你不知道的CORS跨域资源共享

了解下同源策略

源（origin）*：就是协议、域名和端口号；
同源：就是源相同，即协议、域名和端口完全相同；
同源策略：同源策略是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源；
同源策略的分类：

1 . DOM 同源策略：即针对于DOM，禁止对不同源页面的DOM进行操作;如不同域名的 iframe 是限制互相访问。

2 . XMLHttpRequest 同源策略：禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。

不受同源策略限制：

1. 页面中的链接，重定向以及表单提交(因为表单提交，数据提交到action域后，本身页面就和其没有关系了，不会管请求结果，后面操作都交给了action里面的域)是不会受到同源策略限制的。

2. 资源的引入不受限制，但是js不能读写加载的内容：如嵌入到页面中的，，，等</p><p><strong>为什么要跨域限制</strong></p> <ul> <li> 如果没有 DOM 同源策略：那么就没有啥xss的研究了，因为你的网站将不是你的网站，而是大家的，谁都可以写个代码操作你的网站界面</li> <li> 如果没有XMLHttpRequest 同源策略，那么就可以很轻易的进行CSRF（跨站请求伪造）：</li> </ul> <p>      1.  用户登录了自己的网站页面 a.com,cookie中添加了用户标识。</p><p>      2.  用户浏览了恶意页面 b.com，执行了页面中的恶意 AJAX 请求代码。</p><p>      3.  b.com 向 a.com发起 AJAX HTTP 请求，请求会默认把 a.com对应cookie也同时发送过去。</p><p>      4.  a.com从发送的 cookie 中提取用户标识，验证用户无误，response 中返回请求数据;数据就泄露了。而且由于Ajax在后台执行，这一过程用户是无法感知的。</p> <ul> <li> （附）有了XMLHttpRequest 同源策略就可以限制CSRF？别忘了还有不受同源策略的：表单提交和资源引入，（安全问题下期在研究）</li> </ul> <p><strong>跨域决解方案</strong></p><p>    1. JSONP 跨域：借鉴于 script 标签不受浏览器同源策略的影响，允许跨域引用资源；因此可以通过动态创建 script 标签，然后利用 src 属性进行跨域；</p><p>        缺点：</p><p>    1.所有网站都可以拿到数据，存在安全性问题，需要网站双方商议基础token的身份验证。</p><p>    2.只能是GET，不能POST。</p><p>    3.可能被注入恶意代码，篡改页面内容，可以采用字符串过滤来规避此问题。</p><p>    2. 服务器代理：浏览器有跨域限制，但是服务器不存在跨域问题，所以可以由服务器请求所要域的资源再返回给客户端。</p><p>    3. document.domain、window.name 、location.hash：借助于iframe决解DOM同源策略</p><p>    4. postMessage：决解DOM同源策略，新方案</p><p>    5. CORS（跨域资源共享）：这里讲的重点</p><p><strong>CORS（跨域资源共享）</strong></p> <ul> <li> HTML5 提供的标准跨域解决方案，是一个由浏览器共同遵循的一套控制策略，通过HTTP的Header来进行交互；主要通过后端来设置CORS配置项</li> </ul> <p><strong>CORS简单使用</strong></p> <ul> <li> 之前说得CORS跨域，嗯嗯，后端设置Access-Control-Allow-Origin：*|[或具体的域名]就好了；</li> <li>初次尝试：</li> </ul> <pre> <ol> <li>app.use(async(ctx,next) => { </li> <li>    ctx.set({ </li> <li>        "Access-Control-Allow-Origin": "http://localhost:8088" </li> <li>})</li> </ol></pre><ul> <li> 发现有些请求可以成功，但是有些还是会报错：</li> </ul> <p> <ul> <li> 请求被同源策略阻止，预请求的响应没有通过检查：http返回的不是ok?</li> <li> 并且发现发送的是OPTIONS请求:</li> </ul> <ul> <li> 发现：CORS规范将请求分为两种类型，一种是简单请求，另外一种是带预检的非简单请求</li> </ul> <p><strong>简单请求和非简单请求</strong></p> <ul> <li> 浏览器发送跨域请求判断方式： <ul> <li>  浏览器在发送跨域请求的时候，会先判断下是简单请求还是非简单请求，如果是简单请求，就先执行服务端程序，然后浏览器才会判断是否跨域；</li> <li>  而对于非简单请求，浏览器会在发送实际请求之前先发送一个OPTIONS的HTTP请求来判断服务器是否能接受该跨域请求；如果不能接受的话，浏览器会直接阻止接下来实际请求的发生。</li> </ul> </li> <li> <strong>什么是简单请求</strong></li> </ul> <p>       1. 请求方法是如下之一：</p><p>          GET</p><p>          HEAD</p><p>          POST</p><p>       2. 所有的Header都只包含如下列表中（没有自定义header）：</p><p>          Cache-Control</p><p>          Content-Language</p><p>          Content-Type</p><p>          Expires</p><p>          Last-Modified</p><p>          Pragma</p> <ul> <li> 除此之外都是非简单请求</li> </ul> <p><strong>CORS非简单请求配置须知</strong></p> <ul> <li> 正如上图报错显示，对于非简单请求，浏览器会先发送options预检，预检通过后才会发送真是的请求；</li> <li> 发送options预检请求将关于接下来的真实请求的信息给服务器：</li> </ul> <pre> <ol> <li>Origin：请求的源域信息 </li> <li>Access-Control-Request-Method：接下来的请求类型，如POST、GET等 </li> <li>Access-Control-Request-Headers：接下来的请求中包含的用户显式设置的Header列表</li> </ol></pre><ul> <li> 服务器端收到请求之后，会根据附带的信息来判断是否允许该跨域请求，通过Header返回信息：</li> </ul> <pre> <ol> <li>Access-Control-Allow-Origin：允许跨域的Origin列表 </li> <li>Access-Control-Allow-Methods：允许跨域的方法列表 </li> <li>Access-Control-Allow-Headers：允许跨域的Header列表,防止遗漏Header，因此建议没有特殊需求的情况下设置为* </li> <li>Access-Control-Expose-Headers：允许暴露给JavaScript代码的Header列表 </li> <li>Access-Control-Max-Age：浏览器预检请求缓存时间，单位为s</li> </ol></pre><p><strong>CORS完整配置</strong></p><p>   1. koa配置CORS跨域资源共享中间件：</p><pre> <ol> <li>const cors = (origin) => { </li> <li>    return async (ctx, next) => { </li> <li>        ctx.set({ </li> <li>            "Access-Control-Allow-Origin": origin, //允许的源 </li> <li>        }) </li> <li>        // 预检请求 </li> <li>        if (ctx.request.method == "OPTIONS") { </li> <li>            ctx.set({ </li> <li>                'Access-Control-Allow-Methods': 'OPTIONS,HEAD,DELETE,GET,PUT,POST', //支持跨域的方法 </li> <li>                'Access-Control-Allow-Headers': '*', //允许的头 </li> <li>                'Access-Control-Max-Age':10000, // 预检请求缓存时间 </li> <li>                // 如果服务器设置Access-Control-Allow-Credentials为true，那么就不能再设置Access-Control-Allow-Origin为*,必须用具体的域名 </li> <li>                'Access-Control-Allow-Credentials':true // 跨域请求携带身份信息(Credential，例如Cookie或者HTTP认证信息) </li> <li>            }); </li> <li>            ctx.send(null, '预检请求') </li> <li>        } else { </li> <li>            // 真实请求 </li> <li>            await next() </li> <li>        } </li> <li>    } </li> <li>} </li> <li>export default cors</li> </ol></pre><ul> <li> 现在不管是简单请求还是非简单请求都可以跨域访问啦～</li> </ul> <p><strong>跨域时如何处理cookie</strong></p> <ul> <li> cookie：</li> </ul> <p>        我们知道http时无状态的，所以在维持用户状态时，我们一般会使用cookie；</p><p>        cookie每次同源请求都会携带；但是跨域时cookie是不会进行携带发送的；</p> <ul> <li> 问题：</li> </ul> <p>        由于cookie对于不同源是不能进行操作的；这就导致，服务器无法进行cookie设置，浏览器也没法携带给服务器（场景：用户登录进行登录操作后，发现响应中有set-cookie但是，浏览器cookie并没有相应的cookie）</p> <ul> <li> 决解：</li> </ul> <p>        浏览器请求设置withCredentials为true即可让该跨域请求携带 Cookie；使用axios配置axios.defaults.withCredentials = true</p><p>        服务器设置Access-Control-Allow-Credentials=true允许跨域请求携带 Cookie</p> <p> 新闻标题：<a href="http://www.csdahua.cn/qtweb/news4/456904.html">你不知道的CORS跨域资源共享</a> <br> 本文路径：<a href="http://www.csdahua.cn/qtweb/news4/456904.html">http://www.csdahua.cn/qtweb/news4/456904.html</a> </p> <p> 网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等 </p> <p class="adpic"> <a href="https://www.cdcxhl.com/service/ad.html" target="_blank" class="ad">广告</a> <a href="" target="_blank" class="adimg"><img src=""></a> </p> <p class="copy"> 声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： <a href="http://www.csdahua.cn/" target="_blank">快上网</a> </p> </div> <div class="newsmorelb"> <p>成都快上网为您推荐相关内容</p> <ul> <li> <a href="/qtweb/news3/456903.html">老毛桃pe一键装机装windows10错误？windowspe老毛桃</a> </li><li> <a href="/qtweb/news2/456902.html">如何设置域名隐私保护？(域名怎么开启隐私保护功能)</a> </li><li> <a href="/qtweb/news1/456901.html">Redis存储的浮点型数据及应用（redis浮点型数据）</a> </li><li> <a href="/qtweb/news0/456900.html">口头测数据库完整性，一步防止数据丢失(oral测数据库完整性)</a> </li><li> <a href="/qtweb/news49/456899.html">长相思大结局点映礼什么时候能看？</a> </li><li> <a href="/qtweb/news48/456898.html">开发人员应该熟悉的五个概念</a> </li><li> <a href="/qtweb/news47/456897.html">购买虚拟主机时需要注意哪些点</a> </li><li> <a href="/qtweb/news46/456896.html">深入研究Redis一篇毕业设计（关于redis的毕业设计）</a> </li><li> <a href="/qtweb/news45/456895.html">.schule域名是什么？</a> </li> </ul> </div> </div> <div class="col-lg-3 noneb"> <div class="bkright" style="margin-top: 0"> <p><a href="https://www.cdcxhl.com/news//">解决方案知识</a></p> <ul> <li> <a class="text_overflow" href="/qtweb/news23/95523.html">哪里有不实名的域名（哪里有不实名的域名软件）</a> </li><li> <a class="text_overflow" href="/qtweb/news31/406431.html">html如何访问本地文件</a> </li><li> <a class="text_overflow" href="/qtweb/news14/277314.html">服务器与电脑有什么区别？