http跨域

最新推荐文章于 2023-12-19 10:57:38 发布
最新推荐文章于 2023-12-19 10:57:38 发布
阅读量899 收藏 2
点赞数
分类专栏: javaweb 文章标签: 跨域 http跨域 nginx跨域 Apache跨域 spring跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzzlov/article/details/101781879
版权

请求跨域

一、为什么会发生跨域:
  1. 浏览器限制
  2. 跨域(协议,服务器ip,端口不一样)
  3. XHR(XMLHTTPRequest)请求
    1. 像图片<img src=“url”/> 发送的请求type为json,就不是xhr请求,所以不会发生跨域问题
    2. 一般type为xhr会发生跨域请求问题
二、解决思路:
  1. 浏览器限制:
    1. chrome.exe启动是加入参数:–disable-web-security
  2. JSONP解决(动态创建一个 script 实现发送请求):
    <script>
	$.ajax({
        url: "/url",
        dataType: "jsonp",
        // url后面拼接的参数名称
        jsonp: "callback",
        // url后面有个参数名为  _  ,为了防止浏览器缓存,将cache设置为true表示允许浏览器缓存该请求
        cache: true,
        success: function (res) {
            console.log(res)
        }
    });
</script>

    1. jsonp是什么:

      JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。由于同源策略,一般来说位于 server1.example.com 的网页无法与不是 server1.example.com 的服务器沟通,而 HTML 的<script> 元素是一个例外。利用<script> 元素的这个开放策略,网页可以得到从其他来源动态产生的 JSON 资料,而这种使用模式就是所谓的 JSONP。用 JSONP 抓到的资料并不是 JSON,而是任意的 JavaScript,用 JavaScript 直译器执行而不是用 JSON 解析器解析。

    2. 使用jsonp后台代码需要改动嘛?

      需要,jsonp把返回来的对象当成js代码来解析,肯定有问题!

      SpringBoot老版本处理方式

      @ControllerAdvice
public class JsonoAdvice implements  AbstractJsonpResponseBodyAdvice {
    public JsonpAdvice() {
        super("callback");
    }
}

      目前该方法以被废弃;不管用什么方法,jsonp请求返回结果是一个js方法(格式如下)

      // 方法名为url的callback参数
callback({
    "message":"成功",
    ……
})

      可以自由发挥,例如利用拦截器Filter,controller方法中通过PrintWriter写到页面

      @RequestMapping(value = "/url")
public void getGroupById(@RequestParam("callback") Long callback,
HttpServletRequest request, HttpServletResponse response)
throws IOException {
	response.setContentType("text/html");
	response.setCharacterEncoding("utf-8");
	PrintWriter out = response.getWriter();
	out.print(callback + "({\"message\":\"成功\"})");
}

    3. JSONP实现原理:

      1. 发送的请求type是script
      2. 返回类型是 js 脚本
      3. 请求路径加了:callback参数,后台接受到参数,将返回结果设置成js脚本。返回js脚本是以callback参数为方法名的js方法。

    4. JSONP弊端:

      1. 服务端需要修改代码
      2. 只支持get请求
      3. 发送的不是XHR请求(XHR支持异步,各种事件,而JSONP不行)
  3. 解决请求跨域:

    1. 被调用方解决:

      ​ 浏览器实现执行还是先判断?

      ​ 先执行

      ​ 如何判断?

      ​ 跨域请求,请求头多一个Origin字段,存放跨域请求地址;在返回值中检查有没有该字段,没有就 会报错

      ​ 预检命令:

      ​ 复杂的请求(POST……),需要先通过预检命令 OPTIONS ;第二次发送真正的请求。通过在响 应头设置Access-Control-Max-Age属性,设置预检命令缓存

      1. 服务器端实现

        1. Filter方法实现

          public class TestCorsFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse resp = (HttpServletResponse) response;
        HttpServletRequest req = (HttpServletRequest) request;
        
        String origin = req.getHeader("Origin");
        if (!StringUtils.isEmpty(origin.trim())){
            //这样写满足所有域跨域问题
            resp.setHeader("Access-Control-Allow-Origin",origin);
        }
        //设置跨域请求地址(设置为 * 时,不能发送带cookie跨域请求,必须全匹配)
        //resp.setHeader("Access-Control-Allow-Origin","*");
        
