同源策略和CORS (跨域资源共享)
同源策略(Same-Origin Policy)
基础概念
同源策略是一种安全机制,用于限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。只有当协议、域名和端口都相同时,才认为是同源。
优势
- 安全性:防止恶意网站读取或修改另一个网站的数据。
- 隐私保护:保护用户数据不被未经授权的第三方访问。
应用场景
- 浏览器中的JavaScript脚本通常受到同源策略的限制。
- 网页中的AJAX请求默认只能访问同源的资源。
遇到的问题及解决方法
问题:前端页面无法访问不同源的后端API。 原因:同源策略阻止了跨域请求。 解决方法:
- 使用CORS(跨域资源共享)。
- 使用JSONP(仅限于GET请求)。
- 设置服务器端的代理。
CORS(跨域资源共享)
基础概念
CORS是一种机制,允许服务器声明哪些源可以通过浏览器访问其资源。通过在服务器端设置特定的HTTP头,可以允许跨域请求。
类型
- 简单请求:使用GET、POST、HEAD方法,且HTTP头信息限制在特定范围内。
- 预检请求:使用PUT、DELETE等非简单方法,或者使用了不在简单请求范围内的HTTP头信息。
应用场景
- 前端页面需要访问不同域的后端API。
- 跨域资源共享的场景,如API服务、文件上传等。
遇到的问题及解决方法
问题:浏览器拒绝跨域请求。 原因:服务器未正确设置CORS头信息。 解决方法:
- 在服务器端设置
Access-Control-Allow-Origin头,允许特定的源访问资源。 - 设置
Access-Control-Allow-Methods头,允许特定的HTTP方法。 - 设置
Access-Control-Allow-Headers头,允许特定的自定义头信息。
示例代码(Node.js + Express)
const express = require('express');
const app = express();
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', '*');
res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
if (req.method === 'OPTIONS') {
res.sendStatus(200);
} else {
next();
}
});
app.get('/api/data', (req, res) => {
res.json({ message: 'Hello from server!' });
});
app.listen(3000, () => {
console.log('Server is running on port 3000');
});参考链接
通过以上解释和示例代码,你应该能够理解同源策略和CORS的基本概念、优势、应用场景以及如何解决相关问题。
相关·内容
1回答
我一直在尝试执行从spring控制器到()的跨域重定向,就像这里提到的()。
但是,我收到一个错误,指出到URL的重定向已被CORS策略阻止,因为请求资源上不存在“Access-Control-Allow-Origin”头。
如何修复此错误?
浏览 8提问于2016-11-22得票数 0
1回答
我正在为RQM (Rational Quality Manager)开发一个OpenSocial小工具(JavaScript语言),它从门户Web访问(Doors Web Access)获取信息。这个小工具在RQM ()上运行,我想向DWA ()发出请求。
该小工具在IE中运行正常,但当我在Firefox中运行时,我得到以下错误:
> Cross-Origin Request Blocked: The Same Origin Policy disallows reading
> the remote resource at https://<host>:8443/xxx
浏览 5提问于2015-10-01得票数 0
1回答
我在试着理解CORS。根据我的理解,它是一个安全性在浏览器中实现的一种机制,以避免对除用户打开的域(在url中指定)之外的域的任何AJAX请求。 现在,由于这一限制,许多CORS被实现来使网站能够进行跨域请求。但据我所知,CORS的实现违背了“同源策略”的安全目的。SOP。 CORS只是为了提供对服务器想要服务的请求的额外控制。也许它可以避免垃圾邮件发送者。 来自Wikipedia 要发起跨域请求,浏览器会发送带有Origin HTTP header的请求。此标头的值是为页面提供服务的站点。例如,假设有一页位于http://www.example-social-network.com尝试访问
浏览 45提问于2013-02-04得票数 49
我们正在开发其他Outlook功能。
尝试将请求发送到外部api时出现错误。
我已经在清单文件中注册了app域名,为什么无法访问外部api?
