Access to XMLHttpRequest at ‘http://127.0.0.1:8080/xxx’ from origin ‘http://192.168.1.103:8096’ has

最新推荐文章于 2024-06-15 22:24:43 发布
最新推荐文章于 2024-06-15 22:24:43 发布
阅读量2.3k 收藏
点赞数
文章标签: 跨域 Access-Control

原文链接:https://www.longkui.site/error/access-control-allow-origin/5734/

0.背景
手机APP一个页面请求一个后台看不到数据,本地调试后发现有个跨域问题,然后整个问题一边排查一边修改,经历1.5天后终于找到问题所在,写这篇文章简单总结一下。

技术栈:

后台:springMVC+mybatis

前台:angular

APP:ionic

架构:后台有两个,我们假设分布是后台A,后台B。手机APP访问后台A时,一切正常,手机APP访问后台B时出现跨域报错:

Response to preflight request doesn’t pass access control check: It does not have HTTP ok status.

1.解决方法—前端
一般跨域问题都改后端,但是为了排查问题也尝试去改了改前端。

1.在前端请求时加入请求头 Access-Control-Allow-Origin。经过测试没有用

  1. 设置代理地址,比如angular项目有proxy.config.json,我们可以参考下面这样设置:

{
“/”: {
“target”: “http://127.0.0.1:8080/”
}
}
上面就表示前台把所有的请求都转发到127.0.0.1:8080。但是这个方法明显也不适合我,第一是用的手机APP,用ionic,ionic.config.json当中没有配置代理的情况下访问A和B这两个后台只有B会出现跨域问题,说明不是这个问题。

2.测试后台
从上面基本可以断定不是前台的问题,大概率是后台问题,于是我在我在本地启动了一个空白网站,地址是:http://192.168.1.103:8096,浏览器打开这个网站,然后打开F12,参考下面代码粘贴上去:

var xhr = new XMLHttpRequest();
xhr.open(‘GET’, ‘http://127.0.0.1:8080/xxx’);
xhr.setRequestHeader(“Authorization”,‘123’);
xhr.send(null);
xhr.onload = function(e) {
var xhr = e.target;
console.log(xhr.responseText);
}
然后回车测试后台。

A.修改请求参数

一开始以为上面这样的代码请求头会有问题,于是给上面的请求头加上了Access-Control-Allow-Origin。变成下面这样:

var xhr = new XMLHttpRequest();
xhr.open(‘GET’, ‘http://127.0.0.1:8080/xxx’);
xhr.setRequestHeader(“Authorization”,‘123’);
xhr.setRequestHeader(“Access-Control-Allow-Origin”,‘*’);
xhr.send(null);
xhr.onload = function(e) {
var xhr = e.target;
console.log(xhr.responseText);
}
结果报错:

Request header field access-control-allow-origin is not allowed by Access-Control-Allow-Headers in preflight response.

B.修改Filter

网络上大部分的文章都是修改这个地方,这个文件定义在web.xml中,

<filter>
        <filter-name>CORSFilter</filter-name>
        <filter-class>com.xinhai.cms.controller.CorsFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CORSFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

然后参考下面的写法:

import org.apache.commons.lang.StringUtils;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class CorsFilter implements Filter {
  @Override
  public void init(FilterConfig filterConfig) throws ServletException {}
  @Override
  public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    response.setHeader("Access-Control-Allow-Origin", "*");
    if (StringUtils.equalsIgnoreCase(request.getMethod(), "OPTIONS")) {
      response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, DELETE, OPTIONS");
      response.setHeader("Access-Control-Max-Age", "3600");
      response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, Accept,X-Requested-With");
    }
    filterChain.doFilter(servletRequest, servletResponse);
  }
  @Override
  public void destroy() {}
}

网上的很多文章基本都说增加 Access-Control-Allow-Origin 这个。

修改后,对我的问题并没有效果,还是报错。

C.使用注解

一些文章说是增加@CrossOrigion注解解决跨域问题,要求是spring 4.2以上的版本比如下面这样:

