跨域对接方法总结

最新推荐文章于 2021-08-14 21:53:31 发布
最新推荐文章于 2021-08-14 21:53:31 发布
阅读量131 收藏
点赞数
文章标签: 前端 javascript java ViewUI
原文链接:http://www.cnblogs.com/CccZss/p/8571115.html
版权

一、后台跨域-V1

1. 后台设置

  1. 配置过滤器,为所有的响应头都加上 下面四个字段

  • Access-Control-Allow-Origin: '具体源' :允许通过跨域访问后台服务器的源。如果需要使用section来标示不同的会话,则需要前端设置允许cookie(因为浏览器是通过发送cookie中相关的ID ( JSESSIONID )来标识的),并且后台的 Access-Control-Allow-Origin 不可以设置为通配符 ‘ * ’,需要指定一个明确的域名,可以是 null (即通过本地文件 file:// 发送的请求), 然后后台动态的获取request 的 origin 去设置 Access-Control-Allow-Origin 。

  • Access-Control-Allow-Methods: "POST, ..." :该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法

  • Access-Control-Allow-Headers: "Content-Type, ...":该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段

  • Access-Control-Max-Age: '3600':规定在多长时间内不需要再发生 预检请求 就能跨域访问

// spring 写法

package gdut.qg.utils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
* Created by logan on 2017/5/23.
*/
public class CORSFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String Origin = request.getHeader("Origin");
    /* 此处通过动态设置运行跨域访问的源 */
        response.setHeader("Access-Control-Allow-Origin", Origin);
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "36000");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.addHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
        
    }
    public void init(FilterConfig filterConfig) {}
    public void destroy() {}
}

2. 前端设置

  1. 如果需要保持将两次请求维持在同一个会话中(即后台需要用到 session 来识别用户),需要保持Request Cookies 中的 JSESSIONID 的值在两次请求中不变,即需要在请求时允许跨域请求携带 Cookie
  • 原生
//原生

var xhr = new XMLHttpRequest();
xhr.open('GET', url);
xhr.withCredentials = true;      //允许跨域请求携带 Cookie
xhr.send();
  • jQuery
// jQuery

$.ajax({
    type: "post",
    url: "xxx",
    data: data,
    xhrFields: {
        withCredentials: true       //允许跨域请求携带 Cookie
    }
    success: function(data) {
        console.log(data)
    },
});

二、后台跨域-V2

1. 后台设置

  1. 配置过滤器,为所有的响应头都加上 下面的字段

  • Access-Control-Allow-Origin: ' * ' :允许通过跨域访问后台服务器的源,如果设置为 * ,表示可以让任何源访问,当是这里需要再设置一个参数 Access-Control-Allow-Credentials 为 false,表明不允许携带 cookie 才可以

  • Access-Control-Allow-Methods: "POST, ..." :该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法

  • Access-Control-Allow-Headers: "Content-Type, ...":该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段

  • Access-Control-Max-Age: '3600':规定在多长时间内不需要再发生 预检请求 就能跨域访问

  • Access-Control-Allow-Credentials : false : 不允许携带 cookie

2. 前端设置

  1. 设置 withCredentials 为 false
// jQuery

$.ajax({
    type: "post",
    url: "xxx",
    data: data,
    xhrFields: {
    withCredentials: false       //不允许跨域请求携带 Cookie
    }
    success: function(data) {
        console.log(data)
    },
});

// axios

import axios from 'axios'
axios.defaults.withCredentials = false    //全局设置 withCredentials 为 false
export const IP = 'https://xxxxxxx.com/';  
export const myAxios = axios.create({
    baseURL: IP,
})

3. 缺点

  1. 由于不允许传cookie,所以无法把 section 通过 cookie 传到服务器,即后台获取不到section。所以无法记住登录状态,需要改为用 token 才行。

三、插件跨域

使用Google插件 :Allow-Control-Allow-Origin: *

1. 后台

不需要后台配置任何的响应头字段

2. 前端

直接写要访问的其他域的路径,跟平时使用没有区别。

3. 缺点

  1. 插件跨域后相当于在不同的会话框中,所以没有包含之前登录的 section,即后台获取不到section。

  2. 该插件会将请求的 origin 设置为 ”http: //evil.com“。

// 这是请求头携带的信息
Request Headers                               
    OPTIONS /ExcellentCourses/admin/login HTTP/1.1
    Host: 123.207.228.117
    Connection: keep-alive
    Access-Control-Request-Method: POST
    Origin: http://evil.com/                      //注意这里的origin已经被插件换了
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)...
    Access-Control-Request-Headers: content-type
    Accept: */*
    Accept-Encoding: gzip, deflate, sdch
    Accept-Language: zh-CN,zh;q=0.8

