不需要设置前端太多,只需要在服务端是在请求头,使服务端的回复数据可以正常通过浏览器的限制,进入网站
首先说下简单请求和非简单请求:
简单请求:必须满足下列条件
1.请求方式:head,get,post
2.请求头
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:其对应值限制为3个application/x-www-form-urlencoded,multipart/form-data,text/plain
必须同时满足上面的两个条件叫做简单请求
简单请求:跨站请求时只需要一次请求
非简单请求:两次请求,在发送请求之前会先发送一次请求(预检),通过预检的才能再次发送一次请求进行数据传输
一:简单请求
前端:正常设置信息
function CorsAjax(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"post",
success:function(data){
console.log(data);
}
})
}
后台服务端(跨域方)需要设置请求头:
#简单请求
def post(self, *args, **kwargs):
self.set_header('Access-Control-Allow-Origin',"http://www.py_test1.com:8080,http://www.py_test1.com:8080")#设置一个或多个都可以,或者加上*代表所有的都允许
self.write('{"status":1,"message":"post"}')
二:复杂请求:需要先发送一次预检
而预检的请求方式为options,所以我们需要在服务端设置一个options请求来处理预检信息
1.当前端的请求方式不满足条件时:
//复杂请求,会发送两个请求,一个options一个put
function CorsAjax2(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"put",
success:function(data){
console.log(data);
}
})
}
需要在服务端设置预检
#复杂请求
def options(self, *args, **kwargs):#第一次用于预检
#先允许网站接入
self.set_header('Access-Control-Allow-Origin', "http://www.py_test1.com:8080")
#若是请求方法不满足get,post,head
self.set_header('Access-Control-Allow-Methods',"PUT,DELETE")#还可以添加其他,比如DELETE,不能是*
def put(self, *args, **kwargs):#第二次为请求,用于数据传输
self.set_header('Access-Control-Origin','http://www.py_test1.com:8080') #也要设置源地址
self.write('put ok')
2.当客户端请求头也不满足时:
//复杂请求,会发送两个请求,一个options一个put
function CorsAjax2(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"put",
headers:{'k1':'ddasf',"k2":'fa'},
success:function(data){
console.log(data);
}
})
}
服务端需要设置关于请求头的信息
#复杂请求
def options(self, *args, **kwargs):#第一次用于预检
#先允许网站接入
#self.set_header('Access-Control-Allow-Origin',"*") # 或者加上*代表所有的都允许
#如果客户端允许传递cookie,那么这里请求头就不能是*,必须是指定的url
self.set_header('Access-Control-Allow-Origin', "http://www.py_test1.com:8080")
#若是请求方法不满足get,post,head
self.set_header('Access-Control-Allow-Methods',"PUT,DELETE")#还可以添加其他,比如DELETE,不能是*
#若是请求头也不满足简单请求,也需要设置
self.set_header('Access-Control-Allow-Headers', "k1,k2")#客户端自定义请求头
对于客户端预检可以设置缓存时间,在相应时间内,不会再进行预检
#可以设置缓存时间,原来需要一次预检一次请求,现在只需要一次请求
self.set_header('Access-Control-Max-Age',)#10秒内不再产生预检
对于请求头,若是服务端想要自定义请求都传入客户端:需要进行以下操作
def put(self, *args, **kwargs):#第二次为请求
#服务端自定义响应头
#self.set_header('xxoo','seven')
#self.set_header('bili','daobidao')#这样是客户端无法接收
#还需要设置一条
#self.set_header('Access-Control-Expose-Headers',"xxoo,bili")
3.当客户端允许携带cookie时
需要在客户端设置XMLHttpRequest的withCredentials为true
//复杂请求,会发送两个请求,一个options一个put
function CorsAjax2(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"put",
headers:{'k1':'ddasf',"k2":'fa'},
xhrFields:{withCredentials:true},//默认是不允许携带cookie和ssl证书等,需要设置,服务端也要相应设置
success:function(data){
console.log(data);
}
})
}
注意在服务端响应时不允许设置Access-Control-Allow-Origin为通配符*
#若是客户端传递cookie进入,需要设置允许证书等
self.set_header('Access-Control-Allow-Credentials',"true")
完整代码
#复杂请求
def options(self, *args, **kwargs):#第一次用于预检
#先允许网站接入
#self.set_header('Access-Control-Allow-Origin',"*") # 或者加上*代表所有的都允许
#如果客户端允许传递cookie,那么这里请求头就不能是*,必须是指定的url
self.set_header('Access-Control-Allow-Origin', "http://www.py_test1.com:8080")
#若是请求方法不满足get,post
self.set_header('Access-Control-Allow-Methods',"PUT,DELETE")#还可以添加其他,比如DELETE,不能是*
#若是请求头也不满足简单请求,也需要设置
self.set_header('Access-Control-Allow-Headers', "k1,k2")#客户端自定义请求头
#若是客户端传递cookie进入,需要设置允许证书等
self.set_header('Access-Control-Allow-Credentials',"true")
#可以设置缓存时间,原来需要一次预检一次请求,现在只需要一次请求
self.set_header('Access-Control-Max-Age',)#10秒内不再产生预检
在第二次请求中:可以设置cookie,并获取
def put(self, *args, **kwargs):#第二次为请求
#由于设置了cookie,所有这里不允许*
#self.set_header('Access-Control-Allow-Origin', "*")
self.set_header('Access-Control-Allow-Origin',"http://www.py_test1.com:8080")
self.set_header('Access-Control-Allow-Credentials',"true")
#为跨域站点设置cookie
print(self.cookies)
self.set_cookie('kk','')
self.write('put ok')
注意第二次请求也是需要设置Access-Control-Allow-Origin的
而且由于cookie的添加需要设置Access-Control-Allow-Credentials
前端完整:
<script>
function CorsAjax(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"post",
success:function(data){
console.log(data);
}
})
} //复杂请求,会发送两个请求,一个options一个put
function CorsAjax2(){
$.ajax({
url:'http://www.py_test2.com:8081/cors',
dataType:'text',
data:{},
type:"put",
headers:{'k1':'ddasf',"k2":'fa'},
xhrFields:{withCredentials:true},//默认是不允许携带cookie和ssl证书等,需要设置,服务端也要相应设置
success:function(data){
console.log(data);
}
})
}
服务端完整:
class CorsHandler(tornado.web.RequestHandler):
def get(self, *args, **kwargs):
self.write('{"status":1,"message":"get"}') #简单请求
def post(self, *args, **kwargs):
self.set_header('Access-Control-Allow-Origin',"http://www.py_test1.com:8080,http://www.py_test1.com:8080")#或者加上*代表所有的都允许
self.write('{"status":1,"message":"post"}') #复杂请求
def options(self, *args, **kwargs):#第一次用于预检
#先允许网站接入
#self.set_header('Access-Control-Allow-Origin',"*") # 或者加上*代表所有的都允许
#如果客户端允许传递cookie,那么这里请求头就不能是*,必须是指定的url
self.set_header('Access-Control-Allow-Origin', "http://www.py_test1.com:8080")
#若是请求方法不满足get,post
self.set_header('Access-Control-Allow-Methods',"PUT,DELETE")#还可以添加其他,比如DELETE,不能是*
#若是请求头也不满足简单请求,也需要设置
self.set_header('Access-Control-Allow-Headers', "k1,k2")#客户端自定义请求头
#若是客户端传递cookie进入,需要设置允许证书等
self.set_header('Access-Control-Allow-Credentials',"true")
#可以设置缓存时间,原来需要一次预检一次请求,现在只需要一次请求
self.set_header('Access-Control-Max-Age',)#10秒内不再产生预检 def put(self, *args, **kwargs):#第二次为请求
#服务端自定义响应头
#self.set_header('xxoo','seven')
#self.set_header('bili','daobidao')#这样是客户端无法接收
#还需要设置一条
#self.set_header('Access-Control-Expose-Headers',"xxoo,bili") #由于设置了cookie,所有这里不允许*
#self.set_header('Access-Control-Allow-Origin', "*")
self.set_header('Access-Control-Allow-Origin',"http://www.py_test1.com:8080")
self.set_header('Access-Control-Allow-Credentials',"true")
#为跨域站点设置cookie
print(self.cookies)
self.set_cookie('kk','')
self.write('put ok')
更多信息来源可以看此处
简单请求 OR 非简单请求
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
条件: 1、请求方式:HEAD、GET、POST
2、请求头信息:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type 对应的值是以下三个中的任意一个
application/x-www-form-urlencoded
multipart/form-data
text/plain
注意:同时满足以上两个条件时,则是简单请求,否则为复杂请求 |
ajax跨域原理和cors跨域资源共享的更多相关文章
-
Jquery+ajax+json+servlet原理和Demo
Jquery+ajax+json+servlet原理和Demo 大致过程: 用户时间点击,触发js,设置$.ajax,开始请求.服务器响应,获取ajax传递的值,然后处理.以JSON格式返回给ajax ...
-
浅谈跨域问题,CORS跨域资源共享
1,何为跨域? 在理解跨域问题之前,你先要了解同源策略和URL,简单叙述: 1)同源策略 三同:协议相同,域名相同,端口相同: 目的:保证用户信息安全,防止恶意网站窃取数据.同源策略是必须的,否则co ...
-
(三)ajax请求不同源之cors跨域
一.基本原理 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)它允许浏览器向跨源服务器,发出 XMLHttpReque ...
-
jQuery.Ajax IE8,9 无效(CORS跨域)
今天在开发网站的时候,发现一个问题,$.ajax()在 IE8,9 浏览器不起作用,但 Chrome,Firefox ,360,IE10以上等浏览器却是可以的,网上资料很多,查询最后发现是 IE8,9 ...
-
JSONP跨域原理和jQuery.getJSON用法
JSONP是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式).本文主要介绍JS ...
-
ssm框架如果想要跨域请求,cors跨域
<!-- 跨域 --> <mvc:cors> <mvc:mapping path="/**"/> </mvc:cors> 在spri ...
-
ajax跨域请求解决方案 CORS和JSONP
什么是跨域: 只要协议.域名.端口有任何一个不同,都会被当成不同的域.而由于浏览器的同源策略(同源策略:域名.协议.端口均相同),浏览器之间要隔离不同域的内容,禁止互相操作,不能执行其他网站的js.所 ...
-
Springboot CORS跨域访问
Springboot CORS跨域访问 什么是跨域 浏览器的同源策略限制: 它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响.可以说Web是构建在同源策略基础 ...
-
浅谈跨域以及WebService对跨域的支持
跨域问题来源于JavaScript的同源策略,即只有 协议+主机名+端口号 (如存在)相同,则允许相互访问.也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源. 在 ...
随机推荐
-
FlexPaper+SWFTool+操作类=在线预览PDF
引言 由于客户有在线预览PDF格式的需求,在网上找了一下解决方案,觉得FlexPaper用起来还是挺方便的,flexpaper是将pdf转换为swf格式的文件预览的,所以flexpaper一般和swf ...
-
linux编程之内存映射
一.概述 内存映射是在调用进程的虚拟地址空间创建一个新的内存映射. 内存映射分为2种: 1.文件映射 ...
-
161109、windows下查看端口占用情况
1.开始---->运行---->cmd,或者是window+R组合键,调出命令窗口 2.输入命令:netstat -ano,列出所有端口的情况.在列表中我们观察被占用的端口,比如是4915 ...
-
word文档左侧显示目录
word2007 选择word的视图,然后选择文档结构图
-
洛谷 1373 小a和uim之大逃离
/* 很容易想到f[i][j][k][l][01] 表示到ij点 两个人得分为kl 01表示这一步谁走的 因为起点不同 路径不同 所以要枚举起点.. 时间复杂度 O(nmk*nmk) 空间复杂度 O( ...
-
将图片嵌入到markdown文档中
转自KFXW的专栏 将图片嵌入Markdown文档中一直是一个比较麻烦的事情.通常的做法是将图片存入本地某个路径或者网络存储空间,使用URL链接的形式插入图片: ![image][url_to_ima ...
-
ftok()函数深度解析
[转载] 原文链接:https://blog.csdn.net/u013485792/article/details/50764224 关于ftok函数,先不去了解它的作用来先说说为什么要用它,共享内 ...
-
msql 复杂练习
https://blog.csdn.net/xiao__oaix/article/details/78122294 customer表branch 表account 表 depositor 表loan ...
-
linux python虚拟环境 相关的
为什么要用虚拟环境 在使用python开发过程中,各种业务需求多了,导致工程任务多了,难免会碰到不同的工程依赖不同版本库的问题,;或者是在开发的时候不想让物理环境里充斥各种各样的库,引发依赖环境灾难, ...
-
ROS知识(23)——行为树Behavio Tree原理
机器人的复杂行为的控制结构CA(Contrl Architecture)通常使用有限状态机来实现,例如ROS提供的smach.行为树是另外一种实现机器人控制的方法,ROS下代表的开源库有pi_tree ...