- 浏览: 448412 次
- 性别:
- 来自: 广州
文章分类
最新评论
-
ubuntu的疯狂:
推荐一份完整的教程:http://blog.ddlisting ...
Emberjs学习 -
ptz19:
请问,如果把合并前的文件,不要dest 目标目录来。如: js ...
gulp下静态资源的合并、压缩、MD5后缀 -
zhouzq1008:
楼主,还有个问题,<a href="" ...
gulp下静态资源的合并、压缩、MD5后缀 -
zhouzq1008:
感谢楼主,用到了您的代码, 但现在好像有改动 否则会报错:修改 ...
gulp下静态资源的合并、压缩、MD5后缀 -
denverj:
感谢分享~
Emberjs学习
CORS浏览器支持:Firefox 3.5+, Safari 4+, Chrome, Safari for iOS, and WebKit for Android
允许多个域名? 可以考虑把 域名做一个白名单,读取到服务器,然后再进行匹配。
上述的这种跨域请求有几个限制:
1. 不会携带cookie信息到服务器端;服务器端也不能写cookie到客户端;
2. 不能通过setRequestHeader()自定义头部信息;
3. getAllResponseHeaders()返回值为空字符串。
关于预检请求(Preflighted Request):
事实上,如果用户通过setRequestHeader自定义了头部信息,浏览器会默认先发送一个请求,用了判断请求是否合法,如果不通过,
ajax请求就失败了,如果通过了,浏览器会再发一次请求,读取服务器的返回数据。
例如,上述例子中,如果调用:
objXMLHTTP.setRequestHeader("hello","world");
则浏览器会发出请求,内容为空,请求头部为:
OPTIONS /jsp/json.jsp HTTP/1.1
Host: www.test.com:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,* / * ;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip, deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://shawn.test2.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: hello
注意,头部请求中,多出几个选项:
Origin: http://shawn.test2.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: hello
如果想采用POST方式提交ajax数据,需要手动设置
因为这里定义请求头,所以后端也需要做设置支持:
浏览器支持预检请求:Firefox 3.5+, Safari 4+, and Chrome
关于携带验证信息的请求(Credentialed Requests)
如果希望把cookie信息、HTTP授权信息、客户端的SSL证书等发送到服务器端。可以如下设置:
注意:
1. 这里面,请求携带的是 服务器所在域名的cookie。例子中,就是 www.test.com (包括test.com)的cookie信息。
2. 如果服务端这时候设置了cookie,那么它是起作用的,默认挂在 www.test.com 域名下。
IE8+ 下的跨域对象:
IE8+ 支持一个XDomainRequest (XDR) 对象,用来进行跨域的ajax通信。
XDomainRequest 相比较普通的Ajax对象,有以下限制:
1. 不支持Cookie的发送和接收;
2. 除了 Content-type,不能设置其他请求头部;
3. 无法读写返回头部;
4. 仅支持 GET / POST 方法。(其它的方法的是?)
总的来说,IE下出于安全的考虑,对于跨域的ajax限制很大,功能也弱。XDomainRequest也支持 progres、timeout等事件,更多内容可以参考MSDN.
