请求跨域和CORS协议详解

最新推荐文章于 2024-04-03 01:50:57 发布
最新推荐文章于 2024-04-03 01:50:57 发布
阅读量1.1k 收藏
点赞数
文章标签: ajax跨域cors详解

什么是跨域

简单的说即为浏览器限制访问A站点下的js代码对B站点下的url进行ajax请求。比如说,前端域名是www.abc.com,那么在当前环境中运行的js代码,出于安全考虑,访问www.xyz.com域名下的资源,是受到限制的。现代浏览器默认都会基于安全原因而阻止跨域的ajax请求,这是现代浏览器中必备的功能,但是往往给开发带来不便。特别是对我这样后台开发人员来讲,这个事情简直神奇。
但跨域的需求却一直都在,为了跨域,勤劳勇敢的程序猿们想出了许许多多的方法,例如,jsonP、代理文件等等。但这些做法增加了许多不必要的维护成本,而且应用场景也有许多限制,例如jsonP并非XHR,所以jsonP只能使用GET传递参数。更详细的资料可以看这里 Web应用跨域访问解决方案汇总。

CORS协议

如今的JS大有一统天下的趋势,浏览器已经成了大多应用最好的安身之所。哪怕在移动端也有各种Hybird方案,在本地文件系统的Web页面,也有需要获取外部数据的需求,而这些需求也必然是跨域的。在寻找跨域解决方案时,发现了最优雅解决方案就是HTML5来带了的“Cross-Origin Resource Sharing”的新特性,来赋予开发者权力决定资源是否允许被跨域访问。CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

为什么说它优雅呢?
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。看看文档也不是什么难事嘛,就是需要在http头中设置Access-Control-Allow-Origin来决定需要允许哪些站点来访问。关于CROS协议更详细内容参考 跨域资源共享 CORS 详解。
CORS常见header

CORS具有以下常见的header的例子:
Access-Control-Allow-Origin: http://kbiao.me
Access-Control-Max-Age: 3628800
Access-Control-Allow-Methods: GET,PUT, DELETE
Access-Control-Allow-Headers: content-type

“Access-Control-Allow-Origin”表明它允许”http://kbiao.me “发起跨域请求
“Access-Control-Max-Age”表明在3628800秒内,不需要再发送 预检验 请求,可以缓存该结果(上面的资料上我们知道CROS协议中,一个AJAX请求被分成了第一步的 OPTION预检测请求和正式请求)。
“Access-Control-Allow-Methods”表明它允许GET、PUT、DELETE的外域请求。
“Access-Control-Allow-Headers”表明它允许跨域请求包含content-type头
当然在处理这个问题的时候前端也有不少坑,特别是Chrome浏览器不允许localhost的跨域请求,详细方案见我项目中负责前端解决方案的小伙伴。 假装有链接。
常规解决方案

知道了问题的原因,也知道了配套的解决办法,现在就让我们来实现解决。思路很简单,当前端要请求跨域资源时候,我们给它加上响应的响应头即可。很显然我们自己定义一个过滤器是最简单不过了。

@Component
public class myCORSFilter implements Filter {

@Override
public void init(FilterConfig filterConfig) throws ServletException {

}

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    String origin = (String) servletRequest.getRemoteHost()+":"+servletRequest.getRemotePort();
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Authorization");
    response.setHeader("Access-Control-Allow-Credentials","true");
    filterChain.doFilter(servletRequest, servletResponse);
}

@Override
public void destroy() {

}

}
@Component 是Spring的注解,关键部分在doFilter中,添加了我们需要的头, option是预检测需要所以需要允许, Authorization是做了oauth2登录响应所必须的, Access-Control-Allow-Credentials表示允许cookies。都是根据自己项目的实际需要配置。
再配置Web.xml使得过滤器生效


cors
·CLASS_PATH·.myeCORSFilter


cors
/api/*

接下来前端就可以像往常一样使用AJAX请求获得资源了,完全不需要做出什么改变。

使用Spring的解决方案

Sping 4中更优雅的办法,Spring从4.2开始提供了非常方便的实现跨域的方法,对CORS提供了完整支持。详细信息可以参考Spring官网开发者博客:cors-support-in-spring-framework