一般的电脑可以做服务器吗？普通电脑服务器吗</a> </li><li> <a class="text_overflow" href="/qtweb/news40/56890.html">matex5怎么测网速？云服务器怎么测试带宽</a> </li><li> <a class="text_overflow" href="/qtweb/news37/306087.html">填报入驻保证金多少</a> </li><li> <a class="text_overflow" href="/qtweb/news11/268711.html">Apache安全策略：使用mod_headers实施内容安全策略</a> </li><li> <a class="text_overflow" href="/qtweb/news7/310157.html">款你必须了解的云服务产品！(云服务器18)</a> </li><li> <a class="text_overflow" href="/qtweb/news20/338170.html">Flex与Web应用的发展</a> </li><li> <a class="text_overflow" href="/qtweb/news35/210785.html">正版windows10家庭版激活?（windows10家庭版激活码)</a> </li><li> <a class="text_overflow" href="/qtweb/news16/124766.html">美国洛杉矶云服务器租用</a> </li><li> <a class="text_overflow" href="/qtweb/news18/86418.html">Linux服务器崩溃：从危机中找出救赎（linux服务器宕机）</a> </li><li> <a class="text_overflow" href="/qtweb/news9/154809.html">数据库概念设计：重要内容简析 (数据库概念设计的内容)</a> </li><li> <a class="text_overflow" href="/qtweb/news3/374203.html">百度不收录怎么办,小红书没有被收录怎么办,谁能解决小红书不收录问题</a> </li><li> <a class="text_overflow" href="/qtweb/news21/517371.html">D-Link路由器居然能够轻松被搞定!</a> </li><li> <a class="text_overflow" href="/qtweb/news30/452480.html">azurecertification</a> </li> </ul> </div> <div class="bkright tag"> <p><a href="https://www.cdcxhl.com/hangye/link.html" target="_blank">各行业网站</a></p> <ul> <li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/qzgqb/" target="_blank">轻质隔墙板</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/chunshuiji/" target="_blank">纯水机</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/lajitong/" target="_blank">垃圾桶</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/bdfhw/" target="_blank">被动防护网</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/weilanhulan/" target="_blank">围栏护栏</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/hgdsj/" target="_blank">火锅店设计</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/gangting/" target="_blank">岗亭</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/zhendongpan/" target="_blank">振动盘</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/gsdb/" target="_blank">工商代办</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/iso/" target="_blank">iso认证</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/xiangsu/" target="_blank">橡塑保温</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/fadianjihs/" target="_blank">发电机回收</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/opp/" target="_blank">OPP胶袋</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/sqwhq/" target="_blank">社区文化墙</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/fwjd/" target="_blank">房屋鉴定</a> </li><li class="col-lg-6 col-md-6 col-sm-6 col-xs-6"> <a href="https://www.cdcxhl.com/hangye/sljbc/" target="_blank">生料搅拌车</a> </li> </ul> </div> </div> </div> <div class="carousel-inner linkbg" style="background: #fff"> <div class="container"> <a href="http://www.tjxishu.com/" target="_blank">成都柴油发电机租用</a>　　　<a href="http://m.cdxwcx.com/tuoguan.html" target="_blank">电信服务器托管</a>　　　<a href="http://chengdu.cdcxhl.cn/shop/" target="_blank">成都商城app开发</a>　　　<a href="http://chengdu.cdcxhl.cn/weihu/ " target="_blank">成都网站维护</a>　　　<a href="https://www.cdxwcx.com/tuiguang/ruanwen.html" target="_blank">软文营销</a>　　　<a href="http://www.cqcxhl.com/service/" target="_blank">品牌网站建设</a>　　　