,以保障用户信息安全。本文首先介绍了的定义及其产生原因,深入剖析了同源策略的工作机制及其重要性。随后,通过具体示例总结了常见的场景,如前后端分离架构、iframe 嵌套、资源调用等。最后,系统梳理了多种主流的解决方案,包括 CORS、JSONP、代理服务器、postMessage、nginx 配置等,分别解析其原理、使用方法及适用场景,旨在帮助开发者全面理解和有效应对问题,提升 Web 应用的稳定
解决方案详解
曹定栓的博客
12-13 1201
我们通常所说的是由浏览器同源策略限制的一类请求场景。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。 同源是指 “协议+名(子名+主名)+端口” 三者相同,即便两个不同的名指向同一个ip地址,也非同源。不同之间相互请求资源,都算作
什么是“”及解决方案
2501_92234528的博客
06-05 644
是指从一个名的网页去请求另一个名的资源。比如,从www.a.com名的网页去请求www.b.com名的资源,只要协议、名、端口有任何一个不同,都被当作是不同的问题通常由浏览器的同源策略引起的。同源策略就是浏览器出于安全考虑而制定的,例如数据安全,服务器安全,减少 xss(站脚本攻击),CSRF(站请求伪造) 等攻击。所谓同源,就是协议,名,端口号都相同才能请求数据。如果是非同源请求发送后,浏览器会拦截响应。
Spring Cloud配置访问的五种方案
MrLee的博客
06-24 6992
在使用SpringCloud实现微服务时,经常会碰到前端页面访问多个二级名的情况,是首先要解决的问题。 解决这个问题,可以从两方面入手,一种方案是在微服务各自的业务模块中实现,即在SpringBoot层实现,另外一种方案就是在Gateway层实现。 首先讲一下在SpringBoot层实现的三种方案。 一,在Controller上添加@CrossOrigin注解 这种方式适合只有一两个rest接口需要或者没有网关的情况下,这种处理方式就非常简单,适合在原来基代码基础上修改,影响比较小。
SpringBoot 解决问题的 5 种方案
qq_39093474的博客
08-16 9538
问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决问题,只需要告诉浏览器“我是自己人,不要拦我”就行。通过注解实现局部、通过配置文件实现全局、通过 CorsFilter 对象实现全局、通过 Response 对象实现局部,通过 ResponseBodyAdvice 实现全局
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值