跨域问题和解决方案

最新推荐文章于 2021-10-22 15:13:45 发布
最新推荐文章于 2021-10-22 15:13:45 发布
阅读量165 收藏
点赞数 1
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog_m/article/details/117470775
版权

文章目录

一. 什么是跨域

1. 同源策略

同源策略是 游览器(服务器之间的互相访问不存在跨域)
一种安全约定,为防止收到XSS、CSRF攻击,不同域之间请求资源,都算作跨域。
协议、子域名、主域名、端口号任意一个不同,即被游览器认作不同域
(即使是同一网址 IP 和域名也看做不同域,例如:127.0.0.1 和 localhost)
在这里插入图片描述

2. 同源策略限制

不受限:
(1)跳转链接、重定向、表单提交
(2)跨域资源加载(< img >、< link >、< script >、< iframe > 等),但不允许通过 JS 读写加载的内容

受限:
(1)Cookie、LocalStorage、IndexedDB 等存储性内容
(2)DOM 节点
(3)AJAX异步请求

3. 为什么有跨域限制

我们用银行页面举例

(1)DOM
黑客可以在恶意页面中用 iframe 嵌套一个银行的页面
用户在这个银行页面中输入账号密码,黑客就可以通过DOM节点获取数据

(2)CSRF攻击(跨站请求伪造)
用户的游览器中存有银行的 cookie
当用户访问恶意页面时,黑客通过 AJAX 异步请求,携带用户的银行 cookie 像银行发送请求,造成数据泄露

二、跨域解决方案

1. JSONP (已逐渐淘汰)

JSONP 利用的是游览器允许 < script > 标签跨域加载资源的机制
事先在客户端定义好回调函数
然后通过< script > 标签请求服务器,服务器返回一个执行回调函数的 JS 脚本并携带参数

优点:
使用便捷,跨平台

缺点:
只能支持 get 请求,容易受到 XSS 攻击

2. CORS(跨域资源共享)

CORS(Cross-origin resource sharing,跨域资源共享)是一个 W3C 标准,基本思想就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是否成功。

CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE 浏览器不能低于 IE10。

因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信。

(1) 简单请求 / 非简单请求 及其预检机制

简单请求:
简单请求需同时满足两个条件

条件1:get、head、post 请求

条件2:Content-Type 的值仅限于下列三者之一:

text/plain
multipart/form-data
application/x-www-form-urlencoded

简单请求不会触发预检机制,游览器先执行请求再判断是否跨域

非简单请求:
不满足简单请求条件的均为非简单请求,例如 put、delete 请求

非简单请求在发送前,游览器会先发起一次 “预检请求”,从服务端得知是否允许该跨域,若允许再进行正常通信

(2)springboot 实现跨域

方案1: 使用 @CrossOrigin 注解(需要跨域的类或者方法上)

@CrossOrigin
@RequestMapping("/demo")
@RestController
public class DemoController {
}

方案2: 实现 WebMvcConfigurer 接口

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                .allowCredentials(true)
                .maxAge(1800)
                .allowedHeaders("*");
    }
}

方案3: 使用过滤器在 response 中写入响应头


@WebFilter(filterName = "CorsFilter")
@Configuration
public class CorsFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "1800");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
    }
}

