ajax 跨域 CROS

最新推荐文章于 2023-10-19 11:42:02 发布
最新推荐文章于 2023-10-19 11:42:02 发布
阅读量4.4k 收藏 6
点赞数
分类专栏: java 文章标签: ajax cros
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cabbges/article/details/53378516
版权

在某域名下使用ajax向另一个域名下的地址请求数据时,浏览器出于安全考虑,会限制在脚本中发起的跨域请求。然而怎样才能算跨域?协议,域名,端口都必须相同,才算在同一个域。也就是说如果协议、域名、端口中有一个不同,就是在不同的域。

例如我现有一个jsp页面,http://localhost:8080/domainReq/index.jsp,若用ajax请求下面地址的服务时,会出现跨域问题。

地址端口跨域
http://100.111.10.48:8080/8080地址不同
http://localhost:80808080地址、端口相同,可以请求。
http://localhost:80818081端口不同
https://100.111.10.48:80808080协议不同

例外:由于JSONP只能实现GET请求,而CORS支持所有类型的HTTP请求。这里不考虑JSONP。
HTML5带来了一个新的跨域解决方案CORS,CORS是一个W3C标准,全称是”跨域资源共享”(Cross-Origin Resource Sharing)。具体看百科

CROS header简单的描述

标头描述
Access-Control-Allow-Origin多个域名可以用逗号隔开。如www.ios.com,www.android.com。*表示谁都可以,不限制域名(不建议使用)。
Access-Control-Expose-Headers设置浏览器允许访问的服务器的头信息的白名单
Access-Control-Max-Age在CROS协议中,一个AJAX请求被分成了两步。第一步OPTION为预检测请求,第二步为正式请求。请求的结果的有效期是多久,单位秒。
Access-Control-Allow-Credentials是否允许请求带有验证信息
Access-Control-Allow-Methods资源可以被哪些方式请求GET, POST,TRACE等,多个值时用逗号分开,*为不受限制。
Access-Control-Allow-Headers允许自定义的头部,逗号隔开。如:Content-Type, x-requested-with, Authorization等。

比如:Access-Control-Allow-Headers,若ajax请求时header带了Authorization令牌,而这里又未设置时会出现(已拦截跨源请求:同源策略禁止读取位于 http://100.111.10.48:8080/domain/MyServlet 的远程资源。(原因:来自 CORS 预检通道的 CORS 头 ‘Access-Control-Allow-Headers’ 的令牌 ‘authorization’ 无效)。

下面来看看ajax调用跨域服务,和服务端分别通过spring mvc 注解方式或Servlet + Filter 方式发布服务。

1.请求示例
客户端IP为100.111.10.17
这里写图片描述

2.未设置Response Headers时
btn1事件引用的地址并没有设置任何Response Headers信息。
返回错误信息:XMLHttpRequest cannot load http://100.111.10.48:8080/domain/MyServlet. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://localhost:8080’ is therefore not allowed access.
这里写图片描述

3.设置Response Headers时
btn2事件引用的地址,Response Headers设置了Access-Control等信息。可以成功返回结果,已经打印出信息了。
在这里发现会请求两次,第一次Method为OPTIONS,第二次为POST。这是因为在做跨域请求时浏览器会自动发起一个 OPTIONS 到服务器,是一种预检测请求,用来检测是否安全。
从服务器返回的headers中,可以看到分别设置了CROS 各种信息:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:x-requested-with,Authorization
Access-Control-Allow-Methods:POST, GET, OPTIONS, DELETE
Access-Control-Allow-Origin:http://localhost:8080
Access-Control-Max-Age:10
Allow:GET, HEAD, POST, TRACE, OPTIONS
Content-Length:0
Date:Thu, 01 Dec 2016 08:36:36 GMT
Server:Apache-Coyote/1.1

这里写图片描述

4.后台服务

1.采用Spring CrossOrigin

CrossOrigin注解在spring mvc 4.2 之上才有的特性。可参考http://spring.io/blog/2015/06/08/cors-support-in-spring-framework

