【WEB】CORS(跨域资源共享)

0x01 前言

我们都知道,浏览器是遵循同源策略的,同源策略用来限制从一个源加载的文档或脚本如何与另一个源的的资源进行交互,这是一个用来隔离潜在的恶意文件的安全机制。

通常来说,浏览器是允许跨域写和跨域嵌入,但是跨域读取一般是不允许的,但是这样肯定是不方便的,因此后来有了话语资源共享,用来实现跨域读的功能。

0x02 跨域资源共享

跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是GET以外的 HTTP 请求,或者搭配某些 MIME 类型的POST请求)浏览器必须首先使用OPTION方法发起一个预检请求,从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括COOKIE和 HTTP 认证相关数据)。

0x03 简单请求与非简单请求

这里简单请求是指那些不会引起CORS预检请求的那种请求,而同理,非简单请求就是引起CORS预检请求。

简单请求

只要同时满足以下两大条件,就属于简单请求。

(1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

当浏览器发现请求是简单请求的时候,就会在请求头部添加一个Origin字段,该字段表示本次请求属于哪个源的,服务器会根据这个字段的值来决定是否允许跨域访问。

如果服务器不允许这个源的访问,那么服务器发送的response中,就没有Access-Control-Allow-Origin字段,当浏览器发现返回的消息中没有该字段,就知道出错了,从而抛出错误

如果服务器这个源的访问,那么服务器发送的response中,就会多出几个以Access-Control开头的字段

  1. Access-Control-Allow-Origin

该字段是必须的,他表示允许访问的源,或者*,表示允许任意源访问。

  1. Access-Control-Allow-Credentials

该字段是一个boolen值,如果是true,则允许发送cookie到服务器

  1. Access-Control-Expose-Headers

CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定

非简单请求

不同时满足上面的条件的就是非简单请求。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的请求,否则就报错。

通常来说,预检请求是OPTION请求,在头信息中,包含着Origin字段,表示来自哪个源的。除了该字段,还有两个特殊的字段:

  1. Access-Control-Request-Method

该字段表示请求的方法是什么

  1. Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器CORS请求中出现的额外字段名。


当服务器同意了这次请求之后会在响应中添加相应的字段:

  1. Acces-Control-Allow-Origin

该字段表示允许的源

  1. Access-Control-Allow-Method

该字段是必须的,是一个逗号分隔的字符串,表示服务器允许的跨域方法

  1. Access-Control-Allow-Headers

如果请求中有Access-Control-Request-Headers字段的话,响应中就会有该字段,是一个逗号分隔的字符串,用来表示服务器允许的字段名。

  1. Access-Control-Allow-Credentials

该字段也是用来表示服务器允许请求中包含cookie

  1. Access-Control-Max-Age

该字段表示本次预检请求的有效期,单位是秒。

但是如果服务器不允许请求,那么就会返回一个正常的HTTP Response给浏览器,浏览器发现响应中没有与CORS相关的字段,就知道服务器不允许这次请求,就会抛出错误。

0x04 参考文献

http://www.ruanyifeng.com/blog/2016/04/cors.html
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容