<a href="http://www.cdxswst.cn/" target="_blank">成都柴油发电机组</a>　　　<a href="http://www.kfnxs.cn/" target="_blank">东方电机技改</a>　　　<a href="https://www.cdcxhl.cn/ " target="_blank">香港服务器空间</a>　　　<a href="http://www.cdkjz.cn/fangan/jianshe/" target="_blank">网站建设报价方案</a>　　　<a href="http://seo.cdkjz.cn/tuiguang/" target="_blank">成都网络推广公司</a>　　　<a href="http://www.scyanting.com/" target="_blank">盐亭网站设计</a>　　　<a href="https://www.cdxwcx.com/wangzhan/app.html" target="_blank">App开发</a>　　　<a href="http://www.pcwzsj.com/" target="_blank">平昌做网站</a>　　　<a href="http://www.xhgfhy.com/ " target="_blank">成都雨棚定制</a>　　　<a href="https://www.cdxwcx.com/tuiguang/zhenghe.html" target="_blank">全网营销</a>　　　<a href="http://www.scxinheng.cn/" target="_blank">信衡房屋鉴定</a>　　　<a href="http://www.cdhuace.com/huace.html" target="_blank">成都画册设计公司</a>　　　<a href="https://www.cdcxhl.com/weihu/safeguard/" target="_blank">网站维护报价</a>　　　<a href="https://www.cdxwcx.com/wangzhan/dingzhi.html" target="_blank">定制网站建设</a>　　　 </div> </div> <footer> <div class="carousel-inner footjz"> <div class="container"> <i class="icon iconfont zbw"></i> 高品质定制 <i class="icon iconfont"></i> 跨终端自动兼容 <i class="icon iconfont"></i> 节约开发成本 <i class="icon iconfont"></i> 开发周期短 <i class="icon iconfont"></i> 一体化服务 <button type="button" class="btn btn-default btn-lg" onClick="window.location.href='tencent://message/?uin=631063699&Site=&Menu=yes'"> 立即开始2800定制网站建设</button> <button type="button" class="btn btn-default btn-xs" onClick="window.location.href='tencent://message/?uin=631063699&Site=&Menu=yes'"> 2800定制网站建设</button> </div> </div> <div class="carousel-inner bqsy"> <div class="container"> <div class="lxfs"> <h4 class="yutelnone">028-86922220 13518219792</h4> <h4 class="yutelblock"><a href="tel:02886922220">028-86922220</a> <a href="tel:13518219792">13518219792</a></h4> <a class="btn btn-default" href="tencent://message/?uin=532337155&Site=&Menu=yes" role="button">网站建设<span>QQ</span>：532337155</a> <a class="btn btn-default" href="tencent://message/?uin=631063699&Site=&Menu=yes" role="button">营销推广<span>QQ</span>：631063699</a> <a class="btn btn1 btn-default" href="mqqwpa://im/chat?chat_type=wpa&uin=532337155&version=1&src_type=web&web_src=oicqzone.com" role="button">网站制作<span>QQ</span>：532337155</a> <a class="btn btn1 btn-default" href="mqqwpa://im/chat?chat_type=wpa&uin=631063699&version=1&src_type=web&web_src=oicqzone.com" role="button">营销推广<span>QQ</span>：631063699</a> <a class="btn btn-default nonea" href="tencent://message/?uin=1683211881&Site=&Menu=yes" role="button">售后QQ：1683211881</a> <div class="dz">成都快上网专注： <a href="http://www.csdahua.cn/" target="_blank">网站优化</a> <a href="http://www.csdahua.cn/" target="_blank">网络推广</a> <a href="http://www.csdahua.cn/" target="_blank">网站建设</a> <address>地址：成都太升南路288号锦天国际A幢10楼</address> </div> </div> <div class="bzdh dz"><img src="https://www.cdcxhl.com/imges/bottom_logo.png" alt="创新互联"> <p><a href="https://www.cdcxhl.com/menu.html" target="_blank">成都创新互联科技有限公司</a><br> Tel：028-86922220（7x24h）</p></div> </div> </div> </footer> </body> </html> <script> $.getJSON ("../../qtwebpic.txt", function (data) { var jsonContent = { "featured":data } var random = jsonContent.featured[Math.floor(Math.random() * jsonContent.featured.length)]; $(".adpic .adimg").attr("href",random.link) $(".adpic img").attr("src",random.pic); }) </script>