CORS就是跨域嗎?

来源:https://www.cnblogs.com/cosimo/p/18023596
-Advertisement-
Play Games

首先,跨域的域是什麼? 跨域的英文是:Cross-Origin。 Origin 中文含義為:起源,源頭,出生地。 在跨域中,"域"指的是一個 Web 資源(比如網頁、腳本、圖片等)的源頭。 包括該資源的協議、主機名、埠號。 在同源策略中,如果兩個資源的域相同,則它們屬於同一域,可以自由進行交互和共 ...


首先,跨域的域是什麼?

跨域的英文是:Cross-Origin。

Origin 中文含義為:起源,源頭,出生地。

在跨域中,"域"指的是一個 Web 資源(比如網頁、腳本、圖片等)的源頭

包括該資源的協議主機名埠號

同源策略中,如果兩個資源的域相同,則它們屬於同一域,可以自由進行交互和共用數據。

反之,如果兩個資源的域不同,就會出現跨域問題

這時就需要特殊的方式來處理,如跨域資源共用(CORS)

那什麼是同源策略?

同源策略(Same-Origin Policy)是瀏覽器中的一項安全機制,用於保護用戶的隱私和安全。

它限制了一個網頁或者腳本只能從同一個源載入的資源進行訪問,而不能訪問其他來源的資源。

這樣做可以防止惡意網站利用用戶身份信息進行跨站請求偽造(CSRF)攻擊,保護用戶的數據安全。

什麼是跨站請求偽造?

跨站請求偽造(CSRF,Cross-Site Request Forgery)是一種網路攻擊方式。

在 CSRF 攻擊中,攻擊者利用已認證的用戶身份(例如用戶在銀行網站上登錄後的會話信息)來偽造請求,以執行未經授權的操作。

舉個例子:

我登錄了銀行網站,瀏覽器根據我的登錄信息生成了一個會話令牌,也就是 session token。

但是這個令牌被而惡意網站給拿到了,它拿著我的 token 去伺服器發送請求。

就可以把我銀行卡裡的 29 塊八毛五全部轉走。

但是如果有同源策略的限制,惡意網站就無法直接發送請求到銀行。

我的 29 塊八毛五就可以保住。

因為惡意網站的功能變數名稱與銀行網站的功能變數名稱不同,瀏覽器會阻止這種搶劫行為。

什麼是跨域資源共用(CORS)?

為了防止被面試官笑話,這裡一定要知道:

跨域資源共用(CORS,Cross-Origin Resource Sharing)是一種用來解決由於瀏覽器的同源策略而導致的跨域請求問題的一種機制。

瀏覽器將 CORS 請求分成兩類:

簡單請求(simple request)和非簡單請求(not-so-simple request)。

什麼是簡單請求?

只要同時滿足以下兩大條件,就屬於簡單請求。

(1)請求方法是以下三種方法之一:
- HEAD
- GET
- POST

(2)HTTP的頭信息不超出以下幾種欄位:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限於三個值:application/x-www-form-urlencoded、multipart/form-data、text/plain

簡單請求的工作流程如下:

1. 瀏覽器在請求中增加一個 Origin 頭部欄位,其中包含當前頁面的源信息(協議、主機、埠)。

2. 伺服器在收到這個請求後,會根據請求中的 Origin 頭部信息來判斷是否允許該請求。

3. 如果伺服器允許該請求,會在響應頭部中包含一個 Access-Control-Allow-Origin 頭部,"*"表示允許所有來源。

4. 瀏覽器在收到響應後,決定是否允許頁面訪問該資源。

什麼是非簡單請求?

不是簡單請求的,就是非簡單請求。

非簡單請求它非簡單在哪?

或者說:

它非簡單又能怎麼樣?

非簡單請求在發起正式請求之前,會先發起一個預檢請求

什麼是預檢請求?

預檢請求是用於在實際的跨域請求之前進行探測和驗證,以確保伺服器能夠正確處理,預防跨域請求可能會引發的安全性問題。

一句話就是:

我去前面探探路!

只有得到伺服器的肯定答覆,瀏覽器才會發出正式的 XMLHttpRequest 請求,否則就報錯。


實際 java 開發中的 CORS 解決跨域配置長這樣:

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 允許所有的URL路徑都可以跨域訪問
        registry.addMapping("/**")
            // 允許所有來源(即允許任何功能變數名稱)的請求跨域訪問
            .allowedOrigins("*")
            // 允許發送身份驗證信息(如cookies、HTTP身份驗證或客戶端SSL證明)
            .allowCredentials(true)
            // 允許跨域請求的HTTP方法,包括GET、POST、PUT、DELETE和OPTIONS。
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            // 預檢請求(OPTIONS請求)的有效期,單位為秒
            .maxAge(3600);
    }
}

還有別的方式可以解決跨域問題嗎?

有的。

使用 Nginx 部署為同一域。

什麼意思呢?

