服务端跨域处理原理以及处理

最新推荐文章于 2024-04-04 08:21:11 发布
最新推荐文章于 2024-04-04 08:21:11 发布
阅读量703 收藏 2
点赞数
文章标签: 服务器 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjrxyz/article/details/128797734
版权

服务端跨域处理原理以及处理

背景

随着CROS标准的推广,跨域成了每个服务器开发者必须处理的问题,网上关于如何解决跨域问题的文章数不胜数,但是能用的少之又少,不少文章作者都不清楚跨域原理,不知从哪里抄来一字半句发现有效果就匆匆发表,误导了不知多少人。

其实处理跨域的原理并不复杂,本文会介绍处理跨域的原理并给出python实现。

跨域标准

CROS标准是W3C定义的新标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

讲解CROS标准的文章推荐阮一峰的《跨域资源共享 CORS 详解》,讲的比较清楚明了,本文不再赘述CORS标准,只讲服务端的处理

CORS标准需要浏览器支持,浏览器会自动按照CORS标准发出请求,服务器需要按照CROS标准给出对应的回复,否则浏览器拒绝继续HTTP请求。

新版本的浏览器基本都强制开启了跨域请求,所以除非你能限制浏览器,不然都免不了跨域这一关。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨域通信。

跨域也可以从浏览器关闭,但是目前都需要在浏览器启动传入参数或者修改一些内部配置,没有办法在前端代码里关闭。

所以网上所有说在web代码里处理跨域的都是在扯蛋,跨域请求必须由服务器作出处理。而所有说在服务端关闭跨域的也是在扯蛋,只能从浏览器端关闭跨域。

跨域处理

跨域处理分两种,简单请求和非简单请求。

怎么分辨是不是简单请求呢?其实很简单,同时满足以下全部条件的就是简单请求:

  • HTTP请求方法只能是以下几种方法之一:
    • HEAD
    • GET
    • POST
  • HTTP请求的头信息只有以下字段:
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type
  • 如果HTTP请求的头信息有Content-TypeContent-Type值只能是以下几种之一:
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

简单请求

浏览器在对一个url发起简单跨域请求时会在HTTP请求头中设置一个Origin字段,表示浏览器发起请求的来源地址。

服务器需要检查这个来源是否合法,如果合法的话,服务除了需要正常处理业务以外,还需要在HTTP回复的响应头中设置如下字段:

  • Access-Control-Allow-Origin
    • 值和请求头中的Origin字段值一致
  • Access-Control-Allow-Credentials
    • 值一般设为字符串类型的true,表示是否允许发送Cookie

非简单请求

非简单请求的处理除了要完成上述对于简单请求的处理之外,还需要一些额外的处理。

浏览器在对一个url发起跨域非简单请求时首先会发出一个相同url的OPTIONS方法的请求,一般我们称之为preflight。然后根据preflight请求的结果再进行实际的请求发送。

浏览器会在preflight的HTTP请求头中设置一个Access-Control-Request-Method字段,用来表示本来实际发起的请求是什么方法。

如果实际的请求头中包含自自定义的字段,那么浏览器在还会在preflight的HTTP请求头中设置一个Access-Control-Request-Headers字段,用来表示实际发起的请求头中将要包含的字段。

对于preflight的处理,服务器此时应返回200,并先对此请求进行简单请求的处理,然后再返回的请求头中设置如下字段:

  • Access-Control-Allow-Methods

    • 此字段表示服务器针对此url允许哪些方法的请求,一般来说,值可以设为请求头中的Access-Control-Request-Method字段的值。但是最好每次都全部设为GET,POST,PUT,DELETE,OPTIONS,这样可以避免浏览器针对每种方法都发起preflight,提升性能。

  • Access-Control-Allow-Headers

    • 此字段表示服务器允许接收的请求头的字段,如果浏览器的请求头中有Access-Control-Request-Headers,则将值设置为和请求头中Access-Control-Request-Headers字段的值一致。否则设为字符串类型的*

当浏览器完成了preflight请求并且服务器给出的响应都正确,浏览器才会发起真正的跨域非简单请求。此时的处理就比较简单了。此时浏览器应该先对此请求进行简单请求的处理,然后按照preflight响应头中关于Access-Control-Allow-Headers的处理规则进行处理即可。

python-bottle实现

通常来说,一个现代的、成熟的服务器框架应该可以按照配置自己处理CROS,但是当框架没有提供时,就需要我们按照上文规范自己处理。

这里给出使用python的bottle框架的跨域处理。其他的框架、语言也可以参考以下实现

响应头处理

首先针对所有的请求,使用hook做统一的响应头处理

@ app.hook('after_request')
def enable_cors():

    if 'Origin' in request.headers:

        origin = request.headers['Origin']

        response.headers['Access-Control-Allow-Origin'] = origin

        response.headers['Access-Control-Allow-Credentials'] = 'true'

    if 'Access-Control-Request-Headers' in request.headers:

        response.headers['Access-Control-Allow-Headers'] = request.headers['Access-Control-Request-Headers']

    else:

        response.headers['Access-Control-Allow-Headers'] = '*'