四、代理跨域

1. 前端

  1. 如果使用Vue框架,可以使用 Vue-cli 的 proxyTable 配置
    proxyTable: {
        '/api': {
            target: 'http://192.168.1.107:80',
            changeOrigin: true,
            pathRewrite: {
                '^/api': '/'
            }
        }
    },
    // 把含有 api 的请求路径代理到 http://192.168.1.107:80/ 上。
    //如 localhost:8080/api/add -> http://192.168.1.107:80/add

可配置 axios 来食用

import axios from 'axios'

IP = '/api';

myAxios = axios.create({
    baseURL: IP
})
    
getAllTeachers() {
    return new Promise((resolve, reject) => {
        myAxios({
            method: 'POST',
            url: '/teacher/allTeachers'
        }).then(function(res){
            resolve(res.data)
        }).catch(function(err){
            reject(err)
        })
    })
}

2. 后台

  1. 不需要后台配置任何的响应头字段

  2. session仍然可以使用

五、总结

  1. 使用第一种可以用到真实的线上环境,第二中可以配合token在真实线上使用,而第三种和第四种只是用于开发环境

  2. 如果后台不需要使用 section,并且之后整合前后代码是在同一个服务器上,则推荐使用第二种方式,因为这样前后都不要修该自己的代码,能缩短开发周期。

  3. 如果后台需要用到 section,并且之后整合前后代码是在同一个服务器上,则推荐使用第四种方式,前提是前端能使用 webpack 来配置代理服务器

  4. 如果需要跨域而前端又不能使用代理,则需要前后一起去配置有关CORS的请求头和响应头信息,不过这种方法当真正上线时也可以跨域,算是正统的方法。

六、参考

  1. 关于简单请求与非简单请求的跨域问题。跨域资源共享 CORS 详解
  2. 后台实现跨越。Spring MVC通过CROS协议解决跨域问题
  3. 跨域请求,关于后端session会话丢失的解决办法
  4. 浏览器 AJAX 跨域请求访问控制

