【跨域】一招带你解决跨域问题——CORS

已于 2022-08-22 16:42:15 修改
阅读量1.7k 收藏 6
点赞数 5
CC 4.0 BY-SA版权
分类专栏: AJAX 文章标签: ajax javascript http 前端
于 2022-06-13 19:41:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuxuii/article/details/125265407
本文探讨了跨域问题的起源、同源策略,并介绍了JSONP和CORS两种解决方案。JSONP通过script标签实现异步数据获取,适用于老版浏览器;而CORS是现代标准,支持所有HTTP请求。通过实例和比较,帮助理解两者在实际开发中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

🚀跨域

在这里插入图片描述
前置小知识👇

1.1 🌍同源策略

同源策略(Same-Origin Policy)最早由 Netscape 公司提出,是浏览器的一种安全策略。

同源: 协议、域名、端口号 必须完全相同

违背同源策略就是跨域

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是 80)
http://news.company.com/dir/other.html失败主机不同

1.2 ❓为什么有跨域问题

因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是于当前页同域名的路径,这能有效的阻止跨站攻击。

因此:跨域问题 是针对ajax的一种限制

1.3 ⭕如何解决跨域

有以下两种方法:JSONPCORS

最常用的是CORS方法,而且也是最简单的😂。

首先介绍一下JSONP方法,由难到易入手吧!

1.3.1 ✅JSONP

  1. JSONP是什么?

    JSONP(JSON with Padding),是一个非官方的跨域解决方案,纯粹凭借程序员的聪明才智开发出来,只支持 get 请求

  2. JSONP 怎么工作的?

    在网页有一些标签天生具有跨域能力,比如:img,link,iframe,script。

    JSONP 就是利用 script 标签的跨域能力来发送请求的。

  3. JSONP 的使用 :

    A. 动态地创建一个 script 标签

    var script = document.createElement("script");

    B.设置 script 的 src,设置回调函数

    <script>
  script.src = "http://127.0.0.1:8000/jsonp-server";
  // 处理数据
  function handle(data) {
     // 获取result元素
     const result = document.getElementById('result')
     result.innerHTML = data.name
 }
</script>

    C. 将 script 添加到 body 中

    document.body.appendChild(script);

    D. 服务器中路由的处理

    // jsonp服务
app.all('/jsonp-server', (request, response) => {
  const data = {
    name: 'xuxu'
  }
  // 将数据转化为字符串
  let str = JSON.stringify(data)
  // 返回结果
  response.end(`handle(${str})`)
})

    jsonp实现跨域的原理:服务端必须返回一个函数调用,函数的参数就是给客户端返回的结果数据,这个函数前端必须要申明,否则就会报错。

1.3.2 💻JSONP实践

📺案例

需求:在输入框中输入任一名称,当失去焦点时,向服务端发送请求,校验是否存在该用户名,服务端直接返回已存在,改变input框的颜色。

效果如下:
在这里插入图片描述

整体代码如下:
JSONP实践.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>案例</title>
</head>

<body>
  用户名:<input type="text" id="username">
  <p></p>
  <script>
    // 获取input元素
    const input = document.querySelector('input')
    const p = document.querySelector('p')
    
    // 声明handle函数
    function handle(data) {
      input.style.border = 'solid 1px #f00'
      // 修改p标签的提示文本
      p.innerHTML = data.msg
    }
    
    // 绑定事件
    input.onblur = function () {
      // 获取用户输入值
      let username = this.value
      // 向服务端发送请求 检测用户名是否存在

      // 1.创建一个 script 标签
      const script = document.createElement('script')
      // 2.设置标签的src属性
      script.src = 'http://127.0.0.1:8000/check-username'
      // 3.将script插入到body标签的最后
      document.body.appendChild(script)
    }
  </script>
</body>
</html>

server.js

// 1.引入express
const express = require('express')

// 2.创建应用对象
const app = express()

// 3.创建路由规则
// request是对请求报文的封装
// response是对响应报文的封装
// 用户名检测是否存在
app.all('/check-username', (request, response) => {
  const data = {
    exist: 1,
    msg: '用户名已经存在'
  }
  let str = JSON.stringify(data)
  // 返回结果
  response.end(`handle(${str})`)
})