(我使用angularjs,后端使用asp.net内核。)
此外,无法在网络上确认api所请求的部件。
浏览 0提问于2020-06-02得票数 0
我们使用JQuery AJAX登录。登录服务发出HTTP 302,其位置是已登录用户的GET,或者(在登录失败的情况下)总是返回未授权HTTP状态的REST端点。与302同时,我们为JSESSIONID发出一组cookie。cookie是HttpOnly cookie。
当使用直接的HTTP form post时,重定向工作得很好,一切都已经设置好了。在使用cookie AJAX时,重定向到JQuery /user/{userId}不起作用,因为cookie不会随第二次调用一起发送。这个失败的第二个调用应该触发另一个重定向到身份验证失败的端点,但它实际上没有。检查它,我看到第二个调用被“取消”
浏览 1提问于2012-03-30得票数 3
回答已采纳
<body ng-app>
<div ng-include="'http://www.google.com/'"></div>
</body>
ng-include handy指令允许我们在文档中包含另一个文件的内容。但是上面提到的html不工作,因为它不能显示所提到的url的内容。如果提到一些本地相关文件,同样的代码也能正常工作。请澄清我的概念。谢谢是预付款。
浏览 1提问于2016-03-02得票数 0
我试图使用CORS过滤器实现客户机和服务器位于同一个URL中的CORS。下面是我实现的代码
CORS滤波器
package com.core.web.spring.cors;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
impor
浏览 3提问于2021-07-03得票数 1
我在不同的服务器上有两个页面。
通过ajax,我想包含一些数据:下面是一个示例:
该链接通过浏览器工作。
jQuery(window).ready(function() {
getPageWithAjax("http://www.betcatcher.com/index.php?page=valuebets&nr_row=6");
function getPageWithAjax(page)
{
//alert(page)
ajaxRequest = $.ajax(
浏览 2提问于2011-12-04得票数 0
回答已采纳
我正在尝试使用react发布到我的dynamoDB,但是我得到了以下错误:
Access to fetch at 'https://xxxxx.execute-api.us-west-2.amazonaws.com/prod/getuserprofile' from
origin 'http://localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin'
header is present on the requested resource
浏览 0提问于2020-06-18得票数 0
1回答
我是json跨域的新手。这就是我的问题。我想用json跨域调用php,但仍然出错。要调用的示例代码:
$(function() {
var doc = urls;
$( "#origin" ).autocomplete({
source: ''+doc+'book/server_book_from.php',
select: function( event, ui )
{
$( "#origin
浏览 2提问于2013-09-24得票数 0
我有一个Asp Net Core (3.1) Api,其中我指定了如下cors策略: public void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
{
options.AddPolicy(name: "MyPolicy",
builder =>
{
builder.WithOrigins("https://myurl.com"
浏览 16提问于2020-04-22得票数 0
我正在尝试让我的angular应用程序做一个$http.get请求。除了IE8之外,它在任何地方都有效。我使用的是最新的Angular (我想是1.0.6)。IE给出的唯一消息是:TypeError:
访问被拒绝。未定义(在以前的角度中这是)
我的主机(Nodejs)设置为发送cors头部:
res.header('Access-Control-Allow-Origin', '*'); //config.allowedDomains
res.header('Access-Control-Allow-Credentials', true);
res
浏览 2提问于2013-04-12得票数 8
我们正在尝试使用Passport.js在我们的应用程序中实现Github oAuth。如果用户通过单击锚定标记/href来访问端点,则可以正常工作,但如果我们使用单击处理程序来发起ajax请求,则会收到来自Github服务器的CORS错误。为什么?