        String headers = req.getHeader("Access-Control-Allow-Headers");
        if (!StringUtils.isEmpty(origin.trim())){
            //这样写满足所有请求头跨域问题
            resp.setHeader("Access-Control-Allow-Headers",headers);
        }
        
        //处理非简单请求(类似于Post)
        //resp.setHeader("Access-Control-Allow-Headers","Content-Type");

        //设置可以跨域请求方法
        resp.setHeader("Access-Control-Allow-Methods","*");
        
        //设置浏览器缓存非简单请求预检命令(类似于Post)3600 单位 S
        resp.setHeader("Access-Control-Max-Age","3600");
        
        //设置发送带cookie请求(cookie放在被调用方)
        resp.setHeader("Access-Control-Allow-Credentials","true");

        chain.doFilter(request,resp);
    }
    @Override
    public void destroy() {

    }
}

@Bean
public FilterRegistrationBean registrationBean(){
    FilterRegistrationBean bean = new FilterRegistrationBean();
    bean.addUrlPatterns("/*");
    bean.setFilter(new TestCorsFilter());
    return bean;
}

          设置Cookie小技巧:

          //服务端
@GetMapping("/getCookie")
public String getCookie(@CookieValue(value="cookie")String cookie){
    return cookie;
}
//浏览器设置cookie
docment.cookie = "cookie=fzz"
//ajax请求 增加该字段,设置跨域请求带cookie
xhrFields:{
    withCredentials:true
}

        2. @CrossOrigin实现

          @RestController
@RequestMapping("/corsTest")
public class TestCorsController {
    @RequestMapping(value = "/test")
    //	使用该注解,可以设置整个类,或方法,可以设置跨域相关属性,例如:能跨域的域名地址
    @CrossOrigin
    public String test(){
        return "hello world!";
    }
}

        3. MVC拦截器

          @Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/**")
                //设置允许跨域请求的域名
                .allowedOrigins("*")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(1000);
    }
}

      2. nginx配置

        增加域名映射nginx配置文件,放在vhost目录下,以 .conf 结尾:

        server{
	#监听的端口
	listen 80;
	#监听的域名
	server_name fzz.com;
	
	#映射的地址
	location /{
		proxy_pass http://localhost:8080;
		
		#增加请求头
		add_header Access-Control-Allow-Methods *;
		add_header Access-Control-Max-Age 3600;
		add_header Access-Control-Allow-Credentials true;
		
		#从request中获取数据添加到请求头
		add_header Access-Control-Allow-Origin $http_origin;
		add_header Access-Control-Allow-Headers $http_access_control_request_headers;
		
		#若是做预检,直接返回200
		if ($request_method = OPTIONS){
			return 200;
		}
	}
}

        需要在nginx.conf中添加 include vhost/*.conf;

        测试配置文件是否正确:nginx.exe -t

        启动nginx:start nginx.exe

        重启nginx:nginx.exe -s reload

        停止nginx:nginx.exe -s stop

      3. Apache配置

        在Apache conf/httpd.conf配置文件中打开如下模块:

        1. 打开Apache虚拟主机打开:LoadModule vhost_alias_module modules/mod_vhost_alias.so
        2. 打开配置文件:Include conf/extra/httpd-vhosts.conf
        3. 打开proxy模块打开:LoadModule proxy_module modules/mod_proxy.so
        4. 打开proxy_http模块:LoadModule proxy_http_module modules/mod_proxy_http.so
        5. 打开mod_headers模块:LoadModule headers_module modules/mod_headers.so
        6. 打开mod_rewrite模块:LoadModule rewrite_module modules/mod_rewrite.so

        在conf/extra/httpd-vhosts.conf 文件中添加如下配置:

        <VirtualHost *:80>
    ServerName fzz.com
    ErrorLog "logs/fzz.com-error.log"
    CustomLog "logs/fzz.com-access.log" common
	ProxyPass / http://localhost:8080/
	
	#把请求头的origin值返回到Access-Control-Allow-Origin字段
	Header always set Access-Control-Allow-Origin "expr=%{req:origin}"
	
	#把请求头的Access-Control-Request-Headers值返回到Access-Control-Allow-Headers字段
	Header always set Access-Control-Allow-Headers "expr=%{req:Access-Control-Request-Headers}"
	
	Header always set Access-Control-Allow-Methods "*"
	Header always set Access-Control-Allow-Credentials "true"
	Header always set Access-Control-Max-Age "3600"

