前后端分离跨域问题

最新推荐文章于 2023-12-14 17:34:44 发布
最新推荐文章于 2023-12-14 17:34:44 发布
阅读量668 收藏
点赞数
分类专栏: 面试题积累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heting717/article/details/103368848
版权

这个文档更详细:https://blog.csdn.net/cuixiaogang110/article/details/81948173

 

当一个请求url的协议、域名、端口三者之间任意一个与当前页面不同即为跨域

跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。

  • 协议:https//;
  • 域名:yuanting.com;
  • 端口:8080;

解决跨域访问--修改响应头。

跨域的允许主要由服务器端控制。服务器端通过在响应的 header 中设置 Access-Control-Allow-Origin 及相关一系列参数,提供跨域访问的允许策略。

  • 通过在响应 header 中设置 ‘*’ 来允许来自所有域的跨域请求访问。
response.setHeader("Access-Control-Allow-Origin", "*");

 

response.setHeader("Access-Control-Allow-Origin", "http://my.yuanting.cn:8080");

 

  • 较灵活的设置方式,允许所有包含 mydomain.com 的域名访问.

if(request.getHeader("Origin").contains("mydomain.com")) {
    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
}

在拦截器 或者每个方法中加入这三句代码就可以解决跨域问题

response.setHeader("Access-Control-Allow-Credentials", "true");//访问控制控允许凭据
response.setHeader("Access-Control-Allow-Origin",request.getHeader("Origin"));//访问控制允许来源ip地址
response.setHeader("Access-Control-Allow-Headers","content-type");//访问控制控允许报头

 

在服务端添加拦截器(Interceptor)/过滤器(Filter)设置Header。
例子:

  • Interceptor

      public class CORSInterceptor implements HandlerInterceptor {
      @Override
      public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
              throws Exception {
          String Origin = request.getHeader("Origin");
          response.setHeader("Access-Control-Allow-Origin", Origin);
          response.setHeader("Access-Control-Allow-Credentials", "true");
          response.setHeader("Access-Control-Allow-Headers", "Authorization,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type"); 
          response.setHeader("Access-Control-Allow-Methods", "OPTIONS,GET,POST,DELETE,PUT"); 
          if(request.getMethod().equals("OPTIONS")) {
              response.setStatus(200);
              return false;
          }
          return true;
      }
  
      @Override
      public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
              ModelAndView modelAndView) throws Exception {
  
      }
  
      @Override
      public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
              throws Exception {
      }
  }
  // 注入配置Bean
  @Configuration
  public class WebMvcConfig implements WebMvcConfigurer {
  
      @Bean
      public CORSInterceptor corsInterceptor() {
          return new CORSInterceptor();
      }
      
      @Override
      public void addInterceptors(InterceptorRegistry registry) {
          registry.addInterceptor(corsInterceptor())
                  .addPathPatterns("/**");
      }
  }

  • Filter

      @Component
  public class CORSFilter implements Filter {
   
      @Override
      public void destroy() { }
   
      @Override
      public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
              throws IOException, ServletException {
          HttpServletRequest httpServletRequest = (HttpServletRequest)request;
          String origin = httpServletRequest.getHeader("Origin");
          HttpServletResponse  httpServletResponse = (HttpServletResponse) response;
          httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);
          httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
          httpServletResponse.setHeader("Access-Control-Allow-Headers", "Authorization,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type"); 
          httpServletResponse.setHeader("Access-Control-Allow-Methods", "OPTIONS,GET,POST,DELETE,PUT"); 
          if(httpServletRequest.getMethod().equals("OPTIONS")) {
              httpServletResponse.setStatus(200);
          }
          chain.doFilter(httpServletRequest, httpServletResponse);    
      }
   
      @Override
      public void init(FilterConfig arg0) throws ServletException { }
   }

  • Nginx代理

      location /webview{
      # 注意:if () {}中间空格必须加上。 
      if ($request_method = 'OPTIONS') { 
          add_header Access-Control-Allow-Origin $http_origin always;
          add_header Access-Control-Allow-Credentials true;
          add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
          add_header Access-Control-Allow-Headers Authorization,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
          return 200;
      }
      alias /mypro/webview/dist;
      try_files $uri $uri/ @webview;
      index  index.html  index.htm;
      add_header Access-Control-Allow-Origin $http_origin always;
      add_header Access-Control-Allow-Credentials true;
      add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
      add_header Access-Control-Allow-Headers Authorization,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
  }
  location @webview{
      rewrite ^.*$ /webview/index.html last;
  }




参考:

https://www.jianshu.com/p/4c4e998dc7bd

https://blog.csdn.net/yuanting_/article/details/88083744

 