// 4.监听端口启动服务 
app.listen(8000, () => {
  console.log("服务已经启动,8000 端口监听中....")
})

接下来介绍最简便的一种方法👇

1.3.3 ✅CORS

  1. CORS是什么?

    CORS(Cross-Origin Resource Sharing),跨域资源共享。CORS 是官方的跨域解决方案,它的特点是不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持getpost 请求。跨域资源共享标准新增了一组 HTTP 首部(响应头)字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源

  2. CORS 怎么工作的?

    CORS 是通过设置一个响应头来告诉浏览器,该请求允许跨域,浏览器收到该响应以后就会对响应放行。

  3. CORS 的使用:

    主要是服务器端的设置:

    app.all('/cors-server', (request, response) => {
  // 设置响应头
  // 设置允许跨域 
  response.setHeader('Access-Control-Allow-Origin', '*')
  // 设置允许使用自定义的请求头字段
  response.setHeader('Access-Control-Allow-Headers', '*')
  // 设置允许任意的HTTP请求方法访问
  response.setHeader('Access-Control-Allow-Method', '*')
  response.send('hello CORS')
})

以下常见的响应头设置:

设置允许任何域访问:

 response.setHeader('Access-Control-Allow-Origin', '*')

设置允许使用自定义的请求头字段

response.setHeader('Access-Control-Allow-Headers', '*')

设置允许任意的HTTP请求方法访问

response.setHeader('Access-Control-Allow-Method', '*')

设置可以暴露的响应头

response.setHeader('Access-Control-Expose-Headers','*')