直接写在类上

@CrossOrigin(origins="*",maxAge=3600)
@RestController
public class LoginController {}

也可以写在方法上

 @CrossOrigin("http://localhost:5173")
    @GetMapping("/test")
    public String test(){
        return "test";
    }

经过测试,对我的问题并没有效果

D.实现WebMvcConfigurer接口

@Configuration
public class WebMvcOriginConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")// 对所有请求进行跨域
                .allowedOriginPatterns("http://localhost:5173")
                .maxAge(-1)
                .allowedMethods("*");
    }
}

经过测试,对我的问题没有效果。

E.排查问题

上面大部分主流的方法都试了一遍,均没有效果,于是开始一点一点排查问题,先在CorsFilter中打上断点,发现根本不会进入断点。于是把所有的Filter全部打上断点开始观察,发现没有进入CorsFilter,进入了XssFilter,在单步运行后,代码不能继续往下执行,但是可以从调试信息中可以找到HttpServletRequest从中中看到前台发过来的请求,这表示前台的请求发送到后台了,但是在CorsFilter之前在某个地方被拦截或者被修改了。

而且,前台发生请求时,会发送两次请求,一次是options,options通过后发送get或者post请求。

在此想到web.xml有多个过滤器,应该一层一层的分析,看看先执行哪个。

此时,刚好看到一篇文章,说是项目中使用了Spring Security,参考这篇文章:

https://blog.csdn.net/java0506/article/details/120620447文章中说是要 新增Spring Security配置,改成下面这样:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.cors(AbstractHttpConfigurer::disable)
            .csrf(AbstractHttpConfigurer::disable)
            .sessionManagement(item -> item.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .authorizeRequests(req -> req
                    //非普通请求(比如请求新增了自定义头部信息,比如Jwt头),会发送预检Option请求,这里直接让他通过
                    .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
                    .antMatchers("/user/biz/login").permitAll()
                    .anyRequest().authenticated())
            .addFilterBefore(jwtSecurityFilter, UsernamePasswordAuthenticationFilter.class)
            .httpBasic(AbstractHttpConfigurer::disable)
    ;
}

本来以为找到了解决办法,结果发现我们的项目中早就重写里面的DelagetingFilterProxy,而且A和B都用的同一个Filter。既然A使用这个Filter没有跨域问题,那么同理B也不会因为这个产生跨域问题。

继续排查问题….

还是查找web.xml中的配置问题,终于找到了一个配置,如下:

<security-constraint>
        <web-resource-collection>
            <web-resource-name>NoAccess</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>

security-constraint一般是用来授权和身份验证,那么上面这段配置是什么意思呢?

上面这段配置表示HTTP OPTIONS 和TRACE方法只能由经过身份验证的用户使用。

其中:

OPTIONS方法用来描述了目标资源的通信选项,会返回服务器支持预定义URL的HTTP策略。
TRACE方法用于沿着目标资源的路径执行消息环回测试;它回应收到的请求,以便客户可以看到中间服务器进行了哪些(假设任何)进度或增量。
豁然开朗,因为发送请求时,会先发送一个OPTIONS,而这个配置,因为没有登录的原因,禁止使用,而前台的OPTIONS请求没有得到相应,就不能继续发送其他类似GET或者POST请求,这样就会出现跨域问题。

解决办法,要么修改或注释掉这个配置(对本文APP适用)

要么登录成功后再使用(对本文APP问题不适用)

3.后记
实际测试中,在跨域时发现请求localhost:8080 和127.0.0.1:8080 的报错不一样,从192.168.1.103:8096请求localhost:808时会报错:

No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

后来发现这个是后台自己写的一个Filter导致的。

另外,测试过程中发现一个报错:

The request client is not a secure context and the resource is in more-private address space local

解决办法是打开chrome浏览器,输入 chrome://flags, 找到Bolck insecure private network requests 这个选项,将它改为Disabled。

(这个对于本文APP问题没有作用)

