cors是乙個w3c標準,全稱是"跨域資源共享"(cross-origin resource sharing)。
cors需要伺服器端配合才能完成跨域資源請求。
1.普通請求瀏覽器會直接傳送1次請求
(1)如果伺服器端允許當前請求源訪問,則響應頭會返回access-control-allow-origin欄位,瀏覽器會將請求到的資料正常返回給你。
(2)如果伺服器端不允許當前請求源訪問,則伺服器端也會正常返回乙個http響應,響應頭會不包含access-control-allow-origin欄位,瀏覽器拿到返回結果會進行攔截,不把資料返回給客戶端並捕獲到跨域異常報錯。
2.非普通請求瀏覽器會傳送兩次請求,一次為"預檢"請求,一次為正式通訊請求
(1)首先傳送預檢請求,如果伺服器不允許訪問,也會正常返回乙個http響應,瀏覽器直接中斷第二次請求。
(2)如果伺服器允許訪問,以後每次瀏覽器正常的cors請求,就都跟簡單請求一樣會有乙個origin頭資訊字段。伺服器的回應,也都會有乙個access-control-allow-origin頭資訊字段。
關於跨域的一些實驗結論
最近要做開發乙個sso框架,中間涉及到跨域設定cookie的問題,順便對一些知識點進行了實驗和確認。本來這都是一些基本的知識點,可是發現網上很多資料雜亂無章而且錯誤百出,有的錯誤文章竟然被轉來轉去,搞的我越看越糊塗。乾脆做個實驗來逐個測試我自己提出的問題。第乙個 cookie的setdomain屬性...
關於Fragment使用的一些見解
下面來看一下我自定義的fragment的 public abstract class myfragment extends fragment public myfragment getparentmyfragment public void showfragments myfragment myfr...
CSRF XSS Cookies 的一些見解
csrf 攻擊 在瀏覽器中插入了 惡意鏈結 並在使用者訪問之時讓使用者訪問,達到使用使用者的cooikes達到連線指定伺服器客戶的的驗證資訊,並進行一些簡單的操作。比如 防禦 最簡單的,可以通過驗證cookies進行一些防禦。例如在使用者操作驗證中,判斷是否又cookies傳過來,如果沒有則是惡意鏈...