OPTION请求处理

然后针对所有OPTION请求做处理

@ app.route(urlPrefix+'/<n:re:.+>', method='OPTIONS')
def options(n):

    response.headers['Access-Control-Allow-Methods'] = 'GET,POST,PUT,DELETE,OPTIONS'
    return ''
太上绝情
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
最常见的六种跨域解决方案
m0_37873510的博客
08-27 4万+
常见的跨域解决方案
跨域问题及解决方案
nangongwenxuan的博客
07-10 382
跨域问题在Web开发中是一个常见的挑战。由于浏览器的同源策略限制了跨域请求,开发者需要采取相应的解决方案来实现跨域通信。本文介绍了跨域问题的定义和原因,并提供了几种常见的跨域解决方案,包括JSONP、CORS、代理服务器WebSocket。同时,文章强调了在实施跨域解决方案时需要注意的事项,如选择适当的方案、设置安全的访问控制规则以及避免不必要的跨域请求。最后,通过一个使用CORS解决跨域问题的案例,展示了如何在服务器端设置响应头来允许特定域的跨域访问。通过了解跨域问题及其解决方案,开发者可以更好地应对跨
一文详解最常见的六种跨域解决方案
最新发布
很多时候犯错都是在不知情的情况下发生的
04-04 176
跨域就是当在页面上发送ajax请求时,由于浏览器同源策略的限制,要求当前页面和服务端必须同源,也就是协议、域名和端口号必须一致。如果协议、域名和端口号中有其中一个不一致,则浏览器视为跨域,进行拦截。jsonp的原理是利用了script标签不受浏览器同源策略的限制,img和link标签也是不受浏览器同源策略限制的。跨域是浏览器限制,服务端服务端之间通信是不受浏览器同源策略限制的。所有跨域的解决方案都是需要服务端配合的。最常用的跨域解决方案是CORS、Node代理服务器和Nginx反向代理方式。
服务器段实现跨域的几种简单的方式
Lei_lee_coder的博客
06-09 307
1、spring 框架 (1) spring 4.2 以上版本 ,可以使用注解的方式在controller 类或者方法上添加@CrossOrigin 注解,表明接口是允许跨域访问的。对于注解的参数与使用可以查看spring 中的说明或者网上搜索。 (2) 全局配置可以是使用继承配置类WebMvcConfigurerAdapter 重写addCorsMappings 方法自己去制定跨域规则例如: ...
什么是跨域,如何解决跨域(前后端)
jieyucx的博客
05-12 3441
跨域:指的是在网页端,发起一个跨越不同域名(协议、端口号)的HTTP请求的过程。例如:当一个页面的URL为http://a.com,通过Ajax向http://b.com发送请求,就是一个跨域请求。跨域问题是由浏览器的同源策略所引起的。同源策略限制了JS代码只能读取与其来源页面具有相同域名的数据。具体而言,同源策略是一种浏览器安全策略,它通过检查来源URL(协议 + 域名 +端口)是否与目标URL来源是否相同来决定是否允许跨域访问。同源策略主要限制以下四种行为。
关于跨域的问题和解决办法
xzd2333的博客
04-29 769
什么是跨域跨域是指跨域名的访问 比如两个地址,A地址向B地址发送ajax请求,但是A地址和B地址里面: 协议 域名 端口 不全相同,则请求是跨域跨域违反了同源策略 同源是指 协议-域名-端口 三者都相同 不同源之间的页面不允许相互访问数据,在浏览器规定中如果js运行在源A里面,则只能获取A的数据,不能获取B的数据,不允许跨域,这样做的好处就是保护了浏览器里面的安全 跨域是客户端问题还是服务器问题? 跨域是客户端浏览器问题 跨域的过程 浏览器向服务器发送请求,服务器接...
jquery中ajax处理跨域的三大方式
11-22
一、处理跨域的方式: 1.代理 2.XHR2 HTML5中提供的XMLHTTPREQUEST Level2(及XHR2)已经实现了跨域访问。但ie10以下不支持 只需要在服务端填上响应头: header("Access-Control-Allow-Origin:*"); /*星号表示...
jquery的ajax跨域请求原理和示例
10-25
本文将详细介绍这两种跨域请求的原理以及jQuery的实现。 首先,我们来看JSONP的工作原理。JSONP是一种绕过同源策略的技术,它利用了浏览器允许动态插入`<script>`标签的特性。当发送一个JSONP请求时,jQuery会创建...
JQuery的Ajax跨域请求原理概述及实例
10-27
**Ajax跨域请求原理概述** 在Web开发中,由于同源策略的限制,JavaScript通常只能访问与当前页面属于同一域名下的资源。然而,有时我们需要从其他域名获取数据,例如加载远程API或服务,这就涉及到了Ajax跨域请求。...
使用jquery的jsonp如何发起跨域请求及其原理详解