参考资料:
https://developer.mozilla.org/en-US/docs/HTTP_access_control
http://msdn.microsoft.com/ZH-CN/library/cc288060
https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control
《javascript高级程序设计3》
//页面A: http://shawn.test2.com/crossAjax.html function create(){ var objXMLHTTP = new XMLHttpRequest(); objXMLHTTP.open('GET', 'http://www.test.com:8080/jsp/json.jsp', true); //objXMLHTTP.setRequestHeader("hello","world"); objXMLHTTP.onreadystatechange = function(){ if(objXMLHTTP.readyState == 4){ alert(objXMLHTTP.responseText); } }; objXMLHTTP.send(null); } //后端页面B: http://www.test.com:8080/jsp/json.jsp <% // 允许来自 http://shawn.test2.com(默认端口80)的请求。 response.setHeader("Access-Control-Allow-Origin","http://shawn.test2.com"); // 允许所有 //response.setHeader("Access-Control-Allow-Origin","*"); /* cookie 设置发送到浏览器端,不会生效。 String cookieName="Sender"; Cookie cookie=new Cookie(cookieName, "Test_Content"); cookie.setMaxAge(10); //存活期为10秒 response.addCookie(cookie); */ String str = ""; str += "{"; str += "\"result\":1"; str += ",\"data\":[5,7]"; str += "}"; out.print(str); %>
允许多个域名? 可以考虑把 域名做一个白名单,读取到服务器,然后再进行匹配。
上述的这种跨域请求有几个限制:
1. 不会携带cookie信息到服务器端;服务器端也不能写cookie到客户端;
2. 不能通过setRequestHeader()自定义头部信息;
3. getAllResponseHeaders()返回值为空字符串。
关于预检请求(Preflighted Request):
事实上,如果用户通过setRequestHeader自定义了头部信息,浏览器会默认先发送一个请求,用了判断请求是否合法,如果不通过,
ajax请求就失败了,如果通过了,浏览器会再发一次请求,读取服务器的返回数据。
例如,上述例子中,如果调用:
objXMLHTTP.setRequestHeader("hello","world");
则浏览器会发出请求,内容为空,请求头部为:
OPTIONS /jsp/json.jsp HTTP/1.1
Host: www.test.com:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,* / * ;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip, deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://shawn.test2.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: hello
注意,头部请求中,多出几个选项:
Origin: http://shawn.test2.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: hello
如果想采用POST方式提交ajax数据,需要手动设置
function create(){ var objXMLHTTP = new XMLHttpRequest(); objXMLHTTP.open('POST', 'http://www.test.com:8080/jsp/json.jsp', true); objXMLHTTP.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); objXMLHTTP.setRequestHeader("hello", "world"); objXMLHTTP.onreadystatechange = function(){ if(objXMLHTTP.readyState == 4){ alert(objXMLHTTP.responseText); } }; objXMLHTTP.send("userName=shawn"); }
因为这里定义请求头,所以后端也需要做设置支持:
<% response.setHeader("Access-Control-Allow-Origin","http://shawn.test2.com"); //response.setHeader("Access-Control-Allow-Methods","GET,POST"); //逗号分隔;默认可以不设置。 response.setHeader("Access-Control-Allow-Headers","Content-Type,hello"); //逗号分隔 //预检测被缓存时间:30秒;默认可以不设置。在这个时间内,用户再次请求改数据,可以跳过预检测阶段。 // 在firefoxV8里面,发现这个设置并没有生效。chromeV14、Safari5是生效的。 //response.setHeader("Access-Control-Max-Age","30"); String str = ""; str += "{"; str += "\"result\":1"; str += ",\"data\":[5,7]"; str += ",\"userName\":" + request.getParameter("userName"); str += "}"; out.print(str); %>
浏览器支持预检请求:Firefox 3.5+, Safari 4+, and Chrome
关于携带验证信息的请求(Credentialed Requests)
如果希望把cookie信息、HTTP授权信息、客户端的SSL证书等发送到服务器端。可以如下设置:
objXMLHTTP.withCredentials = true; //允许ajax请求携带cookie信息 // 服务器端,同样要做调整: response.setHeader("Access-Control-Allow-Credentials", "true");
注意:
1. 这里面,请求携带的是 服务器所在域名的cookie。例子中,就是 www.test.com (包括test.com)的cookie信息。
2. 如果服务端这时候设置了cookie,那么它是起作用的,默认挂在 www.test.com 域名下。
IE8+ 下的跨域对象:
IE8+ 支持一个XDomainRequest (XDR) 对象,用来进行跨域的ajax通信。
XDomainRequest 相比较普通的Ajax对象,有以下限制:
1. 不支持Cookie的发送和接收;
2. 除了 Content-type,不能设置其他请求头部;
3. 无法读写返回头部;
4. 仅支持 GET / POST 方法。(其它的方法的是?)
