了解CORS


“OK, but no”

如果您曾经使用过AJAX,则可能熟悉浏览器控制台中显示的以下错误:

无法加载https://example.com/:请求的资源上没有“ Access-Control-Allow-Origin”标头。因此,不允许访问来源' https://anfo.pl'。如果不透明的响应满足您的需求,请将请求的模式设置为“ no-cors”,以在禁用CORS的情况下获取资源。

如果看到此消息,则表示响应失败,但是如果转到“网络”选项卡,您仍然可以看到返回的数据-这里的想法是什么?

跨域资源共享(CORS)

您观察到的行为是浏览器CORS实现的结果。

在CORS变得标准化之前,出于安全原因,无法在不同域下调用API端点。相同来源策略阻止了(并且在某种程度上仍然如此)。

CORS 是一种机制,旨在允许代表您发出的请求,同时阻止流氓JS发出的某些请求,并在您向以下位置发出HTTP请求时被触发:

这种机制可以防止攻击者在各种网站(例如,通过Google Ads展示的广告中)中植入h脚本,从而对www.yourbank.com进行AJAX调用,并防止您使用您的凭据登录进行交易。

如果服务器未使用对“简单”GETPOST请求的特定标头进行响应-它仍将被发送,则数据仍将被接收,但浏览器将不允许JavaScript访问响应。

如果您的浏览器尝试做一个“非简单的”请求(例如,包括cookie,或其中要求Content-type比其他application/x-ww-form-urlencodedmultipart/form-datatext-plain所谓的机制)预检将被使用,一个OPTIONS请求将被发送到服务器。

“非简单”请求的一个常见示例是添加cookie或自定义标头-如果您的浏览器发送了这样的请求,并且服务器未正确响应,则仅会进行预检调用(没有额外的标头),而是实际的HTTP请求意欲制造的浏览器将不被发送。

访问控制允许什么?

CORS在请求和响应中都使用了一些HTTP标头,但为了继续工作,您必须理解的标头是:

Access-Control-Allow-Origin

该标头应由服务器返回,并指示允许哪些客户端域访问其资源。该值可以是:

如果您要求客户端传递身份验证标头(例如cookie),则该值不能*-它必须是完全合格的域!

Access-Control-Allow-Credentials

如果您的服务器支持通过cookie进行身份验证,则仅在响应中要求此标头。在这种情况下,唯一有效的值是true

Access-Control-Allow-Headers

提供以逗号分隔的服务器愿意支持的请求标头值列表。如果您使用自定义标头(例如,x-authentication-token您需要在此ACA标头响应中返回它以进行OPTIONS调用,否则该请求将被阻止。

Access-Control-Expose-Headers

同样,此响应应包含一个标头列表,这些标头将出现在对呼叫的实际响应中,并且应可供客户端使用。所有其他标题将受到限制。

Access-Control-Allow-Methods

服务器愿意支持的以逗号分隔的HTTP请求类型动词(例如GETPOST)列表。

Origin

此标头是客户端发出的请求的一部分,并将包含启动应用程序的域。出于安全原因,浏览器不允许您覆盖此值。

如何解决CORS“错误”?

您必须了解CORS行为不是错误-它是一种按预期运行的机制,目的是保护您的用户,您或所呼叫的站点。

有时,缺少适当的标头是错误的客户端实现的结果(例如,缺少授权数据(如API密钥))。

根据您所面临的情况,有几种方法可以“修复错误”:

答:我正在开发前端,并且可以控制或认识开发后端的人

这是最好的情况-您应该能够在要调用的服务器上实现正确的CORS响应。如果该APIexpress用于节点,则可以使用简单的cors程序包。如果要确保站点安全,请考虑使用白名单作为Access-Control-Allow-Origin标题。

B-我正在开发前端,但是现在无法控制后端,我需要一个临时解决方案

这是第二好的方案,因为它只是A,但有一些时间限制。要临时解决此问题,您可以使浏览器忽略CORS机制-例如,使用ACAO Chrome扩展程序,或者通过运行带有以下标志的Chrome完全禁用它:

chrome --disable-web-security --user-data-dir

重要提示, 请记住,这将在整个浏览器会话期间禁用每个网站的机制。请谨慎使用。

这里的另一种选择是使用devServer.proxy(假设您正在使用Webpack来服务您的应用程序)或使用CORS即服务解决方案,例如https://cors-anywhere.herokuapp.com/

C —我正在开发前端,无法控制后端,并且永远不会

好吧,现在事情变得复杂了。首先,您可能应该确定为什么服务器未发送正确的标头。

也许他们不允许第三方应用程序访问其API?也许它们的API仅打算由服务器端应用程序而非浏览器使用?也许您应该在URL中发送各种授权令牌?

如果您仍然认为应该能够通过浏览器访问数据,则必须编写自己的代理,该代理位于浏览器应用程序和API之间,类似于我们在解决方案B中所做的那样。

在中间添加代理

代理不必与您的应用程序在同一域上运行,只要在与客户端通信时代理本身正确支持CORS。代理与API之间的通信完全不必支持CORS。

您可以编写自己的平台,也可以使用现成的解决方案,例如https://www.npmjs.com/package/cors-anywhere

请记住,如果您要支持凭据,则这种方法可能会带来安全风险。

参考

Understanding CORS

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,552评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,666评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,519评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,180评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,205评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,344评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,781评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,449评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,635评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,467评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,515评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,217评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,775评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,851评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,084评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,637评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,204评论 2 341

推荐阅读更多精彩内容