CORS和Origin标头?
当我们需要调用Ajax请求时,我们要做的是:
if(typeof XMLHttpRequest !== 'undefined') xhr = new XMLHttpRequest();
else
{
var versions = ["Microsoft.XmlHttp",
"MSXML2.XmlHttp",
"MSXML2.XmlHttp.3.0",
"MSXML2.XmlHttp.4.0",
"MSXML2.XmlHttp.5.0"
];
我已经知道,使用XMLHttpRequest-2,我们可以提出跨源请求 , 并且添加了ORIGIN标头。
题:
-
何时 添加此标头?
- 当浏览器(支持CORS)执行请求时是否添加?(跨域还是非跨域?)
- 还是在浏览器“看到”请求目标来源与当前来源不同时自动添加?
我的意思是:He **是什么意思?
跨域HTTP请求具有一个Origin头。该头为服务器提供请求的来源。此标头受浏览器保护,不能从应用程序代码中更改。本质上,它与跨文档消息传递中使用的消息事件上发现的origin属性在网络上等效。原始标头与较旧的引荐来源[sic]标头的不同之处在于,引荐来源是包含路径的完整URL。因为路径可能包含敏感信息,所以有时尝试保护用户隐私的浏览器不会发送引用。
但是,在必要时,浏览器将始终发送所需的Origin标头 。
问题答案:
该 产地 头
什么时候添加此标头?
在标题阶段,发送文档正文open之前(after ,before send)。
当浏览器(支持CORS)发出请求时,是否添加了它?(跨域还是非跨域?)
当原点与创建 XMLHttpRequest 的页面不匹配时添加,但也可以在同源请求中发送。
还是在浏览器“看到”请求目标来源不同于当前来源时自动添加?
是。
但是,浏览器将始终在必要时发送所需的Origin标头。
这是 XMLHttpRequest 规范的一部分;如果您要进行跨域请求,则在请求标头中会发送一个额外的标头。例如Origin: http://www.stackoverflow.com,此标头由标准遵循的浏览器附加,并且无需用户交互即可添加。
你可以阅读更多关于规范 MozillaWiki的安全部分
, WHATWG
和html5.org。它是由(我知道)FireFox和Google
Chrome实现的。我不认为它是W3C的一部分。此外 ,不要假设origin标头为true ,因为可以通过修改后的浏览器或其他软件手动设置它。
-
Response.AddHeader(“Access-Control-Allow-Origin”,“*”)是如何实现的;行设置多个标题时,包括,但没有当我删除它?
-
我从ASP.NET表单中调用这个函数,在调用Ajax时在firebug控制台中得到以下错误。 跨源请求被阻止:同一源策略不允许读取http://anotherdomain/test.json上的远程资源。(原因:CORS标头“Access-Control-Allow-Origin”丢失)。 我做了其他的方法,但仍然找不到解决办法。 注意:我没有服务器权限进行服务器端(API/URL)更改。
-
问题内容: 将web.xml移植到Java配置后出现以下问题 根据一些Spring参考,尝试了以下尝试: 所选择的值来自有效的web.xml过滤器: 有什么想法为什么Spring java config方法不能像web.xml文件那样工作? 问题答案: 将CorsMapping从更改方法。 为整个应用程序启用CORS很简单: 你可以轻松更改任何属性,以及仅将此CORS配置应用于特定的路径模式: 控
-
我有一个基本的Spring BootRest应用程序和angular应用程序。(使用JWT) 但是,由于这个错误,我不能发出任何请求:(即使我在响应头中添加 以下是安全配置: 下面是我添加cors头的地方:
-
在我的web应用程序中,尝试用ajax调用将数据传递到另一个域。但是它显示了类似于 我的ajax代码是,