2. 程式人生 > >cors實現請求跨域請求

cors實現請求跨域請求

阿新 發佈:2018-12-09

簡介

CORS:全稱"跨域資源共享"(Cross-origin resource sharing)。

CORS需要瀏覽器和伺服器同時支援,才可以實現跨域請求,目前幾乎所有瀏覽器都支援CORS,IE則不能低於IE10。CORS的整個過程都由瀏覽器自動完成,前端無需做任何設定,跟平時傳送ajax請求並無差異。so,實現CORS的關鍵在於伺服器,只要伺服器實現CORS介面,就可以實現跨域通訊。

請求型別:

CORS分為簡單請求和非簡單請求(需預檢請求)兩類

符合以下條件的,為簡單請求

請求方式使用下列方法之一:
GET
HEAD
POST

Content-Type 的值僅限於下列三者之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded

對於簡單請求,瀏覽器會直接傳送CORS請求,具體說來就是在header中加入origin請求頭欄位。同樣,在響應頭中,返回伺服器設定的相關CORS頭部欄位,Access-Control-Allow-Origin欄位為允許跨域請求的源。請求時瀏覽器在請求頭的Origin中說明請求的源,伺服器收到後發現允許該源跨域請求,則會成功返回,具體如下:

在這裡,http://localhost:3001為我們當前傳送請求的源,如果伺服器發現請求在指定的源範圍內,則會返回響應的請求結果, 否則會在控制檯報錯,如下圖所示,在這裡需要注意的是,儘管請求失敗,但返回的狀態碼依然可能為200。所以在做處理時需要格外注意。

非簡單請求(預檢請求)

使用了下面任一 HTTP 方法:
PUT
DELETE
CONNECT
OPTIONS
TRACE
PATCH

Content-Type 的值不屬於下列之一:
application/x-www-form-urlencoded
multipart/form-data
text/plain

當發生符合非簡單請求(預檢請求)的條件時,瀏覽器會自動先發送一個options請求,如果發現伺服器支援該請求,則會將真正的請求傳送到後端,反之,如果瀏覽器發現服務端並不支援該請求,則會在控制檯丟擲錯誤,如下:

如果非簡單請求(預檢請求)傳送成功,則會在頭部多返回以下欄位

Access-Control-Allow-Origin: 
 
http://localhost:3001  //該欄位表明可供那個源跨域
Access-Control-Allow-Methods: GET, POST, PUT        // 該欄位表明服務端支援的請求方法
Access-Control-Allow-Headers: X-Custom-Header       // 實際請求將攜帶的自定義請求首部欄位

下圖為一個預檢請求例項:

紅框標註的為預檢請求傳送的查詢,服務端支援我們的請求後,將會發送我們真正的請求,圖中綠框所示。可以看到,真正的請求響應頭欄位多處藍框中所圈欄位。這為伺服器所支援cors請求型別和允許的自定義請求首部欄位,以及支援跨域的源。

例項程式碼

前端程式碼與傳送普通請求沒有差異,我們只需在服務端設定即可,以node為例:

var express = require('express');
var app = express();
var allowCrossDomain = function (req, res, next) {
  res.header('Access-Control-Allow-Origin', 'http://localhost:3001');
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
}
app.use(allowCrossDomain);

接下來,http://localhost:3001下的GET,PUT,POST,DELETE請求,自定義首部欄位為Content-Type的非簡單請求則會被正常訪問,當然,你也可以將Access-control-Allow-Methods和Access-Control-Allow-Headers這兩個配置刪掉,刪掉之後,將僅支援簡單請求進行跨域。

總結:

(1)Access-Control-Allow-Methods

該欄位必需,它的值是逗號分隔的一個字串,表明伺服器支援的所有跨域請求的方法。注意,返回的是所有支援的方法,而不單是瀏覽器請求的那個方法。這是為了避免多次"預檢"請求。

(2)Access-Control-Allow-Headers

如果瀏覽器請求包括Access-Control-Request-Headers欄位,則Access-Control-Allow-Headers欄位是必需的。它也是一個逗號分隔的字串,表明伺服器支援的所有頭資訊欄位,不限於瀏覽器在"預檢"中請求的欄位。

(3)Access-Control-Allow-Credentials

該欄位與簡單請求時的含義相同。

(4)Access-Control-Max-Age

該欄位可選,用來指定本次預檢請求的有效期,單位為秒。上面結果中,有效期是20天(1728000秒),即允許快取該條迴應1728000秒(即20天),在此期間,不用發出另一條預檢請求。

相關推薦

cors實現請求請求

簡介 CORS:全稱"跨域資源共享"(Cross-origin resource sharing)。 CORS需要瀏覽器和伺服器同時支援,才可以實現跨域請求,目前幾乎所有瀏覽器都支援CORS,IE則不能低於IE10。CORS的整個過程都由瀏覽器自動完成,前端無需做任何設定

nginx 實現 ajax 請求

ini syn methods acc -m www eth tran 響應 原文:http://www.nginx.cn/4314.html AJAX從一個域請求另一個域會有跨域的問題。那麽如何在nginx上實現ajax跨域請求呢?要在nginx上啟用跨域

利用原生js實現ajax請求資料

首先,頁面中不需要引入任何的檔案。 1、前臺html頁面 <script> //定義一個ajax var $ = { ajax:function(option){ var url = option.url; var ca