服务器端代码:
app.get('/auth/github',
passport.authenticate('github', { scope: [ 'user:email' ] }));
app.get('/auth/github/callback',
passport.a
浏览 0提问于2016-06-06得票数 0
2回答
无法接收客户标头节点快递
、、、
我正在开发一个NodeJS+Express应用程序。我无法接收传入的标头。
我期望来自另一个服务的名为'authKey‘的标头。但是当我打印这个的时候,我变得模糊了。请参考以下代码:
const authKey = req.header('auth-key');
console.log(`authKey:${authKey}`);
输出:
authKey:undefined
我也尝试过使用npm cors包,但结果是一样的。
浏览 22提问于2020-08-22得票数 0
我强行解决了一个问题,几个小时以来我都解决不了,这是很常见的,但是网上找到的提示都没有帮助到我。
所有东西都在我本地的PC上。首先,我使用VS代码和命令行在Core2.1上开发了一些简单的ASP.NET核心WebAPI。这个WebAPI目前有一个简单的APIController,它托管在地址上: (当我将它粘贴到浏览器或邮递员上时,结果是我有一些简单的Json从数据库中返回了一个客户的数据)。当然,在Startup.cs类中,我添加了:
app.UseCors(options =>
options.WithOrigins("http://localh
浏览 19提问于2019-07-08得票数 1
我的Rails应用程序中的页面上有一个remote: true链接,它调用同一页面的.js版本,然后运行脚本来更新页面内容。
它工作得很好,但从昨天开始,我每次点击这些链接都会得到Security warning: an embedded <script> tag on another site requested protected JavaScript. If you know what you're doing, go ahead and disable forgery protection on this action to permit cross-origin
浏览 0提问于2015-03-28得票数 21
回答已采纳
如果连接到它的客户端已经提供了基本的身份验证信息,我是否需要在API的服务器上激活CORS (即返回相应的头部作为响应)。
经过大量的搜索,CORS和来自客户端的基本身份验证之间的关系对我来说仍然不清楚。(如果有任何关系...)
如果服务器已经需要来自客户端的基本身份验证,那么必须在服务器上启用CORS有意义吗?
Basic Auth是否应该“绕过”CORS,这意味着当来自客户端的请求经过身份验证时,服务器不应该提供CORS头?
CORS和Basic Auth一点关系都没有吗?
谢谢!
浏览 1提问于2016-08-11得票数 0
->请帮我解决这个问题 ->我将数据发送到另一个网址以处理某些东西,而该网页是另一个服务器和不同的网址。 ->当我尝试发送Post数据时,当我遇到CROS错误时,我尝试了许多方法。 ->查看我的代码 $.ajax({
type: 'POST',
url: 'Another Non Https Url',
crossDomain: true,
contentType:'application/json',
data:{CompanyEm
浏览 5提问于2019-12-19得票数 1
回答已采纳
在我的应用程序中,一个子域(dev.u413.com)上有一个网站,我使用jQuery向另一个子域(api.u413.com)上的JSON api发出ajax请求。当我在Chrome dev工具和Firefox Firebug中检查这些请求时,我的请求似乎被Access-Control-Allowed-Origin阻止了。我将document.domain设置为当前域的后缀:document.domain = 'u413.com';。
以下是我的请求:
$.ajax({
dataType: 'json',
data: {
浏览 0提问于2011-10-12得票数 16
回答已采纳
2回答
。为什么
$.ajax({
type : "get",
url : "http://www.facebook.com",
success: function(data){
console.log(data);
}
});
作品和
$.ajax({
type : "get",
url : "http://www.google.com",
success: function(data){
console
浏览 3提问于2013-06-21得票数 3
回答已采纳
我正在使用(不推荐使用的) Twitter API 1.0进行一些测试
