从demo开始理解跨域

最新推荐文章于 2022-07-06 17:40:18 发布
最新推荐文章于 2022-07-06 17:40:18 发布
阅读量531 收藏 1
点赞数
分类专栏: Java基础 文章标签: 同源 跨域 cors Cross-Origin Resource Sharing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo_xl/article/details/88551087
版权

网上很的文章说跨域问题,但都是从理论上来说,我这篇从demo开始

重现跨域Demo步骤

  1. 起2个tomcat
  2. 在第1个tomcat的webapp下建立文件夹app1,在app1里新建立一个index.jsp,内容如下
<script src="https://code.jquery.com/jquery-3.1.0.js"></script>
<script>

 $.get("http://127.0.0.1:8081/app2/index.jsp",function(data){        
		  alert("Data Loaded: " + data);
});
</script>
  1. 在第2个tomcat的webapp下建立文件夹app2,在app2里新建立一个index.jsp,内如如下
<%
response.getWriter().write("hahahaha");
response.getWriter().close();
%>

注意:第2个tomcat端口号改成 8081

  1. 启动2个tomcat,访问http://127.0.0.1:8081/app1/index.jsp,报错如下
    在这里插入图片描述
Failed to load http://127.0.0.1:8081/app2/index.jsp: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://127.0.0.1:8080' is therefore not allowed access.

这就是经典的跨域问题

  1. 如何解决
    在第2个tomcat的index.jsp里改成
<%
response.setHeader("Access-Control-Allow-Origin", "http://127.0.0.1:8080");
response.setHeader("Cache-Control","no-cache"); 
response.getWriter().write("hahahaha");
response.getWriter().close();
%>

加入
response.setHeader("Access-Control-Allow-Origin", "*");
表示告诉浏览器放行。

跨域原因

重要的一点跨域是由浏览器产生的拦截。如果通过 java 去调用是不会产生跨域,换句话tomcat1中的app1去调用 tomcat2中的app2是不会产生问题的。如下,将第1个tomcat的index.jsp里代码改成如下,第2个tomcat 的index.jsp里的没有加response.setHeader("Access-Control-Allow-Origin", "*");


<%@ page import="java.io.*"%>
<%@ page import="java.net.*"%>
<%
URL url = new URL("http://127.0.0.1:8081/app2/index.jsp");
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
PrintWriter printWriter = null;
conn.setRequestMethod("POST");
//设置通用的请求属性
            conn.setRequestProperty("accept", "*/*");
            conn.setRequestProperty("connection", "Keep-Alive");
            conn.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"); 
            conn.setDoOutput(true);
            conn.setDoInput(true);
//获取URLConnection对象对应的输出流
            printWriter = new PrintWriter(conn.getOutputStream());
//发送请求参数即数据
            printWriter.print("");
//缓冲数据
            printWriter.flush();
//获取URLConnection对象对应的输入流
            InputStream is = conn.getInputStream();
//构造一个字符流缓存
            BufferedReader br = new BufferedReader(new InputStreamReader(is));
            String str = "";
			
            while ((str = br.readLine()) != null) {
				//写入到页面
                response.getWriter().write(str);
            }
          
            is.close();
            //断开连接,最好写上,disconnect是在底层tcp socket链接空闲时才切断。如果正在被其他线程使用就不切断。
            //固定多线程的话,如果不disconnect,链接会增多,直到收发不出信息。写上disconnect后正常一些。
            conn.disconnect();  
            response.getWriter().close();			
%>

浏览器拦截的依据

浏览器产生的拦截的依据是同源策略
协议,域名,端口号 三者有任意1个不同就会被认为是不同源。例如上面
http://127.0.0.1:8080/app1/index.jsp
http://127.0.0.1:8081/app1/index.jsp
就是端口不同而产生的。
假如把app1和app2放在一个 tomcat里是不会产生问题的。

再回到上面例子中看http里的request 和response
request
在这里插入图片描述
response
在这里插入图片描述

注意到在ajax请求的request header里有个origin,表示是从什么url发起的请求。

reponse header里有Access-Control-Allow-Origin:*

浏览器拦截的依据应该就在于此。Access-Control-Allow-Origin表示告诉浏览器任何域名都放行,否则就拦截。如果 Access-Control-Allow-Origin: http://127.0.0.1:8080 表示origin是http://127.0.0.1:8080才放行。

还有1点需要注意是只要是src的就不会产生跨域问题。
例如index.jsp里
<iframe src="http://127.0.0.1:8081/app1/index.jsp"/> ,jsonp就是利用了这个src不限制来绕过浏览器的拦截。

springboot 中的解决方案

spring mvc的cors
提供了好几种解决方案。无论如何配置,原理都是上面的原理。

  • 方案1. 通用配置
@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);

        // Add more mappings...
    }
}
  • 方案2. @CrossOrigin
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
...
}
  • 方案3. 加filter
@Bean
public CorsFilter corsFilter(){
	CorsConfiguration config = new CorsConfiguration();
	
	// Possibly...
	// config.applyPermitDefaultValues()
	
	config.setAllowCredentials(true);
	config.addAllowedOrigin("http://domain1.com");
	config.addAllowedHeader("*");
	config.addAllowedMethod("*");
	
	UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
	source.registerCorsConfiguration("/**", config);
	