城南蝈蝈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vue中如何解决跨域问题
ax_ax的博客
07-15 1万+
跨域 跨域报错是前端开发中非常经典的一个错误,报错如下 Access to XMLHttpRequest at '......' from origin '......' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 跨域错误源自于浏览器的同源策略,想要解决跨域首先要知道什么是同源策略 同源策略 同...
一个奇怪的跨域问题
qq1261275789的博客
10-07 501
在学习jfinal的时候,遇到一个奇怪的问题 Access to XMLHttpRequest at ‘http://127.0.0.1:8080/izhicheng/login/login’ from originhttp://localhost:8080’ has been blocked by CORS policy: Request header field Content-Type is not allowed by Access-Control-Allow-Headers in prefli
SpringBoot 跨域问题:Access to XMLHttpRequest at ‘***‘ from origin ‘***‘ has been blocked by CORS policy
WS的小屋
10-11 8195
Access to XMLHttpRequest at 'http://127.0.0.1:9002/business/admin/chapter/list' from origin 'http://localhost:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. CORS 跨站点资源分享,属于跨域问题,同个 IP 的.
Access to XMLHttpRequest at……问题出现时怎么办
最新发布
m0_68131226的博客
06-15 919
有时浏览器会先发送一个预检请求(OPTIONS 请求)来检查服务器是否允许实际请求。如果预检请求失败,实际请求就会被阻止。确保后端正确处理 OPTIONS 请求。通过这些配置,可以解决 CORS 问题,并允许前端正确接收来自后端的 cookie。确保在后端正确配置 CORS 中间件,允许跨域请求并支持凭据传递。:如果你在开发环境中使用 HTTPS,需要确保。,这样可以发送和接收 cookie。在本地开发环境中,可以暂时设置为。:确保在 CORS 设置中的。确保在前端的请求中包含。与前端请求的地址一致。
解决跨域报错问题&Access to XMLHttpRequest at ‘xxx‘ from originxxx‘ has been blocked by CORs policy.header
qq_30068165的博客
04-08 3663
跨域问题:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
Access to XMLHttpRequest at ‘http://xxx‘ from originhttp://xxx‘ has been blocked by CORS policy:
Dove的博客
10-29 3650
Access to XMLHttpRequest at 'http://xxx' from origin 'http://xxx'has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 出现这个问题是axios的跨域问题。 既然不能直接访问,那么我们就可以设置代理。服务器之间请求数据,是没有跨域的。就可以配置一个代理服务器请求另一个服务器中
解决跨域 报错Access to XMLHttpRequest at ‘http://127.0.0.1:3001/user‘ from originhttp://127.0.0.1:5501‘
weixin_52954097的博客
09-04 1万+
出现上述情况报错就是因为跨域了。跨域是为了保障安全,浏览器根据同源策略(协议,域名,端口号都要一致)给出的限制。ajax能直接获取同源的数据。不同源的需要解决跨域问题。
前端跨域问题的解决方案Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy
热门推荐
weixin_40756509的博客
03-25 27万+
前言: 在前端发出Ajax请求的时候,有时候会产生跨域问题,报错如下: Access to XMLHttpRequest at 'http://127.0.0.1/api/post' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 针对以上问题,本文提供两种解决方案,CORS中间件和JSO
前端跨域主流解决方案(Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy)
weixin_43239880的博客
04-06 2万+
前端跨域主流解决方案(Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy)
如何解决Access to XMLHttpRequest at ‘http://127.0.0.1:8000/cors-server‘ from origin ‘null‘
weixin_61972561的博客
05-23 4662
Access to XMLHttpRequest at 'http://127.0.0.1:8000/cors-server' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