	#处理预检命令OPTIONS,直接返回204
	RewriteEngine On
	RewriteCond %{REQUEST_METHOD} OPTIONS
	RewriteRule ^(.*)$ "/" [R=204,L]

</VirtualHost>

        利用:httpd.exe -t检测文件是否配置错误

  4. 调用方隐藏跨域

    浏览器发送服务直接到nginx服务器上 例如:/ajaxserver

    nginx配置:

    location /ajaxserver{
	proxy_pass http://localhost:8080/test/;
}

    浏览器并没有发现域名变化,不会形成跨域问题。

    Apache配置:

    <VirtualHost *:80>
    ServerName fzz.com
    ErrorLog "logs/fzz.com-error.log"
    CustomLog "logs/fzz.com-access.log" common
    ProxyPass /ajaxserver http://localhost:8080/test
	ProxyPass / http://localhost:8080/
</VirtualHost>
  5. gateway跨域配置
gateway:
      globalcors:
        corsConfigurations:
          '[/**]':
            allowedOrigins: "*"
            allowedMethods: "*"
            allowedHeaders: "*"
            maxAge: 3600
fzzlov
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP跨域
low666的博客
03-16 575
HTTP跨域 1.跨域请求 浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域) 2.同源策略 同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同 3.跨域问题的产生 域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产...
深入HTTP-跨域请求
追梦的小狼狗
03-11 153
什么是CORS CORS即Cross-Origin Resource Sharing–跨资源共享,当一个请求url的协议,域名,端口三者之间与当前页面地址不同即为跨域。 CORS需要浏览器和服务器同时支持,目前所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程都是浏览器自动完成,不需要用户参与。实现CORS通信的关键是服务器,只要服务器实现了CORS接口,就可以跨域通信。 ...
http -- 跨域问题详解(浏览器)
qq_37233070的博客
12-19 1680
域域既是 Windows 网络操作系统的逻辑组织单元,也是Internet 的逻辑组织单元,它是安全边界。只有域的所有者才能访问管理域内部的资源,若其他的域要访问或者管理,则需要该域赋予其他域相关权限。从小角度来讲,在php中的变量作用域,就可以体现出安全边界的概念。在以下例子中,调用test函数并不会输出任何内容。echo $a;test();因为函数内调用的是局部作用域的变量,而在局部作用域内并没有声明 $a 变量。除非我们使用global $a;从全局作用域引用该变量。
解决跨域请求之CORS
致终将逝去的编程青春
08-06 2124
当发出去的请求是XHRHttpRequest请求时(type:xhr)则是跨域请求,浏览器会出于安全考虑。会对该类请求进行限制。 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)符合该标准,允许浏览器向跨源服务器,发出XHRHttpRequest请求。 简介: CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE...
TypeScript 写一个轻量级的 UI 框架之五:xhr 模块
zhangxin09的专栏
01-18 555
关于 XHR(XMLHttpRequest),就是 AJAX程序。既然为 AJAXS程序,自然少不了 XHR 的调用。在我之前的累积基础上,升级代码到 ts。 《用 XHR + curl.exe 制作 ddns 客户端札记》(https://blog.csdn.net/zhangxin09/article/details/6740558) 《简易封装 XHR:支持 GET/POST/PUT/DELETE/JSONP/FormData》(https://blog.csdn.net/zhangxin09/ar
CORS跨域问题解决
u011925641的博客
09-13 642
CORS跨域问题解决 简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
什么是xhr?XMLHttpRequest的基本使用及xhr Level2的新特性详解及案例
热门推荐
背心的博客
10-19 1万+
什么是xhr?XMLHttpRequest的基本使用及xhr Level2的新特性详解及案例
Http跨域
04-23
Http跨域详解】 在Web开发中,"跨域"是一个常见的术语,它涉及到浏览器的安全策略,即同源策略(Same-Origin Policy)。同源策略限制了来自不同源(协议+域名+端口)的Web页面之间的交互,比如JavaScript无法直接...
http 跨域请求 CORS.pdf
最新发布
08-05
http 跨域请求 CORS.pdf
HTTP跨域和调试技巧
前端博客典中典
12-08 620