转载于:https://www.cnblogs.com/CccZss/p/8571115.html

dingshige8508
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对接钉钉开发案例ShareFinanceH5
10-18
总结来说,"ShareFinanceH5"项目是一个全面展示钉钉API集成的实例,涵盖了用户管理、文件操作等多个方面,对于想在Java环境下使用钉钉API的开发者具有很高的参考价值。通过研究和实践这个案例,开发者可以提升自己的...
Flex IFrame中文注释使用方法详解
10-12
本文将深入探讨Flex IFrame的使用方法及其中文注释,帮助开发者更好地理解和应用这一组件。 首先,我们要理解什么是IFrame。IFrame(Inline Frame)是一种HTML元素,可以在一个网页中嵌入另一个网页。在Flex中,...
漏洞系列之——CORS配置错误
LizePing_的博客
08-14 1万+
CORS配置错误漏洞描述漏洞等级漏洞危害易受攻击的示例: 漏洞描述 API 域存在站点范围的 CORS 错误配置。这允许攻击者代表用户发出跨源请求,因为应用程序没有将 Origin 标头列入白名单并且具有 Access-Control-Allow-Credentials: true 意味着我们可以使用受害者的凭据从攻击者的站点发出请求。 漏洞等级 高危 漏洞危害 BURP HEADER> Origin: https://evil.com VICTIM HEADER> Access-Control
前后端对接跨域问题
qq_45672914的博客
07-16 259
回显失败,显示跨域错误 思路: 1、检查后端有没有加跨域注解@CrossOrigin(加了) 2、而且添加删除等操作都可以运行,应该不是本机协议本身的问题 3、检查请求方式(get、post等)是否对应 4、检查调用的api是否正确 5、在浏览器单独访问第一个灰色路径发现404!!!证实路径问题 6、最终发现后端{id}}多了一个花括号 ...
接口开发-跨域访问-解决方案简单汇总
韩超的博客 (hanchao5272)
02-07 1万+
1 引言 这是16年写的一篇小调查,现在贴到博客中。 因为当时时间有限、水平有限,所以内容较浅,而且还有很多不当之处。 还有就是当时参考的那些文章现在也记不得了,深感抱歉! 1.1 编写目的 编写接口开发跨域访问解决方案汇总的主要目的是,归纳整理目前可供选用的解决接口跨域访问的解决方案。 接口调用开发模式需要考虑一个重要的问题,即跨域访问问题。 跨域访问有两个方向的解决策略:
跨域跨域访问
斜阳雨陌
05-18 1万+
什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 为什么浏览器要限制跨域访问呢? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问...
程序员,软件开发202x年工作总结ppt模板,黑色简约风格,内含文本示例
01-04
- **单点登录和跨域访问**:提供便捷的登录体验,同时解决跨域问题。 - **数据归集和综合报送**:整合多源数据,生成报告,满足业务需求。 - **Neo4j/janus 使用**:利用图形数据库技术处理复杂关系数据。 - **...
微信小程序环境下将文件上传到OSS的方法步骤
10-16
总结,微信小程序上传文件到OSS涉及的主要步骤包括配置跨域规则、设置白名单、生成签名和策略,以及使用小程序的API进行文件选择和上传。理解这些知识点对于开发微信小程序中涉及文件存储的应用至关重要。在实际项目...
海康威视的H5playerV2.0.0开发指南_20210805145842_20210918155600.pdf
12-14
总结: 海康威视的H5player V2.0.0是一个功能丰富的HTML5网络视频播放器,支持多种格式的音视频流,具备跨平台和跨浏览器的兼容性。通过其提供的详尽API接口,开发者可以实现视频播放、录像、抓图、回放控制等多种...
前后端交互 跨域问题的解决
sharehu的博客
10-05 9614
1、什么是跨域?? 指的是浏览器不能执行其他网站的脚本,也就是前后端的代码运行在不同的服务器上的时候就会出现跨域问题,它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 2、如何解决跨域?? 方案一、使用Ajax的jsonp来解决(只能使用get请求) 前端代码: 后台代码: 方案二、使用JQurey的jsonp插件(对于get、post请
如何解决前后端对接时的跨域问题(笔者第一次尝试前后端连接,相信这篇博文会对你有所帮助)
小康小白的博客
05-14 2049
为什么要跨域? 浏览器不能执行其他网站的脚本,也就是前后端的代码运行在不同的服务器上的时候就会出现跨域问题,它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
前后端对接接口时候遇到的跨域问题
u012146058的博客
04-04 2718
什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资源。比如从http://www.baidu.com/页面去请求google.com的资源。跨域的严格一点的定义是:只要协议,域名,端口有任何一个的不同,就被当成是跨域。 之所以要限制跨域访问,是因为如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题,比如下面的两种跨域攻击: AJAX同源策略 用户访...
对接方式理解
u011665148的专栏
03-21 1305
对接方式理解主要原则:降低耦合性,对外依赖程度低(外部修改后,内部只要进行少量适配即可)实现方式:1.与外部相关联的自定义参数全在一个函数中处理                 2. 内置一天参数和外部需要的参数进行映射                 3.外部类尽量提供内部访问接口,降低内部接口自己调用传值出错的风险,内部类尽量直接调用外部类已经定义的对                    外...
跨域问题总结(普通跨域,header头加参数跨域
热门推荐
wuye_lh的博客
09-02 1万+
背景是这样的:一直都是为APP写接口,然后用postman测试,是没有出现过跨域问题的,最近给前端H5页面写接口,出现了跨域问题, 我们的token是存在header头的,然后用了 在前端用jsonp 以及在后端使用 容许所有人访问的方式都没有解决。 最终发现,header头没有加入,token一直没有验证通过。 参考博文:ajax 跨域 headers JavaScript ajax 跨...
跨域9大解决方案(超详细) 总结
小柒的前端之旅
01-22 1100
前面的话 我们经常听到跨域这词,这是由于浏览器同源策略限制的一类请求场景。这样做的目的使得 浏览器不容易受到攻击。 什么是同源策略? 同源策略(sop Same origin policy)是一种约定,所谓同源是指“协议、域名、端口”三者都相同,如果没有同源策略,浏览器很容易受到XSS、CSRF等攻击。 同源策略限制了什么? 1)Cookie、LocalStorage和IndexDB无法获取 2)...
访问Http接口的两种请求方式
jaedons的博客
11-16 1万+
1. POST方式请求 public void testPostLogin() throws Exception{ String url = "http://192.168.1.160:8080/app/user/login.xhtml"; Map paramMap = new HashMap(); paramMap.put("username","ting");
关于跨域的一些问题(易懂)
sherlock_l的博客
10-30 208
JSONP 因为ajax直接请求普通文件存在跨域问题(同源下的js发起的ajax请求是可以跨域的),甭管是啥只要是跨域请求一律都不行 ****但是web页面上调用js文件时不受跨域影响(而且有src的标签都有跨域的能力) 所以在远程服务器上把数据装进js格式里,而JSON可以简洁描述复杂数据,并且被 js原生支持。所以在服务端动态生成JSON文件并把客户端需要的数据装进去 客户端调用JSON文件成功后,获得数据。这种方式很像ajax但其实不是 JSONP协议允许的是用户传递callback参数给服务端,服务
springboot中跨域方法
最新发布
05-28
在Spring Boot中解决跨域问题可以通过以下两种方法: 1. 使用注解 @CrossOrigin 在Controller上添加 @CrossOrigin 注解可以允许指定的域名跨域访问: ```java @CrossOrigin(origins = "http://localhost:8080") @...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值