跨域漏洞Responheader配置Access-Control-Allow-Origin 浏览器只允许请求当前域的资源,⽽对其他域的资源表⽰不信任。那怎么才算跨域呢?
1. 请求协议http,https的不同64年属什么生肖
2. 域domain的不同
3. 端⼝port的不同
好好好,⼤概就是这么回事啦,下⾯我们讲2种中规中矩的办法:CORS,JSONP
document.domain,window.name,web sockets就先别闹了,腰不好 : )
2、CORS
这是W3C的标准,全称是"跨域资源共享"(Cross-origin resource sharing)。我们先来看看整个流程
在此之前,需要知道简单请求 复杂请求这两个⼩朋友
1.简单请求:
1): 请求⽅式只能是:head,get,post4GL
2): 请求头允许的字段:Accept,Accept-Language,Content-Language,Last-Event-ID
Content-Type:application/x-www-form-urlencoded、multipart/form-data、text/plain 三选⼀
2.复杂请求:除了简单请求的其他情况
请求头origin字段为当前域
服务器:诶,你是谁,我来看看你的origin,嗯嗯,可以,符合我的要求,放⾏!顺便告诉你,⽼夫的规矩!
其中,最重要的就是Access-Control-Allow-Origin,标识允许哪个域的请求。当然,如果服务器不通过,根本没有这个字段,接着触
发XHR的onerror,再接着你就看到浏览器的提⽰xxx的服务器没有响应Access-Control-Allow-Origin字段表格的英文
//指定允许其他域名访问
'Access-Control-Allow-Origin:172.20.0.206'//⼀般⽤法(*,指定域,动态设置),3是因为*不允许携带认证头和cookies
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
'Access-Control-Allow-Credentials:true'
上⾯第⼀⾏说到的Access-Control-Allow-Origin有多种设置⽅法:
1. 设置*是最简单粗暴的,但是服务器出于安全考虑,肯定不会这么⼲,⽽且,如果是*的话,游览器将不会发送cookies,即使你
的XHR设置了withCredentials
2. 指定域,如上图中的172.20.0.206,⼀般的系统中间都有⼀个nginx,所以推荐这种
3. 动态设置为请求域,多⼈协作时,多个前端对接⼀个后台,这样很⽅便
withCredentials:表⽰XHR是否接收cookies和发送cookies,也就是说如果该值是fal,响应头的Set-Cookie,浏览器也不会理,并且即使有⽬标站点的cookies,浏览器也不会发送。
复杂请求:
最常见的情况,当我们使⽤put和delete请求时,浏览器会先发送option(预检)请求,不过有时候,你会发现并没有,这是后⾯我们会讲到缓存。
预检请求翘二郎腿的坏处
与简单请求不同的是,option请求多了2个字段:
Access-Control-Request-Method:该次请求的请求⽅式
Access-Control-Request-Headers:该次请求的⾃定义请求头字段年底工作总结报告
服务器检查通过后,做出响应:
//指定允许其他域名访问
'Access-Control-Allow-Origin:172.20.0.206'//⼀般⽤法(*,指定域,动态设置),3是因为*不允许携带认证头和cookies
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
'Access-Control-Allow-Credentials:true'
//预检结果缓存时间,也就是上⾯说到的缓存啦
'Access-Control-Max-Age: 1800'
//允许的请求类型
'Access-Control-Allow-Methods:GET,POST,PUT,POST'
//允许的请求头字段
'Access-Control-Allow-Headers:x-requested-with,content-type'
锌的食物有哪些
这⾥有个注意点:Access-Control-Request-Method,Access-Control-Request-Headers返回的是满⾜服务器要求的所有请求⽅式,请求头,不限于该次请求.
问题所在:
金晨身高体重
设置 Access-Control-Allow-Origin 有多种⽅式,这⾥写两种
⼀. 微服务中整合springSecurity,
1.编写过滤器
package fig;
slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import Ordered;
import annotation.Order;
import org.springframework.stereotype.Component;
import javax.rvlet.*;
import javax.rvlet.http.HttpServletRespon;
import java.io.IOException;
@Order(Ordered.HIGHEST_PRECEDENCE)
@Component
@Slf4j
public class CORSFilter implements Filter {
@Value("${}") //apollo配置 ,允许跨域访问的主体
private String originRegex;
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletRespon res, FilterChain chain) throws IOException, ServletException { HttpServletRespon respon = (HttpServletRespon) res;
respon.tHeader("Access-Control-Allow-Origin", originRegex);
respon.tHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
respon.tHeader("Access-Control-Max-Age", "3600");
respon.tHeader("Access-Control-Allow-Headers", "x-requested-with");
respon.tHeader("Access-Control-Allow-Credentials", "true");
chain.doFilter(request, respon);
}
public void destroy() {}
}
2.添加过滤器
package fig;
import t.annotation.Configuration;
import org.fig.annotation.web.builders.HttpSecurity;
import org.fig.figuration.WebSecurityConfigurerAdapter;
import org.springframework.curity.web.authentication.UrnamePasswordAuthenticationFilter;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity curity) throws Exception {
curity.csrf().disable();
curity.headers().frameOptions().disable();
//加⼊过滤器
curity.addFilterBefore(new CORSFilter(), UrnamePasswordAuthenticationFilter.class);
}
}
2. nginx 配置
location / {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Headers "X-Requested-With";
add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
碱性磷酸酶偏低
}
如果同时配置服务器过滤器与nginx ,则会看到页⾯错误:
The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed
看上⾯错误提⽰,contains multiple values "*" 意思就是设置了2次跨域,但是只有⼀个是允许的,移除其中的任意⼀个就好了。如果服务器设置了允许跨域,使⽤Nginx代理⾥⾯就不需要了(或者就不⽤使⽤Nginx了)
