CORS问题总结一

最新推荐文章于 2024-03-13 13:29:15 发布
置顶 最新推荐文章于 2024-03-13 13:29:15 发布
阅读量8.2k 收藏 7
点赞数 4
分类专栏: 问题汇总 文章标签: cors Access-Control-Allow-Origin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Double_Face/article/details/87285598
版权

服务端(SpringMVC)

在过滤器中代码如下

			String origin = reqs.getHeader("origin");// 获取源站
			String requestHeaders = reqs.getHeader("Access-Control-Request-Headers");
			if (StringUtils.isEmpty(requestHeaders)) {
				requestHeaders = "";
			}
			httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);
			httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
			httpServletResponse.setHeader("Access-Control-Allow-Methods", "HEAD,PUT,DELETE,POST,GET");
			httpServletResponse.setHeader("Access-Control-Allow-Headers", "Accept, Origin, XRequestedWith, Content-Type, LastModified," + requestHeaders);

效果

跨域第一步

在这里插入图片描述

跨域第二步

在这里插入图片描述

常见问题一

在这里插入图片描述

Access to XMLHttpRequest at 'http://10.10.1.49:9000/liinji_mobile_web/SelfInspection/getSelfInspection' from 
origin 'http://localhost:63342' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: 
The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 
when the request's credentials mode is 'include'. The credentials mode of requests initiated by the 
XMLHttpRequest is controlled by the withCredentials attribute.
错误原因

当请求的凭据模式为include时,相应中的Access-Control-Allow-Origin标头的值不能是通配符 “*”
如在请求定义中设置withCredentials标志,则会在请求中传递cookie等。
如果服务器返回任何set-cookie响应头, 那么必须返回Access-Control-Allow-Credentials: true, 否则将不会在客户端上创建 cookie
如果你这样设置,你需要同时指定了确切的Access-Control-Allow-Origin响应头,因为Access-Control-Allow-Origin: 不具有凭证兼容
所以当请求中携带cookie时, Access-Control-Allow-Origin必须要有确切的指定, 不能是通配符(*), 而withCredentials是跨域安全策略的一个东西

建议

鉴于网上大部分(如下)

		// 普遍通配符* 
		response.setHeader("Access-Control-Allow-Origin", "*"); 
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Authorization");
        response.setHeader("Access-Control-Allow-Credentials", "true");

所以个人感觉如果有需求的话建议使用

		String origin = request.getHeader("origin");// 获取源站
		httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);

常见问题二

在这里插入图片描述

Access to XMLHttpRequest at 'http://10.10.1.49:9000/liinji_mobile_web/SelfInspection/getSelfInspection' from 
origin 'http://localhost:63342' has been blocked by CORS policy: Request header field Token is not allowed by 
Access-Control-Allow-Headers in preflight response.
错误原因

大概意思是Request Headers中的Access-Control-Request-Headers与Response Headers中的Access-Control-Allow-Headers不一致导致的,如图
在这里插入图片描述

