51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

浏览器跨域请求的机制:CORS

作者:前端西瓜哥
系统 浏览器
CORS 真正的形态是非简单请求,它不会立即发送真正的请求,而是额外发送 OPTION 方法的预检请求,让服务端来决定是否允许即将发送的请求。

大家好,我是前端西瓜哥。

因为同源策略(Cross-Origin Policy)的存在,浏览器在一个域名下发送另一个域名的 Ajax 请求时,返回的数据通常会被浏览器拦截,让开发者无法拿到返回结果。

这里说 “通常”,是因为浏览器额外提供了一种可以正常使用 Ajax 请求非同源域名接口的机制,也就是我们接下来要说的 跨源资源共享(CORS, Cross-Origin Resource Sharing)。

CORS 会在上图中的第三步中发挥作用。

简单来说,就是请求 b.com 的 HTTP 响应头字段中的一些头字段符合一定规则,返回数据就不会被浏览器拦截,请求者能正常获得返回数据。

简单请求和非简单请求是浏览器发出跨域请求的 两种不同的请求方式,我们来了解一下。

简单请求

发送的请求符合下面的所有情况,就属于简单请求。

  • 请求方法为其中一种:GET、POST、HEAD。
  • 除了浏览器自动设置的字段(比如 Connection),仅能人为设置请求头字段 Accept、Accept-Language、Content-Language、Content-Type 这个集合内的值。
  • 请求头字段 Content-Type 为其中一种:text/plain、 multipart/form-data、application/x-www-form-urlencoded。

(还有一些更多的琐碎的细节,比如脚本设置、特定浏览器相关的,这里不展开,具体可以查阅官方文档)

可能你会对这个规则的设计很感兴趣,其实它是为了 向后兼容,兼容一些之前没有 Ajax 时就可以发送的跨域请求,比如 form 元素能够产生的请求。

点击表单下的提交按钮,页面跳转然后发送请求。这种写法非常古老了,因为会自动跳转页面且不能拿到返回数据执行下一步的操作,实际开发基本上不会使用了

<form action="https://b.com/api/v1/book/get" method="get">
  <input type="text" name="name" value="clean code" />
  <input type="submit" value="提交"/>
</form>

CORS 机制下,HTTP 响应头字段需要使用头字段

Access-Control-Allow-Origin,将它的值设置为:

  • *:任意域名都允许跨域请求。
  • <origin>:具体的域名,这里不能提供多个域名,只能提供一个域名。这也是可以理解的,通过强制要求防止黑客得到服务端设置的白名单域名。我们不应该透露太多信息。服务端要实现跨域白名单功能,就需要根据请求头字段中动态返回该字段的值。

另外,如果请求中携带了身份信息,也就是 Cookie,不能使用 *,而需要指定具体域名。

这样设置后,我们就能正常地拿到其他域名接口返回的数据了。

下面我们再看看非简单请求。

非简单请求

不符合简单请求规定条件的请求,就是 非简单请求。

对于简单请求,为了兼容,浏览器会直接将请求发出去。但非简单请求没有兼容的需要,所以浏览器给它加上了严格的复杂机制。

在发出真正的请求前,浏览器会先发一个 OPTION 请求来探探路,这个请求称为 预检请求(preflight)。

浏览器发送的请求,会额外带下以下请求头字段:

  • Access-Control-Request-Method:该字段告知服务端接下来要发起真正跨域请求使用的 HTTP 方法。
  • Access-Control-Request-Headers:该字段告知服务端,当前请求使用的不符合简单请求规则的头字段,比如使用 JSON 结构来作为数据的格式,预检请求就会带上上 Access-Control-Request-Headers: content-type

下面是服务端的回合。

服务端拿到了足够多的请求方信息,然后就可以考虑是否允许跨域了。

服务端的响应头字段可以携带上以下字段:

  • Access-Control-Allow-Origin:用法同上一节的简单请求说明。
  • Access-Control-Allow-Methods:可以发送的请求方法。如 POST, GET, OPTIONS。
  • Access-Control-Allow-Headers:可以使用的头字段,如 X-PINGOTHER, Content-Type
  • Access-Control-Max-Age: 86400:缓存的有效时长,单位为秒,设置后,在这段时间内都可以免除预检请求的发送。浏览器自身预设了一个最大缓存时间,防止返回的缓存时间过长(比如好几年)导致的安全问题。

浏览器拿到这些字段后,就会进行对比,如果不符合规则,那么真正的跨域请求将不会发送。如果不符合,接下来就会发送真正的跨域请求。

需要注意的是,真正的请求和简单请求一样,需要提供Access-Control-Allow-Origin 头字段,否则依旧拿不到返回数据。

结尾

CORS 真正的形态是非简单请求,它不会立即发送真正的请求,而是额外发送 OPTION 方法的预检请求,让服务端来决定是否允许即将发送的请求。

简单请求是向后兼容的妥协产物,它其实直接向目标发起了真正请求,只是浏览器可能会将返回的数据拦截掉,如果响应头没有设置正确的

Access-Control-Allow-Origin 的话。



责任编辑:姜华 来源: 今日头条
CORS浏览器
相关推荐
浏览器问题与 CORS
跨域,这或许是前端面试中最常碰到的问题了,大概因为跨域问题是浏览器环境中的特有问题,而且随处可见,如同蚊子不仅盯你肉而且处处围着你转让你心烦。

