Ein ausführlicher Blick auf CORs

Dieser Artikel, der von Panayiotis "Pvgr" Velisarakos (dank aller SitePoint-Peer-Rezensenten!) Bewertet wurde, untersucht die Cross-ORIn-Ressourcenfreigabe (CORs), eine HTML5-API, die es ermöglicht, auf Websites zugreifen zu können, um auf zuvor eingeschränkte externe Ressourcen zuzugreifen. CORS lockert die gleichorientierte Richtlinie und ermöglicht Anfragen an verschiedene Domänen. Vor CORs waren beispielsweise die Anfragen von Cross-Domain Ajax unmöglich. Dieser Artikel zeigt, wie CORs Weberlebnisse verbessert.

Key Takeaways:

1. cors wird von den meisten modernen Browsern unterstützt.
2. Der Access-Control-Allow-Origin -Header bestimmt, welche Ursprünge auf Serverantworten zugreifen können.
3. Der Access-Control-Allow-Credentials Header steuert Cookie -Zugriff.
4. einfache Anfragen (Get, Head, Post) keine Präferts auslösen. Komplexere Anfragen tun.
5. Das Attribut crossorigin (mit anonymous oder use-credentials Werten) steuert die Anmeldeinformationsbehandlung für <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173984767246953.jpg" class="lazy" alt=" Ein eingehender Blick auf CORs "> <code><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173984767246953.jpg" class="lazy" alt="An In-depth Look at CORS "> <p><strong>Preflights:</strong></p> <p>For complex requests (methods beyond GET/HEAD/POST, or custom headers), preflights (an initial OPTIONS request) verify server acceptance. The server responds with <code>Access-Control-Allow-Origin Access-Control-Allow-Credentials Access-Control-Allow-Methods Preflights: Access-Control-Allow-Headers Access-Control-Max-Age Access-Control-Request-Method Für komplexe Anforderungen (Methoden, die über Get/Head/Post hinausgehen oder benutzerdefinierte Header), prüfen Sie die Akzeptanz der Server. Der Server antwortet mit Access-Control-Request-Headers,
   ,

   , und

   . Der Client sendet

   und im Vorflug.

   Access-Control-Allow-Origin img.setAttribute('crossOrigin', 'anonymous');

   cors und canvas bilder:

   

   Um externe Bilder in einer Leinwand zu verwenden, muss der Server CORs aktivieren (z. B. durch Einstellen

   in der Serverkonfiguration). Der clientseitige Code erfordert . Ohne CORs tritt eine Sicherheitsausnahme auf. crossorigin

   crossorigin Origin Das Attribut anonymous: use-credentials Access-Control-Allow-Credentials: true

   beim Abholen externer Ressourcen (Bilder, Stylesheets, Skripte) mithilfe von HTML -Tags löst das Attribut

   eine CORS -Anforderung mit dem -Header aus. lässt Anmeldeinformationen aus;

   enthält sie (für serverseitige ). Schlussfolgerung:

   CORS verbessert die Webentwicklung erheblich, indem er den Zugang zu dem originen Ressourcen erleichtert. Es ist entscheidend, seine Sicherheitsauswirkungen zu verstehen und sie korrekt zu implementieren.

   häufig gestellte Fragen (FAQs):

   Der FAQS-Abschnitt enthält detaillierte Antworten auf gemeinsame Fragen zu CORs, die den Zweck von Header, die Cookie-Handhabung, einfache und vorsätzliche Anforderungen, die serverseitige Konfiguration, Sicherheitsrisiken, die Kompatibilität der HTTP-Anforderung, die Rolle spezifischer Header, Browserverhalten, abdecken , Tests und die Unterschiede zwischen CORS und JSONP. (Der ursprüngliche FAQ -Abschnitt wird in seiner Gesamtheit erhalten.)

Das obige ist der detaillierte Inhalt vonEin ausführlicher Blick auf CORs. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!