多层跨域引出的血案

于 2022-07-20 11:28:00 发布
阅读量311 收藏
点赞数 2
分类专栏: JAVA 文章标签: 跨域 多层跨域 gateway spirng跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AJian759447583/article/details/125887831
版权

一直在小程序环境下开发,跨域问题一直不明显。

忽一日,需要做一个简单的web,访问小程序服务端一个简单的接口。
需求很简单,实现很容易,噼里啪啦敲好上测试服务器——糟糕,访问不了!

前端一看,明显是跨域问题嘛,那就加了一个请求头:

$.ajax({
				type: 'GET',
				headers: {
					"Access-Control-Allow-Origin":"http://example.edu",
					"Access-Control-Allow-Headers":"X-Requested-With",
					'Access-Control-Allow-Origin': '*'
				},
				url: 'xxx.xxx.com'
				dataType: 'json',
				success: function(res){
					console.log(res);
				}
			});

再访问,还不行,于是又加上了同源策略:

<meta name="referrer" content="always">

结果访问直接报:unsafe-url

于是呼叫服务端,服务端一看,跨域问题,那就配置服务端允许跨域,直接在中转服务中加上CorsConfig:

@Configuration
public class CorsConfig {
    @Bean
    public CorsWebFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedMethod("*");
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(new PathPatternParser());
        source.registerCorsConfiguration("/**", config);

        return new CorsWebFilter(source);
    }
}

再试,还是不行!

那就再加,在业务实现服务中也加上CorsConfig

再试,还是不行!

那就在网关中再加!

最终,响应头已经成这样了:
在这里插入图片描述

这时,服务端人员才醒悟过来,这特么不是跨域不够,是跨域过多,多次跨域导致业务根本无法响应出来!

于是全业务代码搜索跨域代码,先去掉业务实现服务上的跨域,再去掉中转服务上的跨域,再去掉网关配置中的跨域,再试!

结果还是不行:
在这里插入图片描述

从这个响应头上看,应该还有一个地方设置跨域重复了。
而目前整个业务代码里面只保留了一个全局的CorsFilter和若干个@CrossOrigin,而我们要访问到的业务上可以确定没有@CrossOrigin注解的!

这就奇怪了!

这个时候后端人员才悠悠的想起:年初的某一天,网关上面加了一个CorsConfig,当时在测试上没有测试通过,于是代码就没有提交,而测试服上运行的网关服务可能CorsConfig还没有删!

众人醒悟,赶紧重新打包网关服务替换上去!

再一试,还是不行!

再编辑前端页面,把referrer的meta和请求头中的header全部去掉,终于可以了!

综上,就是这次多层跨域问题引出来的问题解决过程。
代码中还存在着很多的@CrossOrigin注解的跨域设置,翻看其DefaultCorsProcessor.processRequest的实现,大致如下:

public boolean processRequest(@Nullable CorsConfiguration config, HttpServletRequest request, HttpServletResponse response) throws IOException {
        Collection<String> varyHeaders = response.getHeaders("Vary");
        if (!varyHeaders.contains("Origin")) {
            response.addHeader("Vary", "Origin");
        }
        if (!varyHeaders.contains("Access-Control-Request-Method")) {
            response.addHeader("Vary", "Access-Control-Request-Method");
        }
        if (!varyHeaders.contains("Access-Control-Request-Headers")) {
            response.addHeader("Vary", "Access-Control-Request-Headers");
        }
        if (!CorsUtils.isCorsRequest(request)) {
            return true;
        } else if (response.getHeader("Access-Control-Allow-Origin") != null) {
            logger.trace("Skip: response already contains \"Access-Control-Allow-Origin\"");
            return true;
        } else {
            boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
            if (config == null) {
                if (preFlightRequest) {
                    this.rejectRequest(new ServletServerHttpResponse(response));
                    return false;
                } else {
                    return true;
                }
            } else {
                return this.handleInternal(new ServletServerHttpRequest(request), new ServletServerHttpResponse(response), config, preFlightRequest);
            }
        }
    }

可见其源码中对请求头是否设置了Origin、Access-Control-Request-Method、Access-Control-Request-Headers有过判断,没有设置才会设置响应头信息,所以一般多层使用@CrossOrigin注解不会出问题。

但应用中已经存在全局的自定义跨域配置了,就统一使用全局自定义配置吧,不要再自行配置@CrossOrigin了,以免哪一天又出现莫名的问题!