@RestController
@RequestMapping(value = "/helloworld")
public class HelloController {

    /**
     * CrossOrigin注解在spring mvc 4.2
     * @param id
     * @param request
     * @param response
     * @return
     */
    @CrossOrigin(origins = "http://localhost:8080", maxAge = 10)
    @RequestMapping(value = "/rest/{id}", method = { RequestMethod.POST, RequestMethod.GET })
    public Message getms(@PathVariable int id, HttpServletRequest request, HttpServletResponse response) {
        System.out.println("---------------rest/" + id + " request-------------");
        System.out.println(request.getHeader("Authorization"));
        System.out.println(request.getHeader("x"));
        Message message = new Message();
        message.setId(Integer.toString(id));
        message.setName("123");
        message.setText("hello,123");
        return message;
    }
}

2.过滤器方式

Filter

public class CORSFilter implements Filter {

    @Override
    public void destroy() {
        System.out.println("Filter-destroy");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        //String origin = (String) servletRequest.getRemoteHost()+":"+servletRequest.getRemotePort();
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        System.out.println("Filter-Method:" + request.getMethod()); // GET, POST, OPTIONS
        System.out.println("Filter-Authorization:" + request.getHeader("Authorization"));

        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "http://localhost:8080");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "10");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Authorization");
        response.setHeader("Access-Control-Allow-Credentials", "true");

        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        System.out.println("Filter-init");
    }
}

Servlet

/**
 * Servlet implementation class MyServlet
 */
public class MyServlet extends HttpServlet {
    private static final long serialVersionUID = 1L;

    /**
     * @see HttpServlet#HttpServlet()
     */
    public MyServlet() {
        super();
    }

    @Override
    public void init() throws ServletException {
        super.init();
        System.out.println("Servlet-init");
    }

    @Override
    public void destroy() {
        super.destroy();
        System.out.println("Servlet-destroy");
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {       
        System.out.println("Servlet-Method:" + request.getMethod());
        System.out.println("Servlet-Authorization:" + request.getHeader("Authorization"));