Jquery Ajax實現CORE請求

在我們使用ajax請求,如果是跨域的話會報以下瀏覽器錯,你應該對下面出現在瀏覽器控制檯裡的錯誤很熟悉。如果你沒見過,那隻能說明你還年輕 Failed to load https://example.com/: No ‘Access-Control-Allow-O

原生JS實現Ajax請求flask響應內容

Ajax大法好,網站感覺跟高大上,但由於Js的侷限,跨域Ajax無法實現,這裡,講一下解決辦法,前提是需要能夠自己可以控制flask端的響應。 主要技術: 修改伺服器相應的相應頭,使其可以相應任意域名。and設定響應頭,使其能夠相應POST方法。 實現

Spring MVC配置CORS(解決請求

1. CORS 簡介 同源策略(same origin policy)是瀏覽器安全的基石。在同源策略的限制下,非同源的網站之間不能傳送 ajax 請求的。 CORS 做到了兩點: 不破壞即有規則伺服器實現了 CORS 介面,就可以跨源通訊基於這兩點,CORS 將請求分為兩

ASP.NET MVC 實現 AJAX 請求

ASP.NET MVC 實現AJAX跨域請求的兩種方法 通常傳送AJAX請求都是在本域內完成的,也就是向本域內的某個URL傳送請求,完成部分頁面的重新整理。但有的時候需要向其它域傳送AJAX請求,完成資料的載入,例如Google。     在ASP.NET MVC 框架裡實

請求 請求

跨域請求 本文目錄 一 同源策略 二 CORS(跨域資源共享)簡介 三 CORS基本流程 四 CORS兩種請求詳解 五 Django專案中支援CORS 回到目錄

Java實現CORS請求

先來 pty contain type 資源共享 服務端 header req options 問題 使用前後端分離模式開發項目時,往往會遇到這樣一個問題 -- 無法跨域獲取服務端數據 這是由於瀏覽器的同源策略導致的,目的是為了安全。在前後端分離開發模式備受青睞的今天,前

[轉] 利用CORS實現請求

src 流程圖 exp 否則 expose 前端 eof 目前 star [From] http://newhtml.net/using-cors/ 跨域請求一直是網頁編程中的一個難題,在過去,絕大多數人都傾向於使用JSONP來解決這一問題。不過現在,我們可以考慮一下

WebAPI Ajax 請求解決方法(CORS實現

custom XML header 就會 情況 取數 -o cross serve 概述 ASP.NET Web API 的好用使用過的都知道,沒有復雜的配置文件,一個簡單的ApiController加上需要的Action就能工作。 但是在使用API的時候總會遇到跨

如何通過CORS請求實現聊天小AI

聊天機器人github地址:https://github.com/Neekky/chatting-robot CORS跨域解決方案 CORS(跨源資源共享)通過新增一系列 HTTP 頭,讓伺服器能宣告哪些來源可以通過瀏覽器訪問該伺服器上的資源。 對於 GET 以外的 HTTP

CORS和jsonp實現請求

    同源策略:所謂同源是指,域名,協議,埠相同,它是由Netscape提出的一個著名的安全策略,現在所有支援JavaScript 的瀏覽器都會使用這個策略。當瀏覽器同時開啟兩個tab頁面(兩個不同伺服器提供),tab1頁面傳送請求時,瀏覽器會檢測是否是向tab1的伺

java利用cors實現請求

什麼是跨域? 跨域,指的是瀏覽器不能執行其他網站的指令碼。它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript施加的安全限制。 ajax本身實際上是通過XMLHttpRequest物件來進行資料的互動,而瀏覽器出於安全考慮,不允許js程式碼進行跨域操作,所以會警告。

CORS 請求實現

什麼是CORS?CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。它允許瀏覽器向跨源伺服器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。什麼是跨域?跨域是指從一個域名的網頁去請求另一

為 RESTful API 配置 CORS 實現請求

利用 Ruby on Rails 可以很方便地實現 RESTful API,但如果我們需要通過 AJAX 跨域呼叫的話,怎麼辦? 說到 AJAX 跨域,很多人最先想到的是 JSONP。的確,JSONP 我們已經十分熟悉,也使用了多年,從本質上講,JSONP 的原理是給頁

利用jsonp實現請求

get p地址 doc ajax請求 -s tar 原理 安全策略 都是   同源策略,它是由Netscape提出的一個著名的安全策略。現在所有支持JavaScript 的瀏覽器都會使用這個策略。所謂同源是指,域名,協議,端口相同。當一個瀏覽器的兩個tab頁中分別打開來 百

CORS——請求那些事兒

lob 有效期 site cati 項目 light 另一個 send 決定 在日常的項目開發時會不可避免的需要進行跨域操作,而在實際進行跨域請求時,經常會遇到類似 No ‘Access-Control-Allow-Origin‘ header is present on

ajax獲取json數據及實現請求

cgi size 域名 3.2 方便 nap 不清楚 anti dex 最近想練習一下ajax獲取json數據 , 首先上網找一些在線的可用來測試的接口. -----------------------------------------------------這裏是接口分

CORS請求總結

eve log 那種 http lencod pos 方法 ref orm CORS跨域請求分為簡單請求和復雜請求。 1. 簡單請求: 滿足一下兩個條件的請求。 (1) 請求方法是以下三種方法之一: HEAD GET POST (2)HTTP的頭信息不超出以下幾種字段: