Access-Control-Allow- 跨域CORS 的使用

最新推荐文章于 2025-05-27 09:39:19 发布
原创 最新推荐文章于 2025-05-27 09:39:19 发布 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了CORS(跨域资源共享)的基本概念与实现原理,详细介绍了CORS请求中涉及的关键HTTP头部信息,如Access-Control-Allow-Origin、Access-Control-Allow-Credentials等,并提供了具体的示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cors是什么 cross-origin resource sharing 跨域资源共享。

示例:

response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "accept,x-requested-with,Content-Type");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Origin", "http://192.168.10.118:8070");

元素

上面的头信息之中,有三个与CORS请求相关的字段,都以Access-Control-开头。

(1)Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

(2)Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

(3)Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader(‘FooBar’)可以返回FooBar字段的值

withCredentials的作用

ORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另一方面,开发者必须在AJAX请求中打开withCredentials属性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

但是,如果省略withCredentials设置,有的浏览器还是会一起发送Cookie。这时,可以显式关闭withCredentials。

"预检"请求的头信息包括两个特殊字段。

(1)Access-Control-Request-Method

该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。

(2)Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。

4要素

(1)Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

(2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

(3)Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

(4)Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。

其他

mdn官网 cors文档:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】
谙忆-陈浩翔
01-14 1万+
Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】 文章目录插件介绍插件下载CSDN论坛下载地址官方的下载地址ZIP包安装插件开关与使用测试是否开启成功注意点关闭插件卸载插件 插件介绍 解决Chrome浏览器的问题,2021年1月14日,确保能用。 QQ群:819539788 插件下载 CSDN论坛下载地址 官方的链接,可能会有朋友无法下载,别方,我准备了国内的下载地址: 关注微信公众号获取下载地址。 回复关键字:chrome
Allow CORS: Access-Control-Allow-Origin插件使用
小新没有蜡笔的博客
11-04 1万+
Allow CORS: Access-Control-Allow-Origin插件使用
允许CORS:访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
允许CORS:访问控制_-_允许来源 前端问题 本插件解压之后直接拖到谷歌浏览器扩展程序界面 即可使用
Chrome插件CROS(Allow-Control-Allow-Origin)离线下载——解决请求难题
最新发布
gitblog_06771的博客
05-27 501
Chrome插件CROS(Allow-Control-Allow-Origin)离线下载——解决请求难题 【下载地址】Chrome插件CROSAllow-Control-Allow-Origin离线下载说明 这款Chrome插件CROS(Allow-Control-Allow-Origin)专为开发者设计...
CORS access-control-allow-headers 的问题
热门推荐
badboyer的专栏
04-27 9万+
最近项目里需要处理请求,遇到了一些问题,中间走了很多坑,深挖了很多细节,受益良多。 cors解决方案中算是很好用的,网上资料一大堆,只需要在服务器端进行配置即可。 配置方法网上也很多,我简单记录下, 主要用到cors-filter-1.7.jar 和java-property-utils-1.9.jar 这两个jar包,其实cors-filter jar包最新的已经出到2.5了
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
此插件为插件,打开后可访问接口,旧版浏览器可直接拖到扩展程序中安装,新版浏览器需要将扩展名修改成rar并解压,然后点击“加载已解压的扩展程序”安装。 ======================插件概述谷歌译文====================== 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行Ajax请求。 只需激活插件并执行请求。默认情况下(在JavaScript API中),CORS源资源共享在现代浏览器中被阻止。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次工具栏图标。图标将变为橙色的C字母。 ======================插件概述谷歌译文====================== ========================插件概述原文======================== Easily add (Access-Control-Allow-Origin: *) rule to the response header. Allow CORS: Access-Control-Allow-Origin lets you easily perform cross-domain Ajax requests in web applications. Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter. ========================插件概述原文========================
谷歌插件:Allow CORS: Access-Control-Allow-Origin
weixin_48947842的博客
03-31 1万+
链接:https://pan.baidu.com/s/13TYc3wn6xOfobFwVjR4IAw 提取码:1234 crx是谷歌chrome插件的扩展格式。谷歌扩展插件安装有两种方式,在线安装和线下安装。在线安装就不多说了,主要说线下安装: 1、从设置->更多工具->扩展程序 打开扩展程序页面 2、打开扩展程序页面的"开发者模式" 3、将crx文件拖拽到扩展程序页面,完成安装 ...
allow-cors-access-control插件,解决问题,内含使用教程
10-03
`allow-cors-access-control` 插件就是为了解决这一问题而诞生的,它允许我们绕过浏览器的同源策略,方便地在Chrome浏览器上进行请求。 `allow-cors-access-control` 插件的核心功能在于启用CORS(Cross-Origin...
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行Ajax请求。 描述: 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin...
谷歌插件allow-cors-access-control.zip
08-04
标题中的“谷歌插件allow-cors-access-control.zip”指的是一个用于解决浏览器问题的Chrome插件。资源共享(CORS)是一种机制,它允许Web应用程序从不同的源请求资源,比如JavaScript通过Ajax从非同源的...
allow-cors-access-control插件
02-10
然而,对于开发者测试或者快速验证请求功能时,使用allow-cors-access-control插件”这样的工具就非常方便,它可以模拟服务器返回包含正确CORS头的响应,无需修改服务器配置。 JavaScript和ECMAScript是紧密...
Allow CORS: Access-Control-Allow-Origin-crx插件
04-02
语言:English 轻松添加(访问 - 控制 - 允许 - 源:*)规则到响应标头。 允许cors:访问-contogn-allize - 原点允许您轻松执行Ajax Web应用程序请求。 只需激活加载项并执行请求。 默认情况下,CORS或CROSS原点资源共享在现代浏览器中被阻止(在JavaScript API中)。 安装此加载项将允许您取消阻止此功能。 请注意,当添加到浏览器时,默认情况下,它会激活(工具栏图标为灰色C字母)。 如果要激活附加品,请按下工具栏图标一次。 图标将转向橙色C字母。 如果您有一个功能请求,或者发现要报告的错误,请填写加载项的主页中的错误报告表单(https://mybrowseraddon.com/access-control-allow-origin.html)。
允许CORS:访问控制 - 允许来源「Allow CORS: Access-Control-Allow-Origin」-crx插件
03-20
轻松地将(Access-Control-Allow-Origin:*)规则添加到响应标题。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行Ajax请求。只需激活插件并执行请求即可。默认情况下,现代浏览器(在JavaScript API中)禁止CORS源资源共享。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活附加组件,请按一次工具栏图标。图标将变为橙色的C字母。如果您有功能请求,或者发现了要报告的错误,请在附件的主页(http://mybrowseraddon.com/access-control-allow-origin.html)中填写错误报告表格。 支持语言:English
Allow_CORS__Access-Control-Allow-Origin_0_1_1_0.zip
03-26
Allow_CORS__Access-Control-Allow-Origin
TOMCAT CORS Access-Control-Allow-Origin cors-filter
06-20
标题“TOMCAT CORS Access-Control-Allow-Origin cors-filter”提及的是在Tomcat服务器上实现CORS策略的一种方式,主要涉及到`Access-Control-Allow-Origin`这个关键的响应头。 `Access-Control-Allow-Origin`...
源资源共享(CORSAccess-Control-Allow-Origin
Mr. David 专栏
09-04 908
好啦,jsonp的原理:通过script标签引入一个js文件,这个js文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的json数据作为参数传入,有种回调的味道!服务器:诶,你是谁,我来看看你的origin,嗯嗯,可以,符合我的要求,放行!没错,就是这家伙干的,浏览器只允许请求当前的资源,而对其他的资源表示不信任。,标识允许哪个的请求。,浏览器也不会理,并且即使有目标站点的cookies,浏览器也不会发送。返回的是满足服务器要求的所有请求方式,请求头,不限于该次请求,
Access-Control-Allow- 设置 资源共享 CORS 详解
az44yao的专栏
12-23 1069
      response.setHeader("Access-Control-Allow-Origin", "*");         response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET");         response.setHeader("Access-Control-Max-Age", "3600.
使用谷歌插件Allow-Control-Allow-Origin解决问题
qcg14774125的博客
08-30 6万+
由于项目需要,自己利用node.js写一些接口数据,但是项目启动时,一直都是报的错,于是百度各种办法找不到原因所在,最后有幸看见一片博文,下面给大家分享一下实际有用的解决的办法(当然这只是自己本地跑服务、测试用的办法) 第一步: 下载谷歌插件伴侣https://www.appinn.com/chrome-ex-assistant/ 第二步: 如果没有就去【找插件】里面去搜...
使用CORS解决问题
weixin_34163553的博客
05-02 1458
1.问题 1.1 什么是 是指名的访问,以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 item.jd.com 与 miaosha.jd.com 如果名和端口都相同,但是请求路径不同,不属于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值