2020-08-31 19:20:33

浏览器CORS跨域
CORS 工作机制与安全防范
随着前后端分离架构的逐渐普及,CORS跨域技术被广泛应用在Web应用中,以便不同域之间资源的互相访问。

2023-12-20 14:42:59

Web安全技术之浏览器访问
对于Web应用来说,浏览器是最重要的客户端。目前浏览器五花八门多得不得了,除了Chrome、IE、Firefox、Safari、Opera这些国外的浏览器外,百度、腾讯、360、淘宝、搜狗、傲游之类的,反正能做的都做了。

2015-04-24 10:37:40

Web安全浏览器跨域访问
前端发起异步请求浏览器同源策略限制,导致问题
本文介绍了跨域问题的原因、影响以及常见的解决方案。在实际开发中,我们可以根据具体需求选择适合的解决方案。

2023-12-12 09:45:16

前端浏览器
Cors(一):深入理解请求概念及其根因
本文用很长的篇幅介绍了Cors跨域资源共享的相关知识,并且用代码做了示范,希望能助你通关Cors这个狗皮膏药一样粘着我们的硬核知识点。本文文字叙述较多,介绍了同源、跨域、Cors的几乎所有概念,虽然略显难啃,但这些是指导我们实践的说明书。

2021-06-10 18:11:02

Cors跨域Web开发Cors
CORS与Nginx反向代理优劣对比
最近写了一些关于前后端分离项目之后,跨域相关方案的基本原理和常见误区的帖子,主要包括CORS和Nginx反向代理。

2019-04-10 10:32:16

CORSNginx反向代理
Cors(二):实现Cookie共享三要素
本文主角是大家耳熟能详的Cookie,聊聊它在跨域情况下如何实现“共享”大家都知道Cookie是需要遵守同源策略(SameSite)的,本文将以跨域Cookie信息共享为场景,进一步加深对Cors的了解。

2021-06-15 07:32:59

Cookie和Sess实现跨域
Angular通过CORS实现方案
通篇写完才发现有点挂羊头卖狗肉的感觉,与其说Angular的跨域方案,不如说CORS的使用以及Angular中设置才对.靠谱的前端必备...尤其是遇到不靠谱的后端时.

2014-08-19 10:36:02

AngularCORS
浅谈浏览器缓存机制
缓存一直是前端优化的主战场,利用好缓存就成功了一半.本篇从http请求和响应的头域入手,让你对浏览器缓存有个整体的概念.最终你会发现强缓存,协商缓存和启发式缓存是如此的简单.

2017-04-26 14:15:35

浏览器缓存机制
面试官问道:常见处理方式有哪些?
我们知道JSONP只支持GET请求,不支持IE10以下的浏览器,且存在安全性问题容易被恶意劫持。而CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案,实际生产中,使用得比较多的跨域方案是cors和nginx反向代理。

2022-03-21 07:35:34

处理方式跨域
Cors(四):解决方案对决JSONP vs CORS
当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。但是呢,在现在的互联网场景中,跨域访问是一种必须,所以才有了解决跨域问题的方案。

2021-06-25 09:04:39

Cors跨域JSONP vs CO
浅谈浏览器http缓存机制
针对浏览器的http缓存的分析也算是老生常谈了,每隔一段时间就会冒出一篇不错的文章,其原理也是各大公司面试时几乎必考的问题。

2017-05-15 13:40:20

浏览器http缓存机制
浏览器开发:CSS代码金科玉律
作为Web开发者,让你的网站在各种浏览器中有完全一样的表现是很多人的目标,然而这是一个永远无法真正实现的目标。本文讲的是各种跨浏览器兼容的CSS编码准则和技巧。

2010-09-14 14:18:09

CSS跨浏览器开发
关于浏览器测试那点事
本文讲述了与跨浏览器测试有关的各种问题与知识,包括渲染,平台,设备以及JavaScript引擎,并且针对不同的JavaScript引擎进行性能测试。

2010-05-31 10:11:02

深入理解浏览器缓存机制
接下来的内容中我们将通过缓存位置、缓存策略以及实际场景应用缓存策略来探讨浏览器缓存机制。

2021-07-22 09:55:28

浏览器前端缓存
浏览器本地数据加密机制分析
早在2月,我曾写过有关浏览器密码管理器的文章,并提到在决定如何实施功能及其安全保护时了解攻击模型非常重要。

2020-11-13 11:15:17

数据加密攻击模型浏览器密码
策略:使用 COOP、COEP 为浏览器创建更安全环境
浏览器在阻止这些攻击上做的也很好。同源策略我们已经很熟悉了,它用于限制不同源的站点的资源访问。

2022-08-17 14:04:18

COOPCOEP浏览器
请求产生错误原因及处理方法
如果你在开发网站时曾经尝试通过框架或是浏览器的fetch、XHR请求过外部API的话,那么一定遇到过跨域请求,还有那个触目惊心的CORS错误信息;今天咱们来讨论跨域问题的原因以及解决方法。

2020-12-20 18:00:04

跨域请求开发CORS
前端如何解决问题?
CrossoriginResourceSharing中文名称“跨域资源共享”简称“CORS”,它突破了一个请求在浏览器发出只能在同源的情况下向服务器获取数据的限制。

2021-06-06 13:05:15

前端跨域CORS
重视非IE浏览器用户,用NPAPI开发浏览器插件
相信大家在使用浏览器的时候都安装过插件(Plugins),比如在使用QQ邮箱,看Flash、用网银付款等等。然而,很多人也会发现,有时候我们在Firefox或者Chrome下,有些插件是无法安装的。

2011-07-15 09:56:54

NPAPI开发火狐
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服