//http://shawn.test2.com/crossAjax.html function createXDR(){ var xdr = new XDomainRequest(); xdr.onload = function(){ alert(xdr.responseText); }; xdr.onerror = function(){ alert("An error occurred."); }; //测试中,发现仅仅只能通过GET方式传值。 xdr.open("GET", "http://www.test.com:8080/jsp/jsonie.jsp"); // IE8 下报错 // xdr.contentType = "application/x-www-form-urlencoded"; // xdr.send(); // 后端无法读取到POST的内容。不知道为何? // xdr.send("userName=shawn"); } // http://www.test.com:8080/jsp/jsonie.jsp <% response.setHeader("Access-Control-Allow-Origin","*"); // allow all String str = ""; str += "{"; str += "\"result\":1"; str += ",\"data\":[5,7]"; str += ",\"userName\":" + request.getParameter("userName"); str += "}"; out.print(str); %>
总的来说,IE下出于安全的考虑,对于跨域的ajax限制很大,功能也弱。XDomainRequest也支持 progres、timeout等事件,更多内容可以参考MSDN.
参考资料:
https://developer.mozilla.org/en-US/docs/HTTP_access_control
http://msdn.microsoft.com/ZH-CN/library/cc288060
https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control
《javascript高级程序设计3》
发表评论
-
webpack简单打包PC网站前端资源
2016-02-23 14:30 1691:arrow: 1. 纯前端的打包输出,比较有局限 2 ... -
grunt构建基于seajs的网站实现
2015-06-16 16:49 1127Gruntfile.js module.exports ... -
js平滑滚动回到顶部
2015-06-10 11:42 4013优先使用 requestAnimationFrame实现。 实 ... -
fis-amd 的使用与修改
2015-05-26 16:14 3955https://github.com/fex-team/fis ... -
scrollMagic 视差与滚动动画GSAP
2015-05-19 18:14 4440scrollMagic(https://github.com/ ... -
skrollr-视差滚动动画插件
2015-05-19 14:18 1738skrollr ( https://github.com/Pr ... -
stellar插件的使用
2015-05-18 17:30 1783<!DOCTYPE html> < ... -
icon font VS svg font
2015-05-14 15:21 1211关于字体图标和SVG图标,CSS TRICK网站有较好的说明。 ... -
gulp下静态资源的合并、压缩、MD5后缀
2015-05-05 15:48 22631var gulp = require('gulp'); ... -
DOMContentLoaded VS onload VS onreadystatechange
2015-04-30 14:50 70081. DOMContentLoaded 在页面html、scr ... -
简单的css3全屏滚动
2015-04-27 16:41 1450<!DOCTYPE html> <ht ... -
jquery插件treetable 的使用
2015-04-20 16:12 11997插件的文档写得不是很好,为了能弄出异步加载的功能,小折腾了一番 ... -
sublime 侧边栏字体大小修改
2015-04-16 10:46 3834【转载自:http://jekhy.com ... -
移动端的“点透”问题
2015-04-15 14:13 1659移动端的“点透”问题,这篇博文有较好的说明: http://w ... -
scheme缺少,ie的bug
2015-04-01 17:34 532在页面上定位一个资源(JS/CSS/image),通常的url ... -
大整数相加
2015-03-26 22:18 936function repeatStr(ch, n){ ... -
getBoundingClientRect 跨浏览器实现
2015-03-18 18:30 1105<head> <script ... -
window.name 跨域
2015-03-18 17:29 898window.name跨域的基础是:iframe页面在其url ... -
window.name 跨域
2015-03-18 17:27 1window.name跨域的基础是:iframe页面在其ur ... -
HTML History API
2015-03-13 18:05 1131// 替换当前浏览器history的最后一项记录。 hi ...
相关推荐
1. **CORS(Cross-Origin Resource Sharing)**:服务器端设置Access-Control-Allow-Origin等响应头,允许特定域名的请求访问。这是推荐的解决跨域问题的标准方法。 2. **JSONP(JSON with Padding)**:通过动态...
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源...
CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on ...
2. CORS(Cross-Origin Resource Sharing):现代浏览器支持的跨域方式,通过设置Access-Control-Allow-Origin等CORS相关的响应头,允许特定或所有源进行跨域请求。CORS支持所有HTTP方法,并提供了完整的错误处理机制...
3. **CORS(Cross-Origin Resource Sharing)**:为了解决跨域限制,Web开发者可以使用CORS机制,通过在服务器端设置"Access-Control-Allow-Origin"响应头,允许特定或所有源的请求。 4. **"Access-Control-Allow-...
在前端开发过程中,跨域(Cross-Origin)是一个常见的问题,特别是在使用Ajax进行API调用或者加载外部资源时。"Allow-Control-Allow-Origin_1_0_3_0.crx" 是一个Chrome浏览器扩展,用于帮助开发者解决跨域限制,以...
在IT行业中,尤其是在Web开发领域,跨域资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(域名、协议或端口)发送Ajax请求,以突破同源策略的限制。Tomcat作为一款广泛...
CORS(Cross-Origin Resource Sharing)是一种W3C标准,它允许浏览器和服务器通过添加特定的HTTP头部来安全地执行跨域请求。默认情况下,由于同源策略的限制,浏览器只允许与同一源(协议+域名+端口)的网站进行交互...
1. CORS(Cross-Origin Resource Sharing,跨源资源共享):这是一种W3C标准,通过在服务器端设置特定的HTTP响应头,允许浏览器在跨域请求时进行权限判断,从而实现跨域资源访问。 2. JSONP(JSON with Padding):...
CORS,即Cross-Origin Resource Sharing,跨域资源共享,是一种允许浏览器从不同源加载资源的机制。在前后端分离的架构中,由于前端和后端可能部署在不同的域名下,跨域问题就显得尤为重要。SpringBoot提供了多种...
为了解决这个问题,Web开发者可以使用CORS(Cross-Origin Resource Sharing,跨源资源共享)机制。CORS通过在服务器端设置响应头`Access-Control-Allow-Origin`来允许特定或所有来源的请求。这就是压缩包中可能包含...
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源...
标题“Allow-Control-Allow-Origin-小军617”和描述中的...对于更复杂的应用场景,可以考虑使用CORS(Cross-Origin Resource Sharing)进行服务器端的跨域配置,或者使用JSONP(JSON with Padding)等其他跨域技术。
为了解决这个问题,CORS(Cross-Origin Resource Sharing,跨源资源共享)应运而生。CORS提供了一种安全的方式来允许浏览器和服务器之间进行跨域通信,使得开发者可以突破同源策略的限制。 **一、CORS的工作原理** ...
为了克服这一限制,开发者可以使用CORS(Cross-Origin Resource Sharing,跨源资源共享)机制。 CORS通过在服务器端设置特定的HTTP响应头"Access-Control-Allow-Origin"来允许特定的源进行跨域请求。这个头的值可以...
- CORS(Cross-Origin Resource Sharing):这是一种现代浏览器支持的机制,允许服务器指定哪些源可以访问其资源。WCF服务端设置`Access-Control-Allow-Origin`头来允许特定的源进行跨域请求。 在提供的...
- **CORS**(Cross-Origin Resource Sharing,跨源资源共享)是一个W3C标准,用于定义服务器如何响应来自不同源的HTTP请求。 - CORS由服务器端配置完成,主要通过HTTP头部中的`Access-Control-Allow-Origin`字段来...
为了解决C#服务器与JavaScript客户端的跨域通信,我们需要采用跨域资源共享(CORS,Cross-Origin Resource Sharing)机制。CORS是一种W3C标准,允许服务器声明哪些源可以访问其资源。在C# ASP.NET环境中,可以通过...
在Web开发中,跨域(Cross-Origin Resource Sharing, CORS)是一个关键的概念,它涉及到浏览器的安全策略,限制了JavaScript从一个源获取资源到另一个源。为了克服这个限制,开发者需要使用CORS机制。本文将深入探讨...