建议

由于Request Headers中的Access-Control-Request-Headers各种各样的都有,所以个人建议如下

			// 获取request中的Access-Control-Request-Headers参数
			String requestHeaders = request.getHeader("Access-Control-Request-Headers"); 
			if (StringUtils.isEmpty(requestHeaders)) {
				requestHeaders = "";
			}
			httpServletResponse.setHeader("Access-Control-Allow-Headers", "Accept, Origin, XRequestedWith, Content-Type, LastModified," + requestHeaders);
Double_Face
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS(跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
后端SpringBoot跨域问题解决
u014572906的博客
08-29 148
启动类添加如下代码 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allo
CORS解决跨域as been blocked by CORS policy: Response to preflight request doesn‘t pass access control ch
qq_62646841的博客
03-13 781
处理cors跨域
【Nginx】第十二节 配置跨域访问
咔咔博客
12-23 577
author:咔咔 wechat:fangkangfk   先看一下哪些都属于跨域   跨域:这个意思就是在A域名下的业务,需要请求到B域名的代码,这就这简单的跨域   在正常的业务中,很难避免跨域,所以我们就需要使用nginx配置一下   location / { add_header Access-Control-Allow-Origin *; add_he...
跨域访问小结 HTTP-访问控制(CORS
qq_35491812的博客
07-26 155
跨域资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
解决跨域问题
一个刚入行的新人猿
03-05 167
1 在Controller中添加@@CrossOrigin注解 2 在WebMvcConfigurer的实现类中实现 @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOriginPatterns("*") .allowedMethods("GET","POST","P
请求跨域 CORS policy: No ‘Access-Control-Allow-Origin
QiuHaoqian的博客
05-19 8887
这里写目录标题1 跨域和同源2. CORS 跨域资源共享(解决跨域)2.1 前端解决(不推荐)2.2 Nginx 解决跨域2.3 tomcat 解决跨域2.4 SpringBoot 服务解决跨域3 总结 如在浏览器控制台看到类似于下边的报错,则是出现了跨域请求问题 xxx has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the request resouce 在和前端打交道的时
跨域 CORS policy
Snails的博客
08-19 3万+
Angular + SpringBoot 项目跨域问题 ​ 由于项目的需要,最近一段时间都在学习Angular,正好之前无聊写了一个后端的CRUD的demo,索性就将前后端整合起来。 ​ 整体的思路是,前端由Angular发送一个get请求(import HttpClient组件),请求通过Http,发送到Controller层,然后途经三层架构,访问数据库。然后后端返回的json数据发给前端解析。本以为这个demo特别简单,没有什么技术难点,逻辑也不复杂。结果在前端发送get请求的时候出了问题,但是身经
同源策略(CORS policy) 预检请求 跨域实现
weixin_45917427的博客
10-04 1186
同源策略(CORS policy) 预检请求 跨域实现
谷歌浏览器cors policy跨域问题
yutingwu816的博客
02-05 1924
问题 最近想在自己的电脑上写一些pixi js 的 demo, 编辑器是VScode,配置open in browser 插件,使用默认谷歌浏览器打开html之后发现因为cros policy 的问题,文件不能打开本地的图片文件。报错如下: 解决方案 按照网上大家的建议,我在桌面上添加了谷歌浏览器的图标,修改属性: 修改完毕之后VScode默认的打开方式还是不能访问本地图片,但是将链接复制到从桌...
解决前端跨域:has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header...
热门推荐
qq_40088443的博客
09-16 42万+
在前端工作中,有时候会碰到跨域的问题,就是请求的接口地址和本身的服务器不属于一个域内,此时浏览器会报错: XXXXX(请求的跨域url)has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested 网上有很多的解决办法,可以用jsonp来请求等等。 这里...
省级CORS网络RTK在测区首级控制测量中的应用
07-12
通过一个工程实例,介绍利用省级CORS网络RTK技术进行测区首级控制测量的方法,并对其精度、可行性及注意事项进行分析、总结
基于CORS技术在丘陵地区大比例尺数字测图中的应用研究
07-12
采用CORS技术进行相对定位,能够在野外实时...文中着重介绍CORS技术在丘陵地区大比例尺数字测图中图根控制测量方面的应用,通过工程实例与传统的测量方法进行比较,总结CORS技术的优势,对工程实践具有一定的参考价值。
javascript-cros:跨域的一些问题和方法总结
05-26
跨域的一些问题和方法总结 一直都说想找个大总结的文章关于跨域的处理奈何度娘上的资料太老旧,自己对于新的知识点又不是十分十分有研究。因此一直让懒癌发作下去。奈何最近做了双失青年,因此有了空余的时间去研究...
C#开发常见问题清单总结与入门常见问题.docx
最新发布
03-26
1. 编程基础 技巧1:理解并有效使用命名空间和类 技巧2:构造函数的最佳实践与注意事项 技巧3:变量声明与初始化的规范化 技巧4:使用Nullable类型避免...技巧17:在Web API开发中处理CORS及安全性问题 技巧1
Nginx配置origin限制跨域请求
Admans的专栏
07-07 1763
原文:https://blog.csdn.net/qq_20236937/article/details/128640137。.xxxxxx.cn或者含“theorydance”的,我们认为是合法的请求,返回数值1,如果是其它值,返回数值0。这个需要根据客户端传递的请求头中的Origin值,进行安全的跨站策略配置,目的是对非法的origin直接返回。a.当不传递origin头的时候,就为这个里面的默认值为1,版权声明:本文为作者原创文章,转载请附上博文链接!3.指定非法origin时,请求返回403。
has been blocked by CORS policy: Response to preflight request doesn‘t pass access control check
AVATAR
08-26 2万+
如果是自定义Header参数的话,前端发起ajax请求后,浏览器首先会发起一个预检请求(OPTIONS),然后才是业务请求,所以在预检请求的时候浏览器就已经输出跨域报错了,因此针对自定义Header需要把这个预检请求排除掉;/*** 过滤器//... /*** 拦截所有请求,校验url和token//加上校验放行 if(request . getMethod() . equals("OPTIONS")) {} else {} //... }...
如何解决'Redirect has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header'?
cyh_90的博客
11-17 5万+
在用谷歌浏览器导入自定义字体时发生上述的错误,后来安装了一个Google的插件就完美解决,地址如下:  https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi   参考网站:https://stackoverflow.com/questions/4...
跨域问题服务端解决办法 Request header field Authorization is not allowed by Access-Control-Allow-Headers
root_miss的博客
09-17 6万+
跨域问题服务端解决办法 一般在入口文件加 header('Access-Control-Allow-Origin:*'); // 响应类型 header('Access-Control-Allow-Methods:*'); // 响应头设置 header('Access-Control-Allow-Headers:content-type,token,id'); header("Access...
CORS error
07-27
回答: CORS错误是由于跨域请求失败引起的。解决CORS错误的方法有多种。一种方法是通过配置类重写addCorsMappings方法来解决,另一种方法是在controller上添加@CrossOrigin注解。此外,还可以使用nginx来解决跨域请求。\[1\]\[2\] 在配置类中重写addCorsMappings方法可以设置允许跨域的路径、允许跨域请求的域名、是否允许证书、允许的方法、允许的header属性和允许跨域时间。\[3\] 另外,可以在controller上添加@CrossOrigin注解来解决CORS错误。这个注解可以指定允许跨域请求的域名、允许的方法、允许的header属性和允许跨域时间。 使用nginx也是解决CORS错误的一种方法。通过配置nginx,可以实现跨域请求的代理转发,从而解决CORS错误。 总结来说,解决CORS错误的方法包括配置类重写addCorsMappings方法、在controller上添加@CrossOrigin注解和使用nginx解决跨域请求。具体选择哪种方法取决于项目的需求和实际情况。 #### 引用[.reference_title] - *1* *2* *3* [前后端项目分离解决cors错误](https://blog.csdn.net/ych_0901/article/details/121622202)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值