解决跨域:“Access to XMLHttpRequest at ‘http://127.0.0.1:8081‘ from originhttp://localhost:8080‘“
qq_48009509的博客
11-29 5万+
在使用 vue 过程中经常会向服务器请求数据,但是时常会发生跨域的错误,具体什么是“跨域”请自行百度,这里说明一下怎么解决这个问题。 1、在 vue.config.js 文件中配置如下操作: 2、在 main.js 中修改baseURL 3、在服务器中配置允许跨域 ...
[js]轻便的XMLHttpRequest应用函数:downloadUrl()
10-30
这个函数利用了浏览器内置的 `XMLHttpRequest` 对象或在旧版本的 Internet Explorer 中使用的 ActiveXObject 来实现异步通信。以下是关于 `downloadUrl()` 函数的详细解释: 1. **参数说明**: - `url`:必填参数...
javascript30:30天的vanilla.js挑战https://javascript30.com
02-07
1. **基础语法**:理解变量、数据类型、条件语句、循环、函数、对象和数组等JavaScript基本概念。 2. **事件处理**:学习如何使用`addEventListener`来响应用户的交互,如点击、滚动、输入等。 3. **DOM操作**:...
baidu.zip_com baidu searchbox_com.baidu.searchbox_javascript_sit
09-21
3. AJAX异步请求:使用`XMLHttpRequest`或`fetch` API向百度API发送请求,获取搜索结果。 4. JSON解析:从服务器返回的通常为JSON格式的数据,需使用`JSON.parse`将其转换为JavaScript对象。 5. 数据渲染:将搜索...
XMLHttpRequest_test:XMLHttpRequest学习代码
05-20
1. **创建XMLHttpRequest对象**:在JavaScript中,可以通过`new XMLHttpRequest()`来创建一个实例。虽然名字中有XML,但如今它并不限于处理XML数据,而是可以处理各种格式的数据,如JSON、文本等。 2. **初始化请求...
Weather.zip_JavaScript/JQuery_JavaScript_
08-11
这通常涉及到XMLHttpRequest或fetch API的使用,这两个API允许JavaScript向远程服务器发送异步请求,从而在不刷新页面的情况下获取数据。 jQuery是一个基于JavaScript的库,它简化了许多常见的JavaScript任务,如...
看完你就明白前后端分离项目中的跨域问题怎么解决了!
10-15 2614
谈谈前后端分离中的跨域问题 在前后端分离开发过程中常常出现下面这样的错误提示: Access to XMLHttpRequest at 'http://127.0.0.1:8000/apis/users/login/' from origin 'http://127.0.0.1:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Acces
Access to XMLHttpRequest at ‘http://127.0.0.1:8080 from originhttp://localhost:8080XXXCORS 报错
greenhand_coder
09-14 5713
问:本地开springboot后台居然会跨域? 答: 两个请求的端口号不一样,一个是8080,一个是8081
Access to XMLHttpRequest at ‘http://127.0.0.1:8000/server‘ from originhttp://127.0.0.1:5500‘ has
lucky_ferry的博客
10-15 4万+
控制台输出 Access to XMLHttpRequest at 'http://127.0.0.1:8000/server' from origin 'http://127.0.0.1:5500' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested reso 离谱~~我访问本地服务器,竟然还存在跨域问题 找了很对解决方案 最有效的是 在设置响应头时
Access to XMLHttpRequest at 'http://127.0.0.1:1122/' from origin 'http://loc
12-12
根据提供的引用内容,可以看出这是CORS(跨域资源共享)的错误提示。这是由于浏览器的同源策略所导致的。同源策略是浏览器的一种安全策略,它限制了一个源(协议、域名、端口)的文档或脚本如何能够与另一个源的资源进行交互。如果两个页面的协议、域名、端口有任何一个不同,那么它们就被认为是不同的源。在这种情况下,浏览器会阻止页面向另一个源发送请求。 解决这个问题的方法是在服务器端设置响应头,允许特定的源访问资源。可以在服务器端设置Access-Control-Allow-Origin响应头,将其设置为允许访问的源。例如,如果想允许所有的源访问资源,可以将其设置为"*"。 如果你是在开发中遇到了这个问题,可以尝试以下几种解决方法: 1. 在服务器端设置Access-Control-Allow-Origin响应头,允许特定的源访问资源。 2. 将前端代码和后端代码部署在同一个域名下,避免跨域问题。 3. 使用代理服务器来转发请求,避免跨域问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值