浏览器的跨域问题的出现以及几种常见的解决跨域问题方案

最新推荐文章于 2023-11-25 18:40:39 发布
最新推荐文章于 2023-11-25 18:40:39 发布
阅读量1.6k 收藏 2
点赞数 1
文章标签: java ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoxing412836542/article/details/106313686
版权

 

1.    跨域访问问题的引出和分析

1.1.    什么是跨域访问

什么是跨域请求?
Javascript的Ajax异步请求,如果请求的url不是和发出请求的同一个域的话,就是跨域请求。
即在一个域下的项目通过ajax去访问另外一个域下的数据。

什么算一个域?
ip或域名、端口:必须一样的url,算一个域,只要有一个不一样,则不是一个域。

结合上面来说,
如果请求源地址:127.0.0.1:9001,目标地址127.0.0.1:9002或者127.0.0.2:9001,则都是跨域请求。

那么跨域访问问题就是:
Ajax编程中,浏览器对跨域数据是屏蔽的,即无法获取另外一个域名下的数据。


1.2.    跨域问题的演示

建立两个不同源的项目,分别作为服务端和客户端。

服务端代码参考:

首先创建一个maven的服务端工程,pom如下

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>cn.gyd.ajaxkuayu</groupId>
  <artifactId>serverproject</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <packaging>war</packaging>
  <name>serverproject</name>
  <description>服务端web项目</description>
  <dependencies>
  	<dependency>
  		<groupId>javax.servlet</groupId>
  		<artifactId>servlet-api</artifactId>
  		<version>2.5</version>
  		<scope>provided</scope>
  	</dependency>
  </dependencies>
  <build>
  	<plugins>
  		<!-- tomcat插件 -->
  		<plugin>
  			<groupId>org.codehaus.mojo</groupId>
  			<artifactId>tomcat-maven-plugin</artifactId>
  			<version>1.1</version>
  			<configuration>
  				<!-- 端口号 -->
  				<port>8001</port>
  			</configuration>
  		</plugin>
  	</plugins>
  </build>

新建一个servlet

public class ServerDataServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("application/json;charset=utf-8");
		response.getWriter().print("{\"username\":\"小红\"}");
		
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}

启动服务:

服务端测试:通过浏览器来访问servlet,响应页面可以获取到数据:

说明服务端没问题。

在服务端添加异步代码:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<!-- 引入jquery -->
<script type="text/javascript" src="./js/jquery.min.js"></script>
<script type="text/javascript">
	//在一个域下面的异步请求
	$.get("http://localhost:8001/serverproject/serverdataservlet",function(data){
		alert(data);
		console.log(data);
	});

</script>
</head>
<body>

</body>
</html>

测试,没问题:

现在是没有问题的,都是在一个域下。

新建一个maven的客户端程序,pom文件如下

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>cn.gyd.ajaxkuayu</groupId>
  <artifactId>clientproject</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>clientproject</name>
  <description>跨域演示客户端</description>
   <build>
  	<plugins>
  		<!-- tomcat插件 -->
  		<plugin>
  			<groupId>org.codehaus.mojo</groupId>
  			<artifactId>tomcat-maven-plugin</artifactId>
  			<version>1.1</version>
  			<configuration>
  				<!-- 端口号 -->
  				<port>8002</port>
  			</configuration>
  		</plugin>
  	</plugins>
  </build>
</project>

在客户端添加异步代码,向服务端发起请求:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<!-- 引入jquery -->
<script type="text/javascript" src="./js/jquery.min.js"></script>
<script type="text/javascript">
	//跨域的异步请求
	$.get("http://localhost:8001/serverproject/serverdataservlet",function(data){
		alert(data);
		console.log(data);
	});

</script>
</head>
<body>

</body>
</html>

启动客户端程序:

客户端测试:浏览器访问客户端的client.html时,

浏览器的控制台中出现错误警告信息:

火狐:

谷歌:

错误的意思是说异步请求时,不允许进行跨域的访问。

说明客户端无法获取数据。

1.3跨域问题出现的原因

1.为什么会有跨域问题的存在?

JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象,即同源政策。

 2.同源策略是什么?

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。

  (1)协议相同

  (2)域名相同

  (3)端口相同

具体实例  比如:http://www.example.com/zb/index.html这个网站,它的协议是http://,域名是www.example.com,端口号是80(默认端口可以省略),它的同源情况如下:

  • http://www.baidu.com/zhangbo/manager.html    同源
  • https://www.baidu.com/zb/index.html   不同源(协议不同)
  • http://baidu.com/zb/index.html  不同源(域名不同)
  • http://www.baidu.com:81/zb/index.html   不同源(端口号不同)

3.同源政策的目的:

同源策略的目的是为了保证用户信息的安全。防止恶意的网站盗取数据。

设想这样一个情景:A网站是一家银行,用户登录以后,又去浏览其他的网站B,如果网站B可以读取A网站的Cookie,会发生什么问题?

显然,如果Cookie包含隐私(比如存款总额),这些信息就会泄露,更可怕的是,Cookie往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒用户,为所欲为。因为浏览器同时还规定,提交表单不受同源策略的限制。

由此可见,“同源政策”的必要性,否则Cookie可以共享,互联网就毫无安全可言了。

4.非同源限制范围

     随着互联网的发展,“同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制。

  (1)Cookie、LocalStorage和IndexDB无法获取。

  (2)DOM无法获得。

  (3)AJAX请求不能发送。

虽然这些限制是必要的,但是有时很不方便,合理的用途也受到影响。下面将介绍如何规避上面三种限制。

2.跨域问题的解决方案

通过CORS解决AJAX跨域

  1. 概述

CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是W3C标准,是跨源AJAX请求的根本解决方法。CORS允许任何类型的请求。

维基百科上的定义是:跨域资源共享(CORS)是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。而W3C的官方文档目前还是工作草案,但是正在朝着W3C推荐的方向前进。

简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。

CORS与JSONP相比,有优点和缺点:

优点:

  1. JSONP只能实现GET请求,而CORS支持所有类型的HTTP请求。
  2. 使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理。

缺点:

老的浏览器往往不支持CORS,而绝大多数现代浏览器都已经支持了CORS,对于考虑老的兼容性问题,JSONP有一些优势。

因此,要想实现CORS,客户端浏览器必须支持CORS,而服务器端也需要设置响应的头信息,即设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。

2.CORS实现代码参考

public class ServerDataServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		//--------解决方案1:CORS--设置服务器响应的头信息
		//1)配置单个允许的请求地址
//		response.setHeader("Access-Control-Allow-Origin", "http://localhost:9003");
		//2)配置多个允许的请求地址
//		String []  allowDomain= {"http://localhost:9003","http://www.abc.com","http://132.12.11.11:8888"};  
//		Set allowedOrigins= new HashSet(Arrays.asList(allowDomain));  
//		String originHeader= request.getHeader("Origin");  
//		if (allowedOrigins.contains(originHeader)){
//			response.setHeader("Access-Control-Allow-Origin", originHeader);
//		}
		//3)配置允许所有的请求地址
		response.setHeader("Access-Control-Allow-Origin", "*");
		
		//设置允许的请求方式(可以省略)
		response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
		response.setContentType("application/json;charset=utf-8");
		response.getWriter().print("{\"username\":\"小红\"}");
		
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}

 

通过JSONP解决AJAX跨域

  1. 概述

JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老式浏览器全部支持,服务器改造非常小。

它的基本思想是,网页通过添加一个<script>元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

    2.实现代码参考

客户端代码:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<script src="../js/jquery.min.js" type="text/javascript"></script>
<script type="text/javascript">
	//异步请求
	/* $.get("http://localhost:9080/bos_management/servletdataservlet",function(data){
		alert(data);
		console.log(data);
	}); */
	//跨域请求jsonp
	$.getJSON("http://localhost:9080/bos_management/servletdataservlet?callback=?",function(data){
		alert(data);
		console.log(data);
	});
</script>
</head>
<body>

</body>
</html>

服务端参考代码:  

public class ServerDataServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		
		//----------解决方案2:JSONP
		String callback = request.getParameter("callback");
		response.setContentType("application/json;charset=utf-8");
		response.getWriter().print(callback+"({\"username\":\"小红\"})");
		
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}

    3. $.getJSON的原理

 

 

客户端使用jQuery的$.getJSON方法后发生了什么?