例如,我想从API获取数据,客户端使用AJAX浏览器从任何跨源网页请求。它可以是一个新的空白标签,一个本地HTML页面或任何现有的网站。
我已经尝试过JSONP,它工作得很好,但是即使Twitter服务器不支持CORS ,我也想使用默认的XMLHttpRequest。
例如,在google.com主页上,我创建了一个对Twitter API的简单AJAX调用,并使用Firebug执行:
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://
浏览 0提问于2013-02-03得票数 5
回答已采纳
我们有一个内部网应用程序,我们正在开发一个AngularJS前端和一个Web后端。它基本上是对现有的ASP.NET/WCF应用程序的重新设计,它只被我们的少数员工使用。
我们原本打算在这个版本中使用Windows身份验证来加强一些安全性(旧版本没有),但在使用Internet Explorer以外的浏览器时遇到了一些问题。例如,Chrome总是返回一个401-未经授权的错误。
我已经被指示暂时跳过安全功能(是的,我知道,这不是一个好主意),所以我已经禁用了它们,但现在当我试图与API (在一个单独的项目中)对话时,我看到一个错误,但在Chrome中,而不是在IE中。
XMLHttpReques
浏览 0提问于2016-07-21得票数 1
3回答
我正在尝试编写一个webform,它将从用户那里获取一个城市和州,将它们传递到API的url中,然后将最高和最低值放到表单中。
目前,如果我在IE中调试它,我在ajax中遇到错误,它会显示一个警告,指出失败404,但如果我在firefox中调试,如果我查看firebug,我会看到304响应。
我通过jsfiddle运行了ajax调用,它在警报中返回了正确的数据。所以我不认为问题出在ajax本身。我已经将其余的javascript和HTML添加到jsfiddle中并运行它,当我点击提交按钮时,我得到一个失败警告的闪光,并且jsfiddle说“错误:请使用POST请求。”如果我这样做了,它仍然做同
浏览 5提问于2014-03-10得票数 0
如何在Spring MVC中实现REST API的HTTP“选项”?或者Spring框架可以根据控制器定义自行发现吗?是否有支持REST API的“选项”动词的用例?支持REST API的“选项”是常见的吗?
谢谢。
浏览 3提问于2013-07-23得票数 1
有人能帮我解决一些小问题吗?我有一个Express应用程序,它完全可以处理邮递员的请求(添加、删除等)。现在,我想使用fetch将我的客户端(react.js)连接到现有的API。
我犯了错误:没有“无cors”模式。
App.js:121 POST net::ERR_ABORTED 400 (不良请求)
以“无cors”模式
加载资源失败:服务器响应状态为400 (坏请求)
App.js中的请求
handleLogInClick = (email, password) => {
email = "name@gmail.com";
password = "q
浏览 4提问于2019-11-16得票数 1
回答已采纳
我正在使用Ejabberd和Orbited,我遇到了一些JavaScript回调函数没有被调用的问题。下面是发生TCPSocket连接的JavaScript文件,我有两个回调函数,分别是
onSocketConnect:当轨道建立与XMPP服务器的5222端口的连接时调用
onLoginSuccess:在xmpp_client.login函数成功完成时调用
我面临的问题是连接成功,但我的回调仅在使用FireFox时调用,而不是在使用Safari或Chrome时调用。我完全不知道是什么原因导致了这个问题,但我确信xmpp_client.login方法确实会被调用,因为用户已经登录,并且在ejab
浏览 2提问于2010-08-04得票数 0
回答已采纳
如何删除此错误
已被CORS策略阻止:请求的资源上不存在'Access-Control-Allow-Origin‘标头
jQuery调用google API距离矩阵时
使用此源
<!DOCTYPE html>
<html>
<head>
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
<script>
$(document).ready(function(){
浏览 7提问于2019-10-01得票数 0
在express.js中使用cors,但我不清楚this.What是在express.js中使用cors的目的吗?
浏览 1提问于2022-05-07得票数 1
由于某些原因,每当我使用YUI进行异步请求并将其指定为GET或POST,而请求是HTTPS时,实际的请求都会使用OPTIONS请求方法。
帮助!它为什么要这么做?