HTTP基础 前端需要关心URL、headers和data,接下来围绕它们展开。 1.了解URL URL比较简单,就简单介绍一下,将URL分为主要的3部分: router,路由。路由地址可不能错,这就跟收件地址一样,填错收货的就不是既定的那个人了。 search,查询字符串,就是?后面的字符串,以键值对的形式通过“&”连接,例如:“?key1=value1&key2=value2”。查询字符串就是发送到后台的数据,跟普通的post请求相比,get请求以明文的形式存储在访问历...
xhr:一个小的xhr包装器
02-03
xhr 一个小的XMLHttpRequest包装器。 设计用于使用 ,等。 API的一个子集这样你就可以在两个node.js中,通过使用浏览器的作品写的代码require('request')在你的代码,并告诉您的浏览器捆绑到加载xhr而不是request 。 对于browserify,将一个字段添加到package.json : "browser": { "request": "xhr" } 对于的WebPack,一个加场到您的配置: "resolve": { "alias": { "request$": "xhr" } } 浏览器支持:IE8 +和其他所有功能。 安装 npm install xhr 例 var xhr = require ( "xhr" ) xhr ( { method : "post" , body : someJSONString , uri : "/foo" , headers : { "Content-Type" : "application/json" } } , fu
HTTP跨域问题的解决方案
Star_CSU的博客
05-30 6504
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
前端给后台发请求的方式
Sibyl_zxl的博客
01-18 2118
1、fetch 2、xmlHttpRequest 3、html默认的form表单提交 三种方法发送的请求在调试network里面显示的type分别是fetch/xhr/document,证明方式不一样 据说type是指MIME类型,但是类型里并没有找到document,只有doc。存疑? 111111 val requestInit = RequestInit( method...
Jsonp解决跨域2
泷泷养的乔小胖
12-04 140
Jsonp解决跨域2 1、Request Type类型不同 两种请求类型:xhr、script 2、Response Headers类型不同 Response Headers不同(返回对象不一样) 一个是返回json对象,一个返回js脚本 (1)普通get1请求 普通get1请求 (2)jsonp类型get1请求 jsonp类型get1请求 3、开发者工具使...
手拉手带你读懂XHR、Ajax,Fetch到底是个啥以及用他们进行网络请求的过程解析
weixin_44995391的博客
06-29 6313
手拉手带你读懂XHR、Ajax,Fetch到底是个啥以及用他们进行网络请求的过程解析
xhr中的content-type
weixin_30699955的博客
03-16 947
为了方便理解,首先创建一个xhr对象 let xhr = new XMLHttpRequest(); xhr.open('get', '/requestUrl?username=xxx&pass=xxx'); xhr.send(); 复制代码xhr在get请求方式下,content-type一般是不用设置的;因为get请求方式,只有一种传参方式:?username=xxx&pass...
截取xhr请求获取网络信息
m0_37820751的博客
01-12 1308
(function captureXMLHttpRequest(recorder) { let XHR = XMLHttpRequest.prototype; let open = XHR.open; let send = XHR.send; let setRequestHeader = XHR.setRequestHeader; XHR.open = function (method, url) { this._method = method;.
异步请求xhr、ajax、axios与fetch的区别比较
yiyueqinghui的博客
09-27 1518
1. XMLHttpRequest对象 现代浏览器,最开始与服务器交换数据,都是通过XMLHttpRequest对象。它可以使用JSON、XML、HTML和text文本等格式发送和接收数据。 优点: 不重新加载页面的情况下更新网页 缺点: 使用起来也比较繁琐,需要设置很多值 对于早期的IE浏览器,还需要写兼容代码 if (window.XMLHttpRequest) { // model browser xhr = new XMLHttpRequest() } else if (window.A
前端面试准备---浏览器和网络篇(一)
weixin_33762321的博客
06-05 256
本文主要内容:AJAXGET和POST请求的区别同源策略、JSONP、跨域方式浏览器架构输入一个Url到加载网页的全过程,发生了什么?浏览器渲染的步骤重绘和回流页面渲染优化AJAX什么是AJAX?AJAX即一种异步请求,可以实现页面局部刷新;AJAX实现的步骤:创建请求对象与服务端创建连接,执行open方法;发送请求,执行send方法;为请求对象绑定onreadystate事件,当readySta...
webservice和http跨域区别
04-26
HTTP跨域是指协议层面上的跨域请求,在浏览器端的实现通常是使用XMLHttpRequest对象来发送AJAX请求。而WebService的跨域请求是通过SOAP协议的HTTP POST方式来实现的,需要在服务器端进行跨域访问规划。 总的来说,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值