就是說 Nginx 作為唯一域,代理所有服務端,在客戶端眼裡,只有 Nginx 這一個域,也就不存在跨域問題,由 Nginx 拿到請求再分發給對應伺服器。

這裡我們就不再展開。


往期推薦:

● 師爺,翻譯翻譯什麼叫AOP

翻譯,師爺師爺什麼叫事務

紀念JDBC

● SpringBoot實現動態數據源配置

● 聚簇索引、回表與覆蓋索引

Java鎖到底是個什麼東西


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 簡介 簡單工廠模式又稱為靜態工廠模式,屬於創建型模式,但不屬於GOF23設計模式。由一個工廠對象決定創建出哪一種產品類的實例。簡單工廠模式的實質是由一個工廠類根據傳入的參數,動態決定應該創建哪一個產品類。 簡單工廠適用場景:工廠類負責創建的對象比較少;客戶端只需要知道傳入工廠類的參數,對於如何創建對 ...
  • 一、總結 1.1、使用System.currentTimeMillis();計算程式執行毫秒數 // 開始時間1 long startTime1 = System.currentTimeMillis(); Thread.sleep(100); // 結束時間1 long endTime1 = Sys ...
  • 日常工作中,數據開發上線完一個任務後並不是就可以高枕無憂,時常因上游鏈路數據異常或者自身處理邏輯的 BUG 導致產出的數據結果不可信。而問題發現可經歷較長周期(尤其離線場景),往往是業務方通過上層數據報表發現數據異常後 push 數據方去定位問題(對於一個較冷的報表,這個周期可能會更長)。 由於數據 ...
  • Java 面向對象編程 面向對象編程 (OOP) 是一種編程範式,它將程式組織成對象。對象包含數據和操作數據的方法。 OOP 的優勢: 更快、更易於執行 提供清晰的結構 代碼更易於維護、修改和調試 提高代碼重用性 減少開發時間 類和對象 類 是對象的模板,它定義了對象的屬性和方法。 對象 是類的實例 ...
  • Miniconda是Anaconda的簡化版, 可以管理多個Python版本的環境. 實際使用的話, 占用的空間不會很小, 我跑一些正常的應用後, 安裝目錄占用空間4.3GB, 安裝建議要預留10到20G的空間. 安裝 Miniconda 下載安裝包 https://docs.anaconda.co ...
  • 美團面試:Kafka如何處理百萬級消息隊列? 在今天的大數據時代,處理海量數據已成為各行各業的標配。特別是在消息隊列領域,Apache Kafka 作為一個分散式流處理平臺,因其高吞吐量、可擴展性、容錯性以及低延遲的特性而廣受歡迎。但當面對真正的百萬級甚至更高量級的消息處理時,如何有效地利用 Kaf ...
  • 摘要 我們報告了 GPT-4 的開發,這是一個大規模、多模態的模型,可以接受圖像和文本輸入,並生成文本輸出。雖然在許多現實場景中不如人類,但 GPT-4 在各種專業和學術基準測試中表現出與人類水平相當的性能,包括在模擬的律師資格考試中取得了約前10%的考生得分。 GPT-4 是基於 Transfor ...
  • 虛擬線程(Virtual Threads)是 Java 21 所有新特性中最為吸引人的內容,它可以大大來簡化和增強Java應用的併發性。但是,隨著這些變化而來的是如何最好地管理此吞吐量的問題。本文,就讓我們看一下開發人員在使用虛擬線程時,應該如何管理吞吐量。 在大多數情況下,開發人員不需要自己創建虛 ...
一周排行
    -Advertisement-
    Play Games
  • 一個自定義WPF窗體的解決方案,借鑒了呂毅老師的WPF製作高性能的透明背景的異形視窗一文,併在此基礎上增加了滑鼠穿透的功能。可以使得透明窗體的滑鼠事件穿透到下層,在下層窗體中響應。 ...
  • 在C#中使用RabbitMQ做個簡單的發送郵件小項目 前言 好久沒有做項目了,這次做一個發送郵件的小項目。發郵件是一個比較耗時的操作,之前在我的個人博客裡面回覆評論和友鏈申請是會通過發送郵件來通知對方的,不過當時只是簡單的進行了非同步操作。 那麼這次來使用RabbitMQ去統一發送郵件,我的想法是通過 ...
  • 當你使用Edge等瀏覽器或系統軟體播放媒體時,Windows控制中心就會出現相應的媒體信息以及控制播放的功能,如圖。 SMTC (SystemMediaTransportControls) 是一個Windows App SDK (舊為UWP) 中提供的一個API,用於與系統媒體交互。接入SMTC的好 ...
  • 最近在微軟商店,官方上架了新款Win11風格的WPF版UI框架【WPF Gallery Preview 1.0.0.0】,這款應用引入了前沿的Fluent Design UI設計,為用戶帶來全新的視覺體驗。 ...
  • 1.簡單使用實例 1.1 添加log4net.dll的引用。 在NuGet程式包中搜索log4net並添加,此次我所用版本為2.0.17。如下圖: 1.2 添加配置文件 右鍵項目,添加新建項,搜索選擇應用程式配置文件,命名為log4net.config,步驟如下圖: 1.2.1 log4net.co ...
  • 之前也分享過 Swashbuckle.AspNetCore 的使用,不過版本比較老了,本次演示用的示例版本為 .net core 8.0,從安裝使用開始,到根據命名空間分組顯示,十分的有用 ...
  • 在 Visual Studio 中,至少可以創建三種不同類型的類庫: 類庫(.NET Framework) 類庫(.NET 標準) 類庫 (.NET Core) 雖然第一種是我們多年來一直在使用的,但一直感到困惑的一個主要問題是何時使用 .NET Standard 和 .NET Core 類庫類型。 ...
  • WPF的按鈕提供了Template模板,可以通過修改Template模板中的內容對按鈕的樣式進行自定義。結合資源字典,可以將自定義資源在xaml視窗、自定義控制項或者整個App當中調用 ...
  • 實現了一個支持長短按得按鈕組件,單擊可以觸發Click事件,長按可以觸發LongPressed事件,長按鬆開時觸發LongClick事件。還可以和自定義外觀相結合,實現自定義的按鈕外形。 ...
  • 一、WTM是什麼 WalkingTec.Mvvm框架(簡稱WTM)最早開發與2013年,基於Asp.net MVC3 和 最早的Entity Framework, 當初主要是為瞭解決公司內部開發效率低,代碼風格不統一的問題。2017年9月,將代碼移植到了.Net Core上,併進行了深度優化和重構, ...