在Controller中配置

下面举例在方法和Controller上使用该注解:

@CrossOrigin(origins = “http://domain2.com“, maxAge = 3600)
@RestController
@RequestMapping(“/account”)
public class AccountController {

@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
    // ...
}

@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
    // ...
}

}
这里指定当前的AccountController中所有的方法可以处理domain2.com域上的请求。同样我们还可以在Controller中的每个方法上配置,像下面这样:

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping(“/account”)
public class AccountController {

@CrossOrigin("http://domain2.com")
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
    // ...
}

@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
    // ...
}

}
在这个例子中,AccountController类上也有@CrossOrigin注解,retrieve方法上也有注解,Spring会合并两个注解的属性一起使用。

全局配置

全局配置默认会用于所有Controller中,定义类继承WebMvcConfigurerAdapter,设置跨域相关的配置:

public class CorsConfigurerAdapter extends WebMvcConfigurerAdapter{

@Override
public void addCorsMappings(CorsRegistry registry) {

    registry.addMapping("/api/*").allowedOrigins("*")
         .allowedMethods("GET", "PUT", "DELETE", "POST");
}

}
将该类注入到容器中:


Spring Boot中的用法

在Spring Boot中集成了Spring所有原生功能外,还提供了一个非常简单的外部配置方式即通过Spring Boot的全局配置文件application.properties来配置全局CORS生效:

endpoints.cors.allowed-origins=http://www.xxx.com
endpoints.cors.allowed-methods=GET,POST,PUT,DELETE
也可以在入口函数上添加@CrossOrigin注解来实现跨域:

@SpringBootApplication
@CrossOrigin(origins = { “http://www.xxx.com” }, methods = { RequestMethod.GET, RequestMethod.PUT, RequestMethod.POST,
RequestMethod.DELETE })
public class ConsumerApplication {

public static void main(String[] args) {
    SpringApplication.run(ConsumerApplication.class, args);
}