12-10
如果要在js里发起跨域请求,则要进行一些特殊处理了。或者,你可以把请求发到自己的服务端,再通过后台代码发起请求,再将数据返回前端。 这里讲下使用jquery的jsonp如何发起跨域请求及其原理。 先看下准备环境:两...
JSONP跨域GET请求解决Ajax跨域访问问题
10-24
5. **处理数据**:在`yourCallbackFunction`中,前端可以对返回的数据进行解析和处理,实现跨域数据交互。 需要注意的是,JSONP只支持GET请求,因为它依赖于`<script>`标签的跨域特性,而`<script>`标签不支持POST...
服务端解决跨域方法
05-24
服务端解决跨域方法服务端解决跨域方法服务端解决跨域方法
建议收藏!2020阿里面试题(JVM+Spring Cloud+微服务)上
欢迎您访问我的公众号【前程有光】
10-14 469
前言 对于大厂面试,我想要强调的一点就是心态真的很重要,是决定你在面试过程中发挥的关键,若不能正常发挥,很可能就因为一个小失误与offer失之交臂,所以一定要重视起来。另外提醒一点,充分复习,是消除你紧张的心理状态的关键,但你复习充分了,自然面试过程中就要有底气得多。 JVM面试题 java中会存在内存泄漏吗,请简单描述。 会。自己实现堆载的数据结构时有可能会出现内存泄露,可参看effective java. 64 位 JVM 中,int 的长度是多数? Java 中,int 类型变量的长度是一个固定值,与
前端服务请求后台接口,返回跨域报错问题解决
rookiediary的博客
03-17 3002
解决此类问题的方法很多,有需要客户端和服务端都要更改的,例如jsonp,iframe等等;有只需要客户端更改的,这种情况只能出现在hybrid app开发中,即通过调用native方法来进行网络请求;有只需要服务端配置的,下面介绍3种服务端配置的方法。 第一种 如果您使用的mvc框架是spring4.2以上的话,一个@CrossOrigin就可以搞定。将@CrossOrigin加到Controller上,那么这个Controller所有的请求都是支持跨域的,代码如下: @Controller @Cr
跨域的十种解决方案详解(总结)
MoXinXueWEB的博客
07-26 7961
小菜鸟在总结
服务器端解决跨域问题的三种方法
weixin_33800463的博客
07-06 411
http://blog.csdn.net/james_wade63/article/details/50772041
服务端解决跨域问题
猴子年华的专栏
09-09 357
服务端做手脚,操作起来也很简单,就是服务端在接口response的时候加上如下的header: 就可以解决跨域问题了。 header("Access-Control-Allow-Origin:*"); header("Access-Control-Allow-Methods:POST,GET"); ...
微服务解决跨域问题(后台)
qq_41028696的博客
11-30 1518
方式一:在访问的Controlelr上面添加@CrossOrigin注解(缺点:需要每个类上面都加注解) @RestController @CrossOrigin @RequestMapping("/test/") public class Test { 方式二:项目中添加解决跨域的类 package com.wangyunjie.test; import org.springframework.context.annotation.Bean; import org.springframework.co
服务端(后端),前端支持跨域请求
qq_43140505的博客
11-12 3943
服务端(后端),前端支持跨域请求 报错: Access to XMLHttpRequest at 'localhost:8080/ rom origin ‘null’ has been blocked by CORS policy: 原因:我的前端项目没有支持跨域请求; 解决: 1.前端项目支持跨域请求:如果部署在apache服务器上,要在apache服务器上开启允许跨域请求,我安装教程做了,但是没有成功,大牛们可以自己搜下 apache(或者其他的服务器)开启跨域请求的方法 我是用的XMLRequest发
security跨域处理
04-27
为了解决这个问题,可以采用以下几种方式进行跨域处理: 1. JSONP:利用 script 标签的跨域特性,在请求 URL 中添加一个回调函数名参数,服务器返回数据时将数据作为参数传递给该回调函数,从而实现跨域请求。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值