另外,我用Prototype试了一下,得到了同样的结果。
浏览 2提问于2010-06-30得票数 2
回答已采纳
2回答
当我从postman调用第三方API时,它工作得很好,但在angular中我得到了403错误 403。
CORS策略阻止了从源'‘在'’对XMLHttpRequest的访问:对印前检查请求的响应未通过访问控制检查:请求的资源上不存在' Access - control -Allow- origin‘标头。
浏览 8提问于2019-07-02得票数 0
1回答
在Angular中解析远程资源
、、、、
在Angular 5中,当通过 http.get()**?**访问远程资源时,关于CORS,我需要考虑什么
示例:
let url = `http://www.google.com`;
this.http.get(url).subscribe(res => {
console.log(res.text());
// parse html
});
结果:
Failed to load https://www.google.com/:
No 'Access-Control-Allow-Origin' header is present on the requ
浏览 29提问于2018-07-29得票数 -3
回答已采纳
2回答
我正尝试在我的网站上使用我上传到google驱动器中的自定义字体。我必须走这条路线的原因是,特定的网站是博客,它不允许我上传自定义字体。我读过,他们曾建议使用dropbox的专业版,但目前我不打算投资专业账户。我尝试使用的代码如下
<!DOCTYPE html>
<html>
<head>
<style>
@font-face {
font-family: keycapsflf1-webfont;
src: url(https://docs.google.com/uc?authuser=0&id=
浏览 4提问于2015-05-05得票数 0
1回答
我想从另一个领域获得一个使用javascript或PHP的文本。然而,当我尝试访问另一个域时,它给了我一个错误。我尝试了这段代码:
$.ajax({
url:'http://www.corsproxy.com/' +
'en.wikipedia.org/wiki/Briarcliff_Manor,_New_York',
type:'GET',
success: function(data){
$('#content').html($(data).find
浏览 0提问于2018-03-14得票数 0
如果您在不同的服务器上使用URL,为什么jQuery.ajax()抛出一个没有错误消息的错误?
浏览 1提问于2009-07-29得票数 11
回答已采纳
1回答
每次我尝试通过Java项目加载.png文件时,都会得到一个403错误。奇怪的是,它在我之前使用的任何其他主机上都有效,直到我得到了我现在使用的主机。我一直在做一些研究,它似乎是由头文件引起的,因为它正在被我的主机检查,所以它假设客户端是一个机器人,所以它会得到一个403错误。
private static Sprite BACKGROUND;
static {
try {
BACKGROUND = new Sprite(new URL("http://www.CENSORED/client/bg.png"));
}
浏览 11提问于2016-08-25得票数 0
火狐或其他浏览器中有没有与Is浏览器的XDomainRequest等同的东西?
我想访问我的域外的服务/网站。
浏览 0提问于2009-04-24得票数 12
回答已采纳
有一个Spring项目部署在Eclipse本地服务器上(基于Tomcat )。
我想引用来自Angular的这个项目。我先试了http://localhost:8083/gmao-0.0.1-SNAPSHOT/gmao/,然后试了http://localhost:8083/gmao/,但两者都不起作用。
那么如何引用Spring项目呢?
浏览 0提问于2021-11-11得票数 0
我的服务器是A。还有另一个服务器B,它有一个名为C的API。当我查看服务器B上的一个页面时,我看到它通过同源策略向API C发送一个AJAX POST请求。
当我从服务器A向位于另一个服务器B中的API C发送HTTP请求时,如何绕过此策略?
浏览 1提问于2015-10-30得票数 0
我的Rails后端(api.mydomain.com)托管在EBS中。EC2主机有一个VPC安全组。私有网络安全组的入站规则只允许对应的负载均衡安全组在HTTP上。负载均衡安全组在HTTP和HTTPS上都允许0.0.0.0/0。我想限制访问我的Rails后端的应用程序接口调用只能来自我托管在S3 (mydomain.com)中的Angular应用程序。这个是可能的吗?
我想防止其他服务器访问我的API。
浏览 0提问于2018-10-17得票数 0
3回答
我遇到了一些问题,需要一个解决方案,我有这个curl命令
curl -d data1='Some String' -d data2='some string' http://somesite.com/path/is/here
使用jquery ajax调用会是什么样子?
浏览 1提问于2015-09-01得票数 0
我的应用程序要求在前端播放S3格式的视频文件,但它似乎无法读取。浏览器控制台上的错误显示:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://s3-eu-west-1.amazonaws.com/mybucket/Oct17/myvideo.mov. (Reason: CORS header 'Access-Control-Allow-Origin' missing).
All candidate resources fail
浏览 1提问于2018-01-24得票数 0
5回答
使用Firefox插件的跨域通信
、、、、
火狐插件。
有没有任何方法公开这个函数,这样我就可以从任何页面启动跨域ajax (考虑到我已经安装了这个插件)?