Ajian
关注
专栏目录
vue项目——多次跨域 反向代理
qq_40556950的博客
10-29 1470
1.项目开发中,我们访问后端接口时域名通常和我们本地运行不同,这里就涉及了跨域。 2.本项目使用vue-cli3脚手架搭建,搭建完成时需要自己新建一个vue.config.js文件,文件里进行相应的配置(反向代理)。大概配置如下: module.exports = { devServer: { open: true, // 配置自动启动浏览器 proxy: { ...
页面嵌入式,多层JS函数跨域调用方案
springlin2011的博客
08-20 132
[color=blue] [b]请看附件:Visio流程图[/b] 不当之处多指教,谢谢 [/color]
JS发送跨域Post请求出现两次请求的解决办法
weixin_34216036的博客
12-05 652
原文地址:http://www.cnblogs.com/JimmyBright/p/7681097.html 所有跨域的js在提交post请求的时候,如果服务端设置了可跨域访问 1 public static function setCrossDomain() 2 { 3 header('Access-Control-Allow-Origin: *'); ...
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(跨域资源共享,Cross-Origin Resource Sharing)
01-06
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(跨域资源共享,Cross-Origin Resource Sharing)
项目需要配置多个跨域请求时遇到的问题
阿松的博客
05-09 333
关于项目需要配置多个跨域请求时遇到的baseURL多层覆盖,导致的请求地址异常、token无法携带等问题
基于多层区块链的跨域认证方案.pdf
08-15
基于多层区块链的跨域认证方案.pdf 在物联网应用场景下,现有的集中式身份认证方式存在管理成本高、异构信任域之间的证书管理困难等问题。为了解决这些问题,提出了基于多层区块链的跨域认证方案。 该方案使用本地...
H5的video标签跨域.HTML的video标签跨域_跨域ajax
12-24
H5的video标签跨域.HTML的video标签跨域 我们都知道HTML video标签能播放视频 但是如果你的video要播放的是非当前域名下的视频文件,这就要跨域播放视频, 应该如何实现呢?
ArcGIS Server 10.2跨域jar包
09-25
在这个场景中,我们关注的是"跨域jar包",这涉及到网络应用中的跨域资源共享(CORS)策略。 跨域是Web应用程序的基本安全机制,它防止了一个源(如浏览器中的JavaScript)访问另一个源(如不同域名的服务器)的数据...
pdf.js 跨域版本
04-16
在这个跨域版本中,开发者已经针对中文字体的显示进行了优化,解决了因为字体缺失而引发的乱码问题,确保了中文文档的可读性。 使用这个修改版的 pdf.js,你需要在你的项目中引入相关的文件,例如 `pdfjs-dist/...
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
Vue 解决多级跨域,反向代理
bueryao527的博客
11-30 820
Vue 多级跨域问题解决方法为什么跨域多级跨域修改配置文件vue config index.js配置config dev.env.js文件配置config prod.env.js文件配置接口文件 为什么跨域 在开发一个项目时,因项目需求,而涉及到本地多级跨域问题,所以,如何解决多级跨域问题?解决办法如下: 多级跨域修改配置文件vue config index.js proxyTable: { '/api': { target: 'https://***',//代理的API地址,就是需要跨域
使用Iframe嵌套其他系统页面遇到的跨域问题
热门推荐
第一行代码
07-14 5万+
之前需要将一个其他的系统页面集成到现在主要使用的一个平台上,因为这个系统使用的是jsp的页面,另一个是augular的页面,并且为了保持项目的完整性和较小的改动,所以使用了iframe来将另一个页面集成进来。 如何使用iframe嵌套页面 使用frameset标签即可将其他的页面集成到这个当前的页面,这个frame标签的作用其实挺大的 第一,可以防止页面刷新,将其他的一些刷新操作放到fram...
前端解决跨域问题的8种方案(最新最全)
weixin_30458043的博客
10-31 5323
1.同源策略如下: URL说明是否允许通信 http://www.a.com/a.jshttp://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.jshttp://www.a.com/script/b.js 同一域名下不同文件夹...
