跨源资源共享(CORS)

  • 开发
  • 44

跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

跨源 HTTP 请求的一个例子:运行在 https://domain-a.com 的 JavaScript 代码使用 XMLHttpRequest 来发起一个到 https://domain-b.com/data.json 的请求。

出于安全性,浏览器限制脚本内发起的跨源 HTTP 请求。例如,XMLHttpRequest 和 Fetch API 遵循同源策略。这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源,除非响应报文包含了正确 CORS 响应头。

CORS 机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequest 或 Fetch)使用 CORS,以降低跨源 HTTP 请求所带来的风险。

什么情况下需要 CORS?

这份跨源共享标准允许在下列场景中使用跨站点 HTTP 请求:

本文概述了跨源资源共享机制及其所涉及的 HTTP 标头。

功能概述

跨源资源共享标准新增了一组 HTTP 标头字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(例如 Cookie 和 HTTP 认证相关数据)。

CORS 请求失败会产生错误,但是为了安全,在 JavaScript 代码层面无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。

接下来的内容将讨论相关场景,并剖析该机制所涉及的 HTTP 标头字段。

若干访问控制场景

这里,我们使用三个场景来解释跨源资源共享机制的工作原理。这些例子都使用在任意所支持的浏览器上都可以发出跨域请求的 XMLHttpRequest 对象。

简单请求

某些请求不会触发 CORS 预检请求。在废弃的 CORS 规范中称这样的请求为简单请求,但是目前的 Fetch 规范(CORS 的现行定义规范)中不再使用这个词语。

其动机是,HTML 4.0 中的 <form> 元素(早于跨站 XMLHttpRequest 和 fetch)可以向任何来源提交简单请求,所以任何编写服务器的人一定已经在保护跨站请求伪造攻击(CSRF)。在这个假设下,服务器不必选择加入(通过响应预检请求)来接收任何看起来像表单提交的请求,因为 CSRF 的威胁并不比表单提交的威胁差。然而,服务器仍然必须提供 Access-Control-Allow-Origin 的选择,以便与脚本共享响应。

若请求满足所有下述条件,则该请求可视为简单请求

比如说,假如站点 https://foo.example 的网页应用想要访问 https://bar.other 的资源。foo.example 的网页中可能包含类似于下面的 JavaScript 代码:

const xhr = new XMLHttpRequest();
const url = "https://bar.other/resources/public-data/";

xhr.open("GET", url);
xhr.onreadystatechange = someHandler;
xhr.send();

阅读全部

相关推荐

  4. 资源共享CORS)问题与解决方案

    2024-03-24 09:36:01       28 阅读

  5. 从零手写实现 nginx-19-HTTP CORS(Cross-Origin Resource Sharing,资源共享)介绍+解决方案

    2024-03-24 09:36:01       32 阅读

  6. 什么是浏览器的同源策略(Same-Origin Policy),以及如何通过CORS资源共享)解决域访问的问题

    2024-03-24 09:36:01       43 阅读

  8. 怎样为Django的server配置资源共享CORS

    2024-03-24 09:36:01       34 阅读

  10. 华为云APIG资源共享方案

    2024-03-24 09:36:01       26 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-03-24 09:36:01       98 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-03-24 09:36:01       106 阅读

  9. 在Django里面运行非项目文件

    2024-03-24 09:36:01       87 阅读

  19. Python语言-面向对象

    2024-03-24 09:36:01       96 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-03-24 09:36:01       91 阅读

热门阅读

  1. 【分布式websocket】netty异步鉴权,AsyncHttpClient异步,以及为什么不能使用openfeign去调用http接口

    2024-03-24 09:36:01       36 阅读

  6. Ubuntu添加硬盘

    2024-03-24 09:36:01       41 阅读

  12. 子类中的方法去调用父类中的方法有几种形式?原生django如何向响应头写入数据

    2024-03-24 09:36:01       33 阅读

  15. SQL Server 的日志文件占满硬盘时处理方法

    2024-03-24 09:36:01       34 阅读

  19. 收集R包的系统依赖项——服务器安装R包 # 持续更新

    2024-03-24 09:36:01       32 阅读

  24. 生物信息学中的大模型应用:从基因组学到药物设计

    2024-03-24 09:36:01       51 阅读

  27. 路径优化算法 | 基于视觉 SLAM 算法的粒子群优化无人机路径规划附matlab

    2024-03-24 09:36:01       44 阅读

  28. 微服务架构服务拆分原则

    2024-03-24 09:36:01       43 阅读

  30. 与epoll媲美的io_uring

    2024-03-24 09:36:01       34 阅读