	CorsFilter filter = new CorsFilter(source);
}
xiao_long_guo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问demo.rar
05-19
我一篇博文关于访问前端的demo,主要就是为了说明,ajax请求,需要加上参数crossDomain: true,   和xhrFields: {withCredentials: true}, 以实现cookie的会话跟踪 https://blog.csdn.net/wangchsh2008/article/details/90324631
后端解决问题
祁东握力的博客
10-23 382
if(req.getRemoteHost().equals("192.168.2.29") ) { response.setHeader("Access-Control-Allow-Origin","http://192.168.2.29:8080"); }else if( req.getRemoteHost().equals("192.1...
response设置响应头,解决请求问题,No 'Access-Control-Allow-Origin' header is present on the requested resource
热门推荐
益添的博客
05-15 24万+
今天被请求的问题困扰了很久,一句话的理解就是:服务端和请求端的地址不一样。的详细介绍可以参考:浏览器和服务器实现(CORS)判定的原理,这里不多赘述。我出现的问题,主要就是客户端向发送了服务端请求,服务器已经能返回数据,但是浏览器不接收。Failed to load http://localhost:8080/XXXX: No 'Access-Control-Allow-Origi...
的9种解决方案
喋喋的前端之路
08-13 858
同源策略 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。–引用自MDN 同源示例 名 端口 协议三者一致才是同源 http://www.example.com:80 === http://www.example.com https://www.example.com:443 === https://www.example.com 这里注意:这里是为了突出端口的区别才写上端口。在默认情况下 htt
demo
angle_hearts的博客
01-05 457
下面文件内容在:www.test1.com名下,请求www.test2.com下的test2.php文件内容 $.ajax({ url:'http://www.wp.com/getData.php' // 到 http://www.wp.com ,另, http://test.com 也 算 type:'GET', //jsonp  类型下只能使用 GET, 不能用 POST
demoajax_DEMO_ajax_
09-30
一个c# ajaxdemo,解决c# ajax 的问题
demo.rar
09-03
用来配合博客练习demo直观的了解到什么是,后端怎么去解决问题,加深学习这对问题的理解
深入理解jquery请求方法
10-22
下面小编就为大家带来一篇深入理解jquery请求方法。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
WebApiCors Demo
09-30
WebApiCors Demo http://blog.csdn.net/u012324101/article/details/52712558
json demo
12-24
从一个项目通过ajax请求到另一个项目的数据 $.post("../../XX.action",{},function(data){ }); *ajax问题的解决方案 *调用本系统的action类,通过WebService调用方式实现 *$.getJSON(url?callback=?,...
完全单点登录DEMO
03-05
详情见http://blog.csdn.net/ghsau/article/details/20545513
访问数据-DEMO
08-26
访问数据,获取JSON数据,XML数据
ajax请求demo.zip
02-20
一个ajax请求的demo实例,前端采用jquery的ajax,后端采用tomcat集成的HttpServlet的方法接受前端的数据和返回数据
访问---------
05-02
现在的web工程越来也大,传统的开发模式已经显得捉襟见肘了,不仅开发人员在开发过程中很痛苦,后期维护的人员也更痛苦。怎么解决呢?前后端分离。在前后端开发过程中一直会伴随我们的问题就是问题,因为这时候前端和后端的代码是在不同机器上运行的,两个地址不在一个名下,这个时候前端脚本在进行ajax访问的时候浏览器就会报相关的错误。这个时候怎样解决呢? 最简单的做法是通过设置浏览器允许浏览器请求。但是今天我们这里不讲这种方式,有兴趣的可以在度娘上搜“chrome浏览器设置”教程非常详细。这个方式是有局限性的,因为不同浏览器的设置不相同,甚至相同浏览器不同版本的设置都可能不同,我自己现在都只知道chrome的设置,IE和firefox的看过,但是记不住了,总之,设置浏览器,只适合临时用一下。 下面我们介绍一种测地解决前端访问的方式,本地服务器请求转发的方式。
问题解决方案
YXXXYX的博客
07-06 2248
问题一般会在前后端分离的项目中遇到,的产生是因为浏览器为了安全设置的同源策略,只有协议(http/https)、名(www.test.com)、端口(8080/8081…)三者都相同时才不会产生问题;这也解释了为什么前后端分离的项目会有问题,就比如我们在同一台服务器上开发,前端的url为:http://127.0.0.1:3000,而后端的url为:http://127.0.0.1:8080,两者端口都不同如果相互访问定然会产生问题;如图:前端http://localhost:3000
前端如何解决问题?
weixin_44829437的博客
06-06 401
“前端如何解决问题?” 这个是前段在知乎看到的一个提问,这几乎是做前端都会遇到的一个问题,产生的情况可能会很多,解决一个问题还是要先了解下为什么会产生这样问题,学习最好的方法就是结合一...
js访问自我demo
记录技术点点之路
11-11 130
1.webA和webB两个项目 2.配置C:\WINDOWS\system32\drivers\etc\hosts文件,不然测试不了访问的效果,添加一下代码到hosts文件中     #localhost 127.0.0.1 localhost 127.0.0.1 www.xxx.com 127.0.0.1 www.yyy.com     3.配置tomcat/ser...
Jsonp实现AjaxDemo
BUG若只如初见
09-21 3158
关于JSONP1、一个众所周知的问题,Ajax直接请求普通文件存在无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是请求,一律不准;   2、不过我们又发现,Web页面上调用js文件时则不受是否的影响(不仅如此,我们还发现凡是拥有”src”这个属性的标签都拥有的能力,比如 <script type="text/javascript"> //客户端实现
单html文件demo获取网络图片
最新发布
06-02
以下是一个获取网络图片的单 HTML 文件 demo: ```html <!DOCTYPE html> 获取网络图片 , initial-scale=1"> var url = 'https://example.com/image.png'; // 图片 URL var xhr = new ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值