 

heting717
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx教程:配置项add_header Access-Control-Allow-Origin *的含义
学亮编程手记
09-14 6742
时,浏览器将允许来自任何请求访问响应内容,包括对包含敏感信息的请求的访问。因此,在处理包含敏感信息的请求时,请确保使用更具体的名来限制访问。通配符表示允许来自任何的请求。如果你希望仅允许特定的进行访问,可以将。根据你的需求和应用程序的要求,你可能需要添加其他头部来处理请求。头部之外,还可能需要设置其他相关的头部,例如。请根据你的实际需求和安全要求,适当配置。头部,以允许访问。,表示允许来自任何请求。头部以实现所需的访问控制。请求中的敏感信息:使用。
CORS问题解决
u011925641的博客
09-13 628
CORS问题解决 简介 CORS是一个W3C标准,全称是”资源共享”(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
Nginx配置请求Access-Control-Allow-Origin * 详解
qq_50523945的博客
06-06 1万+
另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务是否允许该请求。服务器确认允许之后,才发起实际的 HTTP 请求。给Nginx服务器配置`Access-Control-Allow-Origin *`后,表示服务器可以接受所有的请求源(Origin),即接受所有的请求。
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 8万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
Nginx 解决问题
qq_17376623的博客
09-06 5673
浏览器有同源访问策略,经常遇到问题,怎么破? 解决方案: 一般Nginx解决问题有2种方式,一般用第一种,接下来也是主讲第一种。 【推荐】a.通过配置 header方式解决 ; b.通过反向代理 proxy_pass; a 修改nginx server 配置,添加如下内容 #允许请求的,* 代表所有 add_header 'Access-Control-Allow-Origin' *; #允许请求的header add_header 'Access-Control-Allow-Header
springboot+angular4前后分离 问题解决详解
08-25
SpringBoot+Angular4前后分离 问题解决详解 SpringBoot和Angular4是当前流行的前后分离开发技术栈,本文主要介绍了如何解决SpringBoot和Angular4前后分离中的问题问题是指在前后分离开发中...
详解VueJs前后分离问题
01-19
可以使用在项目内设置代理(proxyTable)的方式来解决问题 设置配置项的目录在config下的index.js,主要通过配置proxyTable项,设置代理指向你的后台地址 dev: { env: require('./dev.env'), port: 8085, ...
Nginx配置origin限制请求(应对等保)
qq_20236937的博客
01-11 1万+
Nginx配置origin限制请求(应对等保)
漏洞Response header配置 Access-Control-Allow-Origin
liao0801_123的博客
12-09 2万+
浏览器只允许请求当前的资源,而对其他的资源表示不信任。那怎么才算呢? 请求协议http,https的不同 domain的不同 口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORS,JSONP document.domain,window.name,web sockets就先别闹了,腰不好 : ) 2、CORS 这是W3C的标准,全称是"资源...
解决宝塔 Nginx 问题Access-Control-Allow-Origin
weixin_51884295的博客
03-29 1万+
何为? 1、资源跳转: A链接、重定向、表单提交 2.资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@font-face()等文件外链 3.脚本请求: js发起的ajax请求、dom和js对象的操作等 何为同源策略? 同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如
nginx请求,自定义Headers,Options拦截
帆酱的博客
02-18 7185
浏览器将CORS请求分为两类:简单请求(simple request)和非简单请求(not-simple-request),简单请求浏览器不会预检,而非简单请求会预检。 同时满足下列三大条件,就属于简单请求,否则属于非简单请求 1.请求方式只能是:GET、POST、HEAD 2.HTTP请求头限制这几种字段:Accept、Accept-Language、Content-Language、Content-Type、Last-Event-ID 3.Content-type只能取:application/
记一次坑爹问题:nginx配置允许 add_header Access-Control-Allow-Origin *; 不生效
最新发布
qq_37819292的博客
12-14 2381
nginx配置允许 add_header Access-Control-Allow-Origin *; 不生效
2.1.5Nginx访问:add_header
紫月7575的博客
09-01 1555
文章目录Nginx访问访问Nginx操作:添加头:add_header测试准备开始测试 Nginx访问 访问 浏览器同时访问www.a.com和www.b.com,从安全角度讲是禁止这样的。 为什么浏览器禁止访问 不安全,容易出现CSRF攻击! CSRF攻击就是站是攻击。 当客户访问网站A的时候,网站A返回给客户cookie,token等信息;当客户访问黑客控制的网站B的时候,网站B返回的不安全信息,会控制客户的浏览器访问网站A,并发送恶意请求,就形成站访问。 所以,一般
浏览器同源策略导致问题 No ‘Access-Control-Allow-Origin‘ header 原因及解决方式--(后、nginx、前
Ricardo.M.Yu的博客
10-28 1万+
问题解决
nginx 配置add_header 'Access-Control-Allow-Origin' '*' 依然存在问题
热门推荐
xiojing的博客
10-25 8万+
1.问题描述: 前名A 在POST请求后名为B 的一个接口时候请求成功时不存在问题,请求失败时浏览器提示。 解决: 当请求成功时,HTTP CODE 为200。而请求失败时HTTP CODE 为400, 此时add_header ‘Access-Control-Allow-Origin’ ‘*’ 配置无效!设置无论HTTP CODE 为何值时都生效需要加 always 。ngin...
Spring Security 前后分离问题
12-01
Spring Security 前后分离问题可以通过以下步骤解决: 1.在 Spring Security 的配置类中添加如下配置: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值