HTTP跨域

1. 简介

HTTP跨域是指不同域名下的网页请求资源时,由于浏览器同源策略限制,导致请求被阻止。为解决这一问题,开发者常采用跨域资源共享(CORS)等技术来允许合法跨域请求,确保网站功能正常运行。

同源

  • 协议
  • 域名
  • 端口

常见HTTP跨域技术

  • 跨域资源共享(CORS):下面会专门介绍。
  • JSONP:下面会专门介绍。
  • WebSocket:WebSocket不受同源策略限制,可以实现跨域通信。
  • 代理服务器:在服务器端设置一个代理,前端请求发送到这个代理,然后由代理去请求真正的跨域资源,最后返回给前端。

2. 跨域资源共享(CORS)

2.1. 简介

跨域资源共享(CORS)是一种Web标准,允许浏览器和服务器交互,确定是否允许跨源请求,从而克服同源策略限制,实现跨域数据交互。

2.2. 允许跨域资源共享

http 复制代码
Access-Control-Allow-Origin: *
Access-Control-Allow-Headers: Content-Type, Content-Length, Authorization, Accept, X-Requested-With, X_Requested_With
Access-Control-Allow-Methods: GET, POST
Access-Control-Expose-Headers: header_name1,header_name2
  • Access-Control-Allow-Origin:允许请求源
  • Access-Control-Allow-Headers:允许的请求头(CORS Missing Allow Header)
  • Access-Control-Allow-Methods:允许的请求方法
  • Access-Control-Expose-Headers:允许请求对象读取响应的头

2.3. 允许携带Cookie

浏览器

js 复制代码
// 创建ajax对象
var xhr = new XMLHttpRequest();
// 对ajax对象进行配置
xhr.open('post', 'http://localhost:8080/xxxx');
// 当发送跨域请求时,携带cookie信息
xhr.withCredentials = true;
// 下面省略

服务端

http 复制代码
Access-Control-Allow-Credentials:true

注意

如果服务器设置了Access-Control-Allow-Credentials:trueAccess-Control-Allow-Origin不能为*

这是因为当发送凭据时,出于安全考虑,不允许使用通配符来允许所有源。

3. JSONP

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Example</title>
</head>
<body>
<h1>hello world</h1>
<h1>当前页面是http://localhost:8080,注意端口是不一致的。</h1>
</body>
<!--js路径后面添加请求参数,服务器根据请求参数动态替换test.js中数据-->
<script src="http://localhost:8081/test.js?key1=value1&key2=value2"></script>
</html>

4. 参考

相关推荐
念何架构之路14 小时前
moby-http-api-server
网络·网络协议·http
魔尔助理顾问16 小时前
HTTP Response中的CORS Headers
网络·网络协议·http
冰暮流星1 天前
flask之http请求方法
网络·网络协议·http
AlfredZhao2 天前
Linux 主机防火墙如何同时开启 80 和 443?
http·https·firewall
从零开始的代码生活_2 天前
NAT、代理服务与内网穿透详解
linux·服务器·网络·c++·http·智能路由器
折哥的程序人生 · 物流技术专研3 天前
Java面试通关⑦:JavaWeb网络核心全集
网络协议·http·javaweb·校招·前后端交互·java面试·社招
网络攻城狮_3 天前
网络协议大全
运维·网络·网络协议·http
中云DDoS CC防护蔡蔡3 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
pW3g3lLuu3 天前
.NET 高级开发 | http 接口对接和客户端开发技巧
网络协议·http·.net
山海云端有限公司4 天前
全平台视频元数据解析 API:从原理到 Python 实战调用
python·http·api·元数据·视频解析·apizero