3. WebSocket

Websocket是HTML5的一个持久化的协议,它实现了浏览器与服务器的全双工通信,同时也支持跨域通信。

dog_m
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【技术栈——00047】跨域问题总结-分为多中情况的跨域解决方案
12-14 208
跨域问题总结跨域问题描述跨域问题解决方案解决方案1:解决方案2:解决方案3: 跨域问题描述 跨域问题解决方案 解决方案1: CORS(app, supports_credentials=True) 解决方案2: 这个方法的*号,对前端可能有不 @app.after_request def af_request(resp): """ #请求钩子,在所有的请求发生后执行,加入headers。 :param resp: :return: """
Python项目跨域问题解决方案
12-17
第二个解决方案是安装和配置Django的`django-cors-headers`模块。这个模块允许你轻松地管理Django应用的跨域策略。首先,你需要通过以下命令安装该模块: ```bash pip install django-cors-headers -i ...
web跨域解决方案
dddp75921的博客
09-01 267
阅读目录 什么是跨域 常用的几种跨域处理方法: 跨域的原理解析及实现方法 总结 摘要:跨域问题,无论是面试还是平时的工作中,都会遇到,本文总结处理跨域问题的几种方法以及其原理,也让自己搞懂这方面的知识,走起。 回到顶部 什么是跨域      在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。...
跨域问题解决方案
LengDanRan
10-22 222
跨域问题解决方案 解决跨域问题的方式也有多种。 1、前后端结合(JsonP) 虽然jsonp也可以实现跨域,但是因为jsonp不支持post请求,应用场景受到很大限制,所以这里不对jsonp作介绍。 2、纯后端方式一(CORS方式) @CrossOrigin CORS 是w3c标准的方式,通过在web服务器端设置:响应头Access-Cntrol-Alow-Origin 来指定哪些域可以访问本域的数据,ie8&9(XDomainRequest),10+,chrom4,firefox3.5,safa
总结跨域问题解决方案
weixin_44256283的博客
03-20 142
什么是跨域? 简单的说,协议,域名,端口号有一个不一样就会有跨域。   跨域访问,简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。由于安全原因,跨域访问是被各大浏览器所默认禁止的,XmlHttpRequest也不例外。 Nginx代理 这种方式比较简单,将A应用和B应用都通过一个统一的地址进行转发,这样就可以避免跨域问题出现。 server { ...
跨域的解决方案
lbjbk的博客
09-22 112
跨域的解决方案 跨域的解决方案呢,目前主流的呢,有三种 跨域呢,他是浏览器做出的限制,和后端没有关系 jsonp 是利用script标签,向服务器发送请求,服务器通过接收请求,返回一段js代码,调用客户端写好的方法,把json数据传入该方法,即可拿到想要的数据 vue的代理方式(前端代理和后端代理) 前端代理在vue中主要通过vue脚手架中的config中的index文件来配置,其中有个proxyTable来配置跨域 CORS服务端操作 CORS全程叫跨域资源共享,主要是后台工程师设置后端代码来达到前
Geoserver跨域问题解决方案
12-06
总的来说,解决Geoserver跨域问题需要理解浏览器的同源策略和CORS机制,并正确配置相应的库和过滤器。通过这个过程,我们可以为不同的客户端提供安全、可靠的跨域数据访问,从而实现更灵活的GIS应用。
jQuery跨域问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS跨域访问’)”); ...
Vue项目中跨域问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
SpringBoot 跨域问题解决方案
08-25
SpringBoot 跨域问题解决方案 在本文中,我们将讨论 SpringBoot 跨域问题解决方案,这个问题是指浏览器从一个...通过这个解决方案,我们可以轻松地解决跨域问题,实现跨域资源共享,提高开发效率和项目灵活性。
js前端解决跨域问题的8种方案(最新最全)
10-21
本篇文章主要讲诉了前端跨域问题的几种解决方案,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于ajax跨域问题的几种常见解决方案,附代码。
03-01
什么是跨域,跨域出现的场景,模拟跨域,springmvc下解决跨域,springboot下解决跨域。绝对原创。
跨域的解决方式有哪些?
weixin_44190647的博客
08-26 439
跨域的解决方式有哪些? 答:产生跨域的情况有:不同协议,不同域名,不同端口以及域名和 ip 地址的访问都会产生跨域。跨域的解决方案目前有三种主流解决方案: 是 jsonp jsonp 实现原理:主要是利用动态创建 script 标签请求后端接口地址,然后传递 callback 参数,后端接收 callback,后端经过数据处理,返回 callback 函数调用的形式,callback 中的参数就是 json 优点:浏览器兼容性好, 缺点:只支持 get 请求方式 是代理(前端代理和后端通常通过 nginx
跨域解决方案
extendworld的博客
12-27 152
jsop原理:直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的。有个a.html页面,它里面的代码需要利用ajax获取一个不同域上的json数据,假设这个json数据地址是http://example.com/data.php,那么a.html中的代码 callback参数,按惯例是用这个参数
前端跨域问题解析与解决方案
"这篇文档详细解释了前端跨域问题的原因及解决方案,主要涵盖了浏览器的同源策略、简单请求与非简单请求的区别,以及多种解决跨域问题的方法,如禁用浏览器的安全检查、JSONP和使用服务端filter进行跨域设置。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值