cors

在我们日常的项目开发时使用AJAX，传统的Ajax请求只能获取在同一个域名下面的资源，但是HTML5打破了这个限制，允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的，比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的，它只能被浏览器执行或渲染。主要原因还是出于安全考虑，浏览器会限制脚本中发起的跨站请求。( 同源策略 ， 即JavaScript或Cookie只能访问同域下的内容)。跨域的解决方案有多重JSONP、Flash、Iframe等，当然还有 CORS（跨域资源共享，Cross-Origin Resource Sharing） 今天就来了解下CORS的原理，以及如何使用。 一、CORS概述 跨源资源共享标准通过新增一系列 HTTP 头，让服务器能声明那些来源可以通过浏览器访问该服务器上的各类资源（包括CSS、图片、JavaScript 脚本以及其它类资源）。另外，对那些会对服务器数据造成破坏性影响的 HTTP 请求方法（特别是 GET 以外的 HTTP 方法，或者搭配某些MIME类型的POST请求），标准强烈要求浏览器必须先以 OPTIONS 请求方式发送一个预请求(preflight request)，从而获知服务器端对跨源请求所支持 HTTP 方法。在确认服务器允许该跨源请求的情况下，以实际的 HTTP

同源策略： 如何引用: (iFrame指的是iframe DOM节点) 1. 引用iframe的window对象：iFrame.contentWindow 2. 引用iframe的document对象：iFrame.contentDocument，或者：iFrame.contentWindow.document 示例： 两个页面，前者页面中嵌入iframe，src指向后者： 1. test.nuomi.com/link1.vm 2. nuomi.com/link2.vm； 同源要求：Protocols, domains, and ports均相同 子域名不同的两个站:test.nuomi.com, nuomi.com，如果要通信， 都 必须设置为统一的域名：document.domain=nuomi.com； 即使其中一个已经是域名：nuomi.com，仍然需要 明确调用 ：document.domain=nuomi.com； document.domain设值： 1. 只能是当前域名的suffix，否则报错：Uncaught SecurityError: Failed to set the 'domain' property on 'Document': 'test' is not a suffix of 'test.nuomi.com'. 2. 设值为com也会报错：'com'

CORS 是一个 W3C 标准，全称是”跨域资源共享”（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了 AJAX 只能同源使用的限制（ 跨域资源共享 CORS 详解 ）。 解决 CORS 跨域方法大致有如下几类： 使用 Nginx 代理配置转发请求。 在 Zuul ( 配置允许敏感头信息等 ) 或 Spring Cloud Gateway 层配置跨域网关路由转发到资源端不涉及跨域。 Spring Boot 资源端配置以支持跨域（适用于无网关场景）。 Spring Boot 实现 CORS 跨域 （ 官方 ） 单个方法的跨域支持，可以使用 @CrossOrigin 的注解实现 采用 JavaConfig 实现 采用 Filter 但是如果项目中包含 Spring Security 就会有 401 的问题，Spring Security 本身是通过 Filter 实现的，如果没有对其单独做 CORS 的处理，在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误，导致前端程序无法正常的处理 401 相应 。对于spring security oauth2 默认接口，例如 /oauth/token 跨域问题

因为公司的业务是前后端分离，web前端和后端接口域名不同，所以存在跨域问题，开始使用的是jsonp解决，但是因为接口风格是rest的，还有delete、put等请求，jsonp就不够用了（涉及HTTP简单请求和复杂请求， 这里 有详细介绍），因此就找到了CORS跨域解决方案。原理过长，所以本篇文章只写 服务端 代码实现部分。 代码实现 在 app/Http/Middleware 里新建一个 CorsMiddleware.php ，并写入如下代码： <?php /* * Author:xx_lufei * Time:2016年11月3日13:15:51 * Note:Access Control Headers. */ namespace App\Http\Middleware; use Illuminate\Http\Request; use Illuminate\Http\Response; class CorsMiddleware { private $headers; private $allow_origin; public function handle(Request $request, \Closure $next) { $this->headers = [ 'Access-Control-Allow-Methods' => 'GET, POST, PUT,

一、安装库 pip install django-cors-headers 二、在项目的配置文件settings.py进行配置 INSTALLED_APPS = [ ... "corsheaders", ] MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'corsheaders.middleware.CorsMiddleware', # 解决跨域，注意顺序 'django.middleware.common.CommonMiddleware', ... ] # 添加下列配置项 CORS_ORIGIN_WHITELIST = () CORS_ALLOW_CREDENTIALS = True CORS_ORIGIN_ALLOW_ALL = True CORS_ALLOW_METHODS = ( 'DELETE', 'GET', 'OPTIONS', 'PATCH', 'POST', 'PUT', 'VIEW', ) CORS_ALLOW_HEADERS = ( 'XMLHttpRequest', 'X_FILENAME', 'accept-encoding', 'authorization',

CORS跨域 解决跨域的方案 目前比较常用的跨域解决方案有3种： Jsonp 最早的解决方案，利用script标签可以跨域的原理实现。 限制： 需要服务的支持 只能发起GET请求 nginx反向代理 思路是：利用nginx把跨域反向代理为不跨域，支持各种请求方式 缺点：需要在nginx进行额外配置，语义不清晰 CORS 规范化的跨域请求解决方案，安全可靠。 优势： 在服务端进行控制是否允许跨域，可自定义规则 支持各种请求方式 缺点： 会产生额外的请求 我们这里会采用cors的跨域方案。 什么是cors CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 浏览器端： 目前，所有浏览器都支持该功能（IE10以下不行）。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。 服务端： CORS通信与AJAX没有任何差别，因此你不需要改变以前的业务逻辑。只不过，浏览器会在请求中携带一些头信息，我们需要以此判断是否允许其跨域，然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。 6.3.2.原理有点复杂

jsonp: https://www.freebuf.com/column/156322.html cors: http://www.bywalks.com/1.html 尤其是里面的那个外国人的案例，很棒 这些都是我认为比较通俗易懂的文章，方便自己下次忘记时回顾 视频：漏洞银行84期 https://b23.tv/av38650052 ppt： https://blog.csdn.net/niexinming/article/details/84674235 注意jsonp的挖掘技巧和cors的检测技巧 这篇文章的技巧也很棒 https://www.freebuf.com/column/207802.html 来源： https://www.cnblogs.com/ahacker15/p/12216115.html

1.跨域的定义 只要协议、域名、端口有任何一个不同，就会被当做为不同的域，如果从A域名访问B域名上的资源就叫做跨域。 下面我们来看下几种跨域的方法： 2.document.domain 浏览器的同源策略有一些限制，第一，不能通过ajax方法去请求不同源的资源；第二，浏览器中不同域的框架之间是不能进行JS交互的。假如有一个页面A，地址是 http://www.domain.cn/A.html ，在这个页面里有个iframe，它的地址是 http://domain.cn/B.html, 显然A和B是不同域的，所以我们没法通过JS来访问iframe中的数据和方法。 这种情况就就可以用document.domain来解决。 解决方法就是把 http://www.domain.cn/A.html 和 http://domain.cn/B.html 的document.domain设成相同的域名，需要注意的是， 我们只能把document.domain设置成自身或更高一级的父域，且主域必须相同。 在A中我们把设置document.domain： <iframe id = "iframe" src="http://domain.cn/B.html" onload = "test()"></iframe> <script type="text/javascript"> document