前端解决多个跨域问题
qq_41260655的博客
08-29 949
前端解决多个跨域问题 前言:虽然一直是前后端分离,但是没了解过跨域问题,直接是vue.config.js中的内容直接搬过来改改,但是后来调用了下百度语音拟合的api接口发现,有跨域问题,这个肯定不能动用后端了就查了下资料改了下proty代理的配置,总结了一下。 对于问题要知道前因后果,所以先理解下为什么有跨域问题? 因为前端代码是跑在浏览器里的 你的所有网路请求说白了就是浏览器帮你发出去的. 并不是什么js帮你发出去的, js只是一门语言, 他只是按照浏览器的要求, 语法的要求, 按照一定的规范和格式
彻底解决跨域问题(五种解决跨域的方式)
小雪的博客
08-22 3万+
跨域问题解决方案 最近自己写了一个js组件,该js组件是提供给第三方使用的,而js组件中涉及了ajax请求,于是乎就出现了跨域请求问题。下面记录一下自己的解决路程。 什么是跨域 参考:跨域请求详解 个人理解:我理解的跨域就是,两个不同的ip或者域名,进行访问和数据交换,此时如果不做处理,便会发生跨域请求问题。详细解释看上面链接。 我自己就是因为js提供给其他服务器进行调用,而...
nginx配置跨域之后每次访问会发送两次请求
qq_35224032的博客
08-29 4803
公司项目从前后端不分离转到前后端分离 首先遇到的问题就是前后端分离的时候跨域的问题 但是当跨域成功配置并且能访问成功的时候发现 每次客户端的请求都会发送两次 第一次是OPTIONS的请求,然后才是正常的请求 查阅资料得到的结论是: 第一个OPTIONS的请求是由Web服务器处理跨域访问引发的。 OPTIONS是一种“预检请求”,浏览器在处理跨域访问的请求时如果判断请求为复杂请求,则会...
前后端跨域多次拦截问题
王维的博客
11-27 559
最近在部署项目时发现前端请求后端的方法不通,后来发现是因为在gateway网关中配制了全局跨域处理,但微服务模块中的controller中的跨域注解@CrossOrigin没有去掉,导致前端请求被多次拦截,去掉了注解再测试就跑通了 ...
CORS跨域发送两次请求原理及解决方法
kaosini的专栏
02-22 2102
CORS跨域时,为何会发送两次请求? 跨域资源共享(CORS)是什么? 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 CORS需要浏览器和服务器同时支持...
nginx vue配置多层跨域
最新发布
08-17
在nginx中配置多层跨域的方法如下: 1. 首先,在nginx的配置文件中找到你的vue项目所在的location块。这个块通常会包含类似以下的配置: ``` location / { # 配置vue项目的根目录 root /path/to/your/vue/project; try_files $uri $uri/ /index.html; } ``` 2. 在这个location块内部,添加以下配置来实现跨域: ``` location /api/ { # 配置api请求的代理地址 proxy_pass http://api.example.com/; } location /backend/ { # 配置后端请求的代理地址 proxy_pass http://backend.example.com/; } ``` 其中,`/api/`对应你的接口请求路径,`http://api.example.com/`是你的实际接口地址。同样地,`/backend/`是你后端请求的路径,`http://backend.example.com/`是你的后端实际地址。 3. 保存配置文件并重新加载nginx。 这样配置之后,当你的vue项目发起`/api/`开头的请求时,nginx会将请求代理到`http://api.example.com/`,实现跨域请求。同理,`/backend/`开头的请求也会被代理到后端服务器。 请注意,以上是一个简单的示例,你需要根据你的实际情况修改配置。另外,为了确保安全性,你可能还需要配置一些额外的安全措施,比如重写HTTP头信息或启用CORS。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [nginx 上部署vue,同时转发多台服务器,实现负载均衡](https://blog.csdn.net/hyp187/article/details/107512590)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [Vue中跨域及打包部署到nginx跨域设置方法](https://download.csdn.net/download/weixin_38557896/12937934)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值