        response.getWriter().append("{\"CTY\": \"china\"}");
        response.getWriter().close();
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request, response);
    }
}
cabbges
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ajax跨域讲解
03-06
在收集AJAX面试题的时候其实就已经有过AJAX跨域的问题的了,当时候知道了为什么会存在跨域,以及跨域解决的方案有哪些,今天随着课程的学习,又加深了AJAX跨域的理解,以此记录下来。
如何理解CROS
heroicpoem的专栏
07-09 3901
还沿用当初自己对这块的几个疑问,回答疑问的过程,也是梳理的过程。&:前后端分离的应用,前端、后端是2个独立的应用,运行在不同端口。在浏览器看来,是不同的域。前端页面中的ajax请求后端接口,即是跨域访问了,触发cros。&:有多种方法,其中1个是在后端应用设置允许放入的来访域请求。 对应的后端也支持了preflight(option)请求。 springboot有现成方法。eg: 3.浏览器是如何控制cros的? &:浏览器对跨域请求,发出preflight;得到后端响应,看响应header中允许的来访域是
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
最新发布
FeelTouch Labs
10-19 1045
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
CORS 跨域解决方案
running_pork的博客
01-04 1919
复杂请求则需要2次,先发起options请求,确认目标资源是否支持跨域,浏览器会根据服务端响应的header自动处理剩余的请求,如果响应支持跨域,则继续发出正常请求;简单跨域请求只需要请求一次,复杂跨域请求需要请求2次,第一次是预检请求(options请求),第二次是真是的跨域请求。所以,当触发预检时,跨域请求便会发送2次请求,增加请求次数,同时,也延迟了请求真正发起的时间,会严重地影响性能。crossDomain: true //// 会让请求头中包含跨域的额外信息,但不会含cookie。
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 8668
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
Ajax与Cors
m0_63853512的博客
01-08 1625
Ajax与Cors
Ajax跨域请求COOKIE无法带上的完美解决办法
12-09
1、原生ajax请求方式: ... //支持跨域发送cookies 4 xhr.send(); 2、jquery的ajax的post方法请求: $.ajax({ type: "POST", url: "http://xxx.com/api/test", dataType: 'json',  // 允许携带证书
完美解决AJAX跨域问题
01-19
AJAX诞生那天起,XMLHttprequest对象不能跨域请求的问题就一直存在。这似乎是一个很经典的问题了。是由于javascript的同源策略(这里不作深入探讨)所导致。 解决的办法,大概有如下几种: 1. 使用中间层过渡的...
Ajax 跨域如何实现
12-12
ajax简介 AJAX即“Asynchronous Javascript And XML”(异步JavaScript和XML),是指一种创建交互式网页应用的网页开发技术。...前两天xz问我知不知道ajax怎么实现跨域调用,因为没听过这个概念,所以也知道怎
demo跨域ajax_DEMO_ajax跨域_
09-30
一个c# ajax跨域的demo,解决c# ajax 跨域的问题
如何解决CORS跨域问题
superioc的博客
03-30 740
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
AJAX中的跨域(CORS) 问题 (更新于2023.02.04)
热门推荐
D-的博客
08-20 1万+
from origin 'null' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 438
03Web服务器基础-19. HTTP协议请求部分详解
SpringBoot项目中使用Cros解决跨域问题
༺࿈无关痛痒࿈༻的博客
11-06 601
  作为一个java后端开发人员,在进行项目开发的时候,一定会进行资源上的交互,久走夜路,必然会遇到跨域访问问题;下面简单了解一下什么是跨域问题。 跨域问题的由来 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20191106221013915.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,...
Ajax学习:设置CROS响应头实现跨域跨域资源共享)
weixin_47295886的博客
12-02 1651
Access-Control-Max-Age:预请求结果缓存。Access-Control-Allow-Headers:设置头信息(自定义头不允许 所以需要在响应前接收的任意请求头)Access-Control-Allow-Credentials: 跨域请求时候,是否允许携带验证信息(cookie)Access-Control-Expose-Headers:暴露头部信息,客户端同意的哪些头可以暴露。Access-Control-Allow-Methods:设置请求允许的方法。http和http不需要。
AJAX-跨域请求
weixin_34220179的博客
06-18 418
1、什么是跨域请求 浏览器均默认开启了同源策略,它指Ajax请求所在的页面和被请求的页面在域名、端口均相同才能被访问,否则会提示如下错误: XMLHttpRequest cannot load xxxxxxx is not allowed by Access-Control-Allow-Origin. 2...
ajax跨域的解决之CORS策略
yyyggyy的博客
11-26 2926
跨域的解决方案(二):CORS策略的介绍及实现 CORS简介 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出ajax请求,从而克服了AJAX只能同源使用的限制。 CORS依赖于服务器端的设定,只要在服务器端进行了设置,就可以实现相应的资源访问。 CORS简单服务器端实现 之前写过一篇文章原生javascript封装ajax,在该文章中,用面向对象的方法简单封装了一个ajax通信类,同时建立了一个本地的服务器来进
CROS 跨域请求原理
qq_36416878的博客
10-13 6897
cros 分为两种请求 简单请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(预检请求)(not-so-simple request)。 只要同时满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP请求头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值applicat
HTML页面安全策略汇总(1):同源策略、CORS、COOP、COEP
weixin_44384265的博客
12-02 1123
本文是HTML页面安全汇总文章第一篇:详细介绍的策略包括同源策略、跨源资源共享CORS、跨源打开程序策略COOP、跨源嵌入器策略COEP。
fetch跨域ajax跨域
04-29
常见的跨域方式有fetch跨域ajax跨域。 fetch跨域: fetch是一种基于Promise的新一代网络请求API,支持跨域请求。在fetch请求时,可以通过设置mode属性为"cors"来支持跨域请求。例如: ``` fetch('...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值