客户端请求的URL会自动在callback的值中添加一个随机生成的js函数:

http://localhost:9080/bos_management/servletdataservlet?callback=jQuery2240793577231178939_1512798393631&_=1512798393632

服务端获取客户端请求URL的参数callback的值,即函数的名字:

将其拼接到响应的结果中:

服务端响应的内容其实是一个js调用的函数:

 

 

gaoxing412836542
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
完美解决浏览器跨域的几种方法(汇总)
08-30
下面小编就为大家带来一篇完美解决浏览器跨域的几种方法(汇总)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Eclipse关于我的第一个网页
weixin_53954158的博客
03-05 1037
1.File-->new-->other 之后点击next继续 此处的项目名称是JinRong,看红线圈起来的部分是否有自己的tomcat,有直接finish,没有通过后边添加上自己的tomcat。 2.在新建的项目的WebContent中新建一个index.html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Insert title h..
HTML学习
qq_45879460的博客
06-20 691
HTML 什么是HTML HTML Hyper Text Markup Language(超文本标记语言) W3Cb标准 World Wide Web Consortium(万维网联盟) web技术领域最权威和最具有影响力的国际中立性技术标准机构 W3C标准包括 结构化标准语言(HTML,XML) 表现标准语言(CSS) 行为标准(DOM,ECMAScript) HTML基本结构 网页基本信息 < body>,等成对标签,分别叫开放标签和闭合标签 单独呈现的标签(空元素),如;意为用 /
springboot配置跨域问题
dhklsl的专栏
04-10 2355
springboot跨域问题
tomcat对于context.xml的配置报错问题
绿茵场的激情
12-02 6355
警告: [SetPropertiesRule] Setting property 'source' to 在eclipse GANYMEDE中apache-tomcat-6.0.16加载工程后,启动服务器就会出现如下的红色警告信息,真是让人不爽: 2008-10-11 21:33:55 org.apache.tomcat.util.digester.SetPropertiesRu
跨域问题解决方案
最新发布
Alaskan_Husky的博客
11-25 1124
它的原理是通过动态创建script标签,将请求放在script的src属性中,并在服务端返回的数据上进行回调。使用 iframe 是一种绕过同源策略解决跨域问题的方法,特别是在需要在同一页面中展示来自不同域的内容时。使用服务端中转是一种通过在服务器端进行跨域请求,将结果返回给前端,从而绕过浏览器的同源策略的方法。是一种在特定条件下解决跨域问题的方法,通常适用于相同的顶级域名但不同的子域名之间的通信。此时,前端应用通过与本地的代理服务器通信,而代理服务器负责将请求转发到目标服务器,并将响应返回给前端。
手机浏览器访问本地html,如何经过Html网页调用本地安卓app?
weixin_30140707的博客
07-02 1985
如何使用html网页和本地app进行传递数据呢?通过研究,发现仍是有方法的,总结了一下,大体有一下几种方式html更新一下吧,这篇日志写于2013年11月,离如今已经好久了,依然不少朋友在查阅。目前应该有更新的技术。你们也去补充一下。另外评论里面有朋友说只有webkit内核的浏览器能够使用,这个我没有去作过验证,你们使用的时候,能够参考一下。android---updatein 2015.11....
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Ajax跨域的完美解决方案
01-19
这里对跨域做个简单介绍以及提供几种解决办法。  由于浏览器实现的同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源,所以AJAX是不允许跨域的。这里提供自己常用的三种方法: 1、jsonp...
主流跨域方式解析!
weixin_43330752的博客
09-01 750
实现原理和nginx差不多,只不过这个代理服务器是我们自己编写实现自定义端口为8082的代理服务器,设置跨域cors响应头,请求转发给端口为80的无跨域处理服务器 ↓。