}

谋问题
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 3007
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
跨域资源共享(CORS)详解
duzm200542901104的专栏
12-26 3152
一、跨域请求: 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 二、跨域资源共享(CORS): 出于安全原因,浏览器限制从脚本内发起的跨域HTTP请求。 例如,XMLHttpRequest遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同...
[CORS跨域资源共享] W3C的CORS Specification
唐力
09-15 293
Cross-Origin Resource Sharing随着Web开放的程度越来越高,通过浏览器跨域获取资源的需求已经变得非常普遍。在我看来,如果Web API不能针对浏览器提供跨域资源共享的能力,它甚至就不应该被称为WebAPI。从另一方面来看,浏览器作为进入Internet最大的入口,是各大IT公司的必争之地,所以浏览器市场出现了种类繁多、鱼龙混杂的局面。针对这两点,我们迫切需要一种能够被各个
前端如何配合服务端进行 CORS 跨域
benben0729的专栏
02-25 3051
最近正在用 vue.js + vuex + axios 开发一个后台管理的项目。由于服务端的接口地址与 web 的访问不在同一个域里面,所以必须要处理跨域的问题,通过调研跨域的方法,最终决定使用目前比较流行的 CORS 来处理跨域 ,以下介绍在使用 cors 的时候遇到的那些坑,以及处理方法。   现在所有的浏览器基本上都支持 CORS(IE需要10以上),所以只需要服务器实现 CORS 的接...
服务器端解决跨域问题
qq_41742839的博客
12-19 667
跨域是指html文件所在的服务器与ajax请求的服务器是不同的ip+port,例如: ‘192.168.1.1:8764’ 与 ‘192.168.1.2:9527’是不同的域。 ‘192.168.1.1:8080’ 与 ‘192.168.1.1:8081’是不同的域。 解决此类问题的方法很多,有需要客户端和服务端都要更改的,例如jsonp,iframe等等;有只需要客户端更改的,这种情况只能出...
【web】 Cross-Origin Resource Sharing(CORS)协议介绍 & 跨域(Access-Control-Allow-Origin)
m0_45406092的博客
02-22 493
文章目录1. 概述2. CORS协议2.1 简单的COR请求2.2 复杂请求3. CORS协议的实现4. 服务端实现5. 参考 1. 概述 传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如
跨域资源共享 CORS 详解
09-02
当浏览器发现AJAX请求跨域时,会自动添加额外的头信息,如`Origin`字段,指示请求的来源。如果服务器允许跨域访问,它会在响应头中添加`Access-Control-Allow-Origin`字段,表明哪些源可以访问其资源。如果值为`*`,...
django基于cors解决跨域请求问题详解
09-18
主要介绍了django基于cors解决跨域请求问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解springboot设置cors跨域请求的两种方式
08-26
无论使用哪种方式,都可以实现 CORS 跨域请求,提高 Web 应用程序的安全性和灵活性。 扩展知识点 1. 什么是 CORSCORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许 Web 应用服务器进行...
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 474
03Web服务器基础-19. HTTP协议请求部分详解
webrtc分析四(关键帧请求,FIR /PLI区别)
liuhongxian的专栏
07-05 3730
webrtc 关键帧请求分PLI,SLI,FIR。但是有何区别? PLI 是Picture Loss Indication 图片丢失提示消息表明突发性的丢包影响到了一个或多个帧中的多个包。发送方可以通过重传这些包或者生成一个新的I帧以作出回应。但一般来说,PLI同时表现得像一个NACK和一个FIR,因此,通过使用PLI,接收端为发送端如何对该请求作出响应提供了更大的灵活度 SLI 是Slice Loss Indication。 切片丢失提示消息表明该包丢失影响到单个帧的部分(即,多个macroblock)。
http的协议跨域cors 和 options请求的一些理解
热门推荐
你记住你不是一个人在苦逼
07-19 1万+
首先,这篇文章只是对http跨域阐述和options请求即预检查机制的一些理解,那么我们应该先了解什么事跨域,以及http的一些基础知识。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。摘自http访问控制 在前端开发中,特别是现在都是前后端分离,那么跨域问题应该在日常开发中经常遇到...
通过cors协议解决跨域问题
天地孤影任我行的博客
08-24 919
跨域 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域  Cors协议 H5中的新特性:Cross-Origin Resource Sharing(跨域资源共享)。通过它,我们的开发者(主要指后端开发者)可以决定资源是否能被跨域访问。 cors是一个w3c标准,它允许浏览器(目前ie8以下还不能被支持)像我们不同源的服务器发出xmlHttpRequest请...
http协议(二)CORS跨域限制以及预请求验证
Niall_Tonshall的博客
03-18 3824
1. Request.mode Request 接口的 mode 只读属性包含请求的模式(例如:cors 、 no-corscors-with-forced-preflight 、 same-origin 或 navigate 。)这用于确定跨域请求是否能得到有效的响应,以及响应的哪些属性是可读的。 属性值 作用 same-origin 如果使用此模式向另外一个源发送请求,显而易见,结果会是一个错误。你可以设置该模式以确保请求总是向当前的源发起的。 no-cors 保证请求对应的
CORS解决跨域的几种实现方式
m0_59508658的博客
08-19 7408
目录 一、什么是跨域 二、同源策略 非同源限制 三、跨域的解决办法 CORS 3.1、两种请求 3.1.1、简单请求 3.1.2、非简单请求 3.2、CORS常用解决跨域的方法 3.2.1、HttpServletResponse添加头信息 3.2.2、使用Spring注解@CrossOrigin 3.2.3、通过配置类解决跨域 一、什么是跨域 当一个请求的url的协议、域名、端口任意一个与当前页面的url不同即为跨域 a页面想获取b页面的资源,a与b页面的协议、域名或端口
12:CORS跨域设置-Java Spring
Yeats_Liao的博客
10-05 1974
12:CORS跨域设置-Java Spring
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 2037
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
springboot配置文件的属性集
最新发布
2401_84010762的博客
04-03 288
server.tomcat.protocol-header-https-value= httpsserver.tomcat.remote-ip-header=server.tomcat.uri-encoding= UTF-8server.undertow.accesslog.dir=server.undertow.accesslog.enabled= falseserver.undertow.accesslog.pattern= commonserver.undertow.buffer-size=serve
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值