还有其他的响应头设置,就不一一列出了。

1.3.4 🚩与JSONP的比较

CORS与JSONP的使用目的相同,但是比JSONP更强大

JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

今天的分享就到这里啦。✨

无需后台配置!所有网站通用!教你如何一招解决问题 浏览器端使用插件解决问题 让你开发不再受阻碍 windows mac都能使用的方法
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
10-23 667
问题源自浏览器的同源策略(该策略限制了浏览器从一个源加载的脚本只能访问该源的资源。比如,如果你的网站运行在·http://localhost:3000·,而你想请求·http://api.example.com·的数据,由于源不同,浏览器会阻止该请求。解决问题最常见的方式是让后端设置CORS头,允许客户端发送请求。然而,在某些场景下,前端开发者可能无法控制后端,或者你只是想在开发环境中进行测试,这时可以使用浏览器插件来修改请求头。
请求的终极武器:Spring MVC一招搞定OPTIONS预检
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
11-28 224
资源共享(CORS)是Web开发中常见的挑战,特别是在前后端分离架构下。Spring MVC提供简单配置 spring.mvc.dispatch-options-request=true,能够自动处理OPTIONS预检请求,帮助开发者轻松解决问题
如何使用CORS解决问题
p15097962069的博客
03-05 107
如何使用CORS解决问题
解决方案之CORS
最新发布
跟佟格码路一起学习计算机知识吧~
05-23 1235
CORS(Cross-Origin Resource Sharing,资源共享)是一种解决 Web 应用访问问题的标准机制。在 Web 开发中,浏览器遵循同源策略限制不同源(协议、名、端口不一致)之间的资源访问,而 CORS 通过服务器端设置特定的响应头,允许浏览器在安全的前提下,实现资源的请求与获取,是目前解决问题的主流方案。
CORS
Aliguagua的博客
06-10 1213
CORS 对于问题,我之前只知道jsonp的解决方案,这周改版了一个很复杂的H5页面,让我接触到了另一种解决的方案——CORS。刚开始还是一脸蒙蔽的,然后马上联想到了之前使用koa2的时候用过koa2-cors这个模块,当时也是解决问题的,这两个应该是一样的吧。查阅资料后发现是不一样的东西。 看了阮一峰老师的资源共享 CORS 详解 这片文章后,对CORS有了新的认识,原...
CORS
u014143913的博客
10-09 325
##CORS问题 简介: cors(cross-origin resource sharing)资源共享,一个请求url的协议,名,端口三者之间任意与当前页面地址不同即为。浏览器默认的安全限制为同源策略,即JavaScript或Cookie只能访问同源(相同协议,相同名,相同端口)下的内容。但由于访问资源需要,出现了CORS机制,这种机制让web服务器能站访问控制,使站数据...
react18 应该怎么解决一招教你搞定
weixin_43452154的博客
04-19 1103
我们通常会遇到问题,那么react18遇到的时候,应该怎么样子去解决呢?当然我们会想到让服务器去解决也是一种方法,那么前端也可以解决问题,在React 18中,问题通常是由于CORS源资源共享)策略导致的。如果你在开发过程中遇到问题
cors解决问题
11-02
问题是指在浏览器中,当一个请求的url的协议、名、端口任意一个与当前页面的url不同即为,由于浏览器的同源策略,会限制请求资源。而CORS(Cross-Origin Resource Sharing)是一种机制,它使用额外的...
【云原生】 Spring Cloud Alibaba 之 Gateway 服务网关问题
wanghuichen的博客
08-22 5373
Spring Cloud Alibaba Gateway 问题如何解决一招教你搞定!
cors-proxy:基于Java Jersey的CORS代理绕过javascript请求限制
05-08
cors-proxy 基于Java Jersey的CORS代理绕过javascript请求限制 关于 由于浏览器实施的CORS限制,来自浏览器的Javascript无法访问来自其他的资源。 该Web代理将绕过这些限制。 环境 Java 1.7以上 Tomcat 7以上 用法 在本地部署此应用程序后,可以使用以下模式从javascript访问: 在您JavaScript中,为所有网址加上“ http://:8080 / cors-proxy / request / forward /”前缀。 这将绕过浏览器中的所有CORS限制。
CORS
颠覆我的整个世界,只为摆正你的身影
01-28 732
CORS是W3C标准。全场资源共享(Cross-origin resourse sharing) 她允许浏览器向资源服务器放出XMLHttpRequest请求,克服了AJAX只能同源使用的限制 1,CORS通信是浏览器自动完成的,不需要用户参与。CORS通信和同源的AJAX通信没有差别,代码完全一样,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以通信 Acces...
使用CORS解决问题
huxiaodong1994的博客
06-25 1391
一、产生的原因: 浏览器会向服务器发送一个Option方法的预检请求,如果服务器拒绝响应,浏览器就无法访问。因此我们可以针对Option请求来处理问题。 二、解决办法: 在spingboot中针对option请求添加一个准入机制: @SpringBootApplication public class BackendApp { public static void m...
问题(CORS)详细说明和解决
在路上
07-19 3843
问题?一篇即懂!
CORS解决问题
一生亦木
08-27 4244
CORS解决问题CORS简单请求预检请求认证请求服务端 当一个资源向与本身所在服务器不同的或者端口发起请求时,会发起一个HTTP请求。 CORS CORS全称Cross-Origin Resource Sharing,也就是我们常说的资源共享,CORS是通过新增一组HTTP头部字段,允许服务器声明那些源站有权限访问哪些资源。 CORS的标准规范要求可能对服务器数据产生副作用的HTTP请求方法,浏览器必须首先使用OPTIONS方法发起预检请求,如果服务器允许该请求后,才可以发起HT
配置浏览器,绕过CORS限制
brizer的博客
06-13 2251
开发过程中,偶尔会遇到接口CORS问题,有时候服务端配置起来比较麻烦,生产环境也存在风险。故而可以自己配置一个不校验CORS的浏览器,来方便开发。
调整浏览器配置(绕过CORS限制的解决方案)
m0_65292523的博客
02-13 1400
调整浏览器配置(绕过CORS限制的解决方案)
同源策略 CORS漏洞
weixin_42299862的博客
09-09 1105
https://blog.csdn.net/qq_38128179/article/details/84956552 一、什么是 当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为 非同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB 【2】无法接触非同源网页的 DOM 【3】无法向非同源地址发送 AJAX 请求 二、为什么会出现问题:SOP同源策略 出于浏览器的同源策略限制。 同...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蜡笔雏田学前端

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值