部分浏览器cookies无法跨域操作的解决方法
YQ的博客
09-26 2217
如果你的网站遇到cookies跨域设置失效,不管通过iframe还是jsonp等,原本正常的流程突然走不通了。 首先确认是跨域失败,谷歌浏览器或其他封装chrome内核版本足够新,因为新版增加了SameSite 策略,默认禁止了跨域访问的资源发送 cookie。 解决方法:设置cookies时,加上SameSite=none,并且确保SSL(即https://访问)。 首先,了解SameSite ,它有3个可选值 : Strict 禁止第三方 cookie Lax 仅影响到POST / ifr..
跨域时怎么处理 cookie?
hyqhyqhyqq的博客
05-11 1342
结果很意外,请求的响应被浏览器拦截了,浏览器还贴心的在console上抛出了一个错误。这里要注意,浏览器不是在请求阶段就对请求进行拦截,而是正常发出请求,拿到服务端的响应之后,开始查看响应header里面有没有Access-Control-Allow-Origin这个header,如果没有,响应的结果就不会到js那里去。登录是基于session的,也就是说,登录成功后,server会通过set-cookie,将cookie设置到浏览器中,这样,下次访问同源下的api时,cookie就会被带上。
跨域问题 什么时候出现跨域问题 如何解决跨域问题
LionHearthz的博客
08-06 483
跨域问题? 什么出现跨域问题? 什么时候出现跨域问题? 如何解决跨域?
跨域与常用解决方法
weixin_30257433的博客
06-15 111
接触前端有几个月了,今天说一说我对前端跨域的认识和解决方案,其实在之前我对跨域并没有什么概念 只是听闻过这个恶名远扬的单词,直到有一天我遇到了他 什么是跨域 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple...
为什么会产生跨域问题
热门推荐
u014752073的博客
02-27 2万+
1、浏览器限制2、跨域(域名,端口不一样都是跨域)3、XHR(XMLHttpRequest请求)同时满足三个条件才有可能产生跨域问题解决跨域问题方案。1,从浏览器出发,允许浏览器跨域。2,从XHR(XMLHttpRequest)出发    (1)避免发生跨域。使用jsonp,由于jsonp请求是通过script的方式发送的(只有xhr的请求方式才有可能产生跨域问题),所以不会产生跨域问题。Spr...
浏览器:跨域及解决方法
snowball的博客
05-03 1万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同源网页的 DOM。
浏览器拦截跨域请求处理方法
08-11 415
浏览器拦截跨域请求处理方法(已阻止跨源请求:同源策略禁止读取远程资源) 原文地址:http://my.oschina.net/lichaoqiang/blog/317823 在浏览器请求中,出现跨域访问资源的问题,我们肯定会遇到。如果跨域请求被阻止,有可能导致css、js 、ajax请求、font字体等资源出现无法正常访问的问题。接下来,就介绍下解决同源策略不允许读取远程资源...
解决跨域请求带cookie的问题
weixin_42886184的博客
08-01 590
记录一次解决Spring boot加vue的跨域问题 大家都知道vue跨域请求Spring boot的时候,后端服务需要设置 registry.addMapping("/**") .allowCredentials(false) .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") .allowedOrigins("*"); 前端 前端跨域带cookie设置:axios.defaults.wit
解决IE拒绝第三方cookie的问题
spt_dream的博客
01-08 1775
前两天处理一个 js 跨域问题,使用 jsonp 跨域提交用户名密码请求,实现自动登录第三方网站,即SSO(single-sign-on) 单点登录,一处登录处处登录。在 Chrome 下没问题,IE 却不行。查看 HTTP 的几个来回,发现登录请求是成功的,问题出在第三方网站返回的 cookie (session id) IE 并没有接受,下一次发送请求时根本没有带上 cookie,说明之前的
如何解决浏览器跨域问题
02-26
解决浏览器跨域问题通常有以下几种方法: 1. 使用JSONP: JSONP是利用script标签的src属性不受同源策略限制的特性,将数据作为回调函数的参数传递给前端页面,从而实现跨域请求数据的目的。 2. 使用CORS:CORS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值