编辑: CORS我知道什么是CORS,CORS只有在您控制服务器时才有意义,但我没有。这里的重点是我控制浏览器,我承担风险,所以我询问是否无论如何将跨域功能从addon阶段导出到用户。
浏览 6提问于2012-06-23得票数 9
回答已采纳
我有一本ibook,我正在尝试从云中的数据库中提取数据表,在我的服务器上。如果我把main.html文件放在我的服务器上,并用我的web浏览器浏览到它,它就像冠军返回一个数据表一样,但是当我把这个html作为我的main.html文件放在Info.plist中时,它不会在ibook中显示这个表。我遗漏了什么?
下面是我的html文件,它位于图书页面上ibook html小部件的小部件中
<html>
<head>
<script type="text/javascript" src="http://myserver.com/ibook_wi
浏览 3提问于2013-01-23得票数 1
1回答
我尝试通过ajax.but连接json数据得到了很多问题,跨域,接收端口不exist.can任何人告诉我其他方法如何使用getjson方法或其他任何工作方法发送数据到服务器。
requestNumber = JSONRequest.post(
"https://json.penzance.org/request",
{
user: "doctoravatar@yahoo.com",
t: "vlIj",
zip: 94089,
forecast: 7
},
浏览 0提问于2014-01-05得票数 0
因此IE7不支持CORS (跨域资源共享)。然而,由于我的应用程序的性质,我必须制作一个跨域ajax帖子。有什么方法可以让它在IE7中工作吗?不幸的是,出于安全原因,我不能使用服务器端代理。也许使用iFrame?
我忘了提了,但我也控制了另一台服务器。
浏览 0提问于2012-05-18得票数 4
我正在尝试做简单的注册过程使用vue js和flask后端。但是我得到了这个错误信息。
XMLHttpRequest无法加载。对印前检查请求的响应未通过访问控制检查:请求的资源上不存在“access - control -Allow-Origin”标头。因此不允许访问源'‘。
为什么会发生这种情况?
我的vue js代码如下
methods: {
signup() {
this.$http.post("http://localhost:5000/users", this.user)
.then(function(dat
浏览 1提问于2017-06-08得票数 1
我从angular项目向web .net cor 2.2发送了请求。
我得到了这个错误:
Access to XMLHttpRequest at 'http://localhost/fridge/api/FridgeType/3'
from origin 'http://localhost:4200' has been blocked by CORS policy:
Response to preflight request doesn't pass access control check: It does not have HTTP ok sta
浏览 3提问于2019-11-28得票数 0
这似乎是一个反复出现的问题,但却无法解决。我有一个angular 6应用程序,它使用Msal来强制用户登录。成功登录后,我向aad的令牌端点发出请求,传递服务主体凭据(应用程序的应用程序id和客户端机密),以获取访问令牌,以访问前面提到的here图形应用编程接口。这就是我遇到CORS策略错误的地方。 当我禁用chrome浏览器安全性时,我没有得到任何CORS错误,并且能够获得访问令牌。 为什么我只在尝试使用服务主体凭据获取访问令牌时才得到CORS错误,而不是在用户使用msal登录时? 我需要在浏览器端有任何脚本才能让它工作吗? 如何在不影响安全性的情况下实现它? 登录权限为:https://
浏览 50提问于2019-03-04得票数 2
我是s3桶AWs中的新手,当我试图在s3桶中上传文件时,我收到了错误:Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://xxxxxxx.com,有人能帮我解决这个问题吗?
CORS配置
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</A
浏览 1提问于2019-06-10得票数 4
1回答
我有以下结构:http://subdomain.mysite.com
在那里,我希望能够对以下内容进行AJAX调用:http://mysite.com/releases/ajax/file.php
如果我使用像上面这样的绝对URL,JS会给出一个错误,在行中显示"permissions error“:
xmlhttp.open("POST",url,true);
有没有办法通过子域的相对路径到达那里?如果不是,我可能会重定向到使用mysite.com/subdomains。
浏览 0提问于2012-02-28得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
