跨域(Cross-Origin)问题概述与后端解决方案(CORS(跨域资源共享)、JSONP(JSON with Padding)、代理服务器)

于 2024-09-09 12:46:52 发布
阅读量1.4k 收藏 17
点赞数 18
分类专栏: Java+SSM+DB 文章标签: java CORS spring 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyc010110/article/details/142055897
版权

一、什么是跨域

跨域(Cross-Origin)指的是在网页中,一个域名的网页尝试请求另一个域名下的资源。浏览器通过同源策略(Same-Origin Policy)阻止这种行为,以保护用户数据的安全性和隐私。具体来说,同源策略要求协议、域名和端口都相同才允许访问。

二、后端解决跨域的方案

  1. CORS(跨域资源共享)
  2. JSONP(JSON with Padding)
  3. 代理服务器

1. CORS(跨域资源共享)

CORS 是一种标准化机制,通过设置 HTTP 头部来允许服务器指定哪些来源的请求是被允许的。主要涉及以下头部:

  • Access-Control-Allow-Origin:指定允许哪些域名访问资源。
  • Access-Control-Allow-Methods:指定允许的 HTTP 方法。
  • Access-Control-Allow-Headers:指定允许的请求头。
  • Access-Control-Allow-Credentials:指定是否允许发送 Cookie。

配置示例:

Java Spring Boot 示例:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://frontend-domain.com")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true);
    }
}

Node.js Express 示例:

const express = require('express');
const cors = require('cors');
const app = express();

app.use(cors({
    origin: 'http://frontend-domain.com',
    methods: ['GET', 'POST', 'PUT', 'DELETE'],
    allowedHeaders: ['Content-Type'],
    credentials: true
}));

app.get('/api/data', (req, res) => {
    res.json({ key: 'value' });
});

app.listen(3000, () => {
    console.log('Server running on port 3000');
});

2. JSONP(JSON with Padding)

JSONP 是一种旧的跨域解决方案,通过 <script> 标签加载数据。它只支持 GET 请求,但可以绕过浏览器的同源策略限制。

客户端代码:

<script src="http://api.example.com/data?callback=handleData"></script>
<script>
  function handleData(data) {
    console.log(data);
  }
</script>

服务器代码:

public void getData(HttpServletRequest request, HttpServletResponse response) throws IOException {
    String callback = request.getParameter("callback");
    String json = "{\"key\": \"value\"}";
    response.setContentType("application/javascript");
    response.getWriter().write(callback + "(" + json + ")");
}

3. 代理服务器

代理服务器通过将请求转发到 API 服务器,避免了直接的跨域请求问题。这种方式可以隐藏真实的 API 服务器地址,并处理复杂的请求逻辑。

Nginx 配置示例:

server {
    listen 80;

    location /api/ {
        proxy_pass http://api-server-domain.com;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location / {
        root /path/to/your/frontend;
        try_files $uri $uri/ =404;
    }
}

三、总结与比较

解决方案优点缺点使用场景
CORS标准化、灵活、支持多种 HTTP 方法配置复杂,可能需要额外的安全设置现代 Web 应用,支持复杂请求
JSONP简单易用,快速实现跨域请求仅支持 GET 请求,安全性较差旧系统或只需支持 GET 请求的场景
代理服务器不受浏览器同源策略限制,适用于所有 HTTP 方法需要配置和维护额外的服务器,可能影响性能内部系统、需要隐藏真实 API 服务器

四、开发补充与注意事项

  1. 安全性:配置 CORS 时要谨慎,只允许可信的来源访问。避免设置 Access-Control-Allow-Origin*,特别是在需要发送 Cookie 的情况下。
  2. 性能:代理服务器可能会引入额外的延迟。合理配置负载均衡和缓存策略可以减少性能影响。
  3. 兼容性:JSONP 仅支持 GET 请求,且不再是推荐的解决方案。应优先考虑 CORS 和代理服务器。
  4. 调试与测试:在配置 CORS 和代理服务器时,要在开发和生产环境中进行充分测试,确保所有跨域请求正常工作。
胡耀超
关注
专栏目录
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
随着Web技术的发展,跨域安全问题愈发突出,"Referrer-Policy : strict-origin-when-cross-origin"便是为了解决这一问题而提出的策略。本文将深入探讨这个策略的含义、作用以及如何在实际开发中应用。 一、Referrer...
什么是跨域(cross-origin)请求,如何解决跨域问题
官方推荐
08-31 9287
什么是跨域(cross-origin)请求,如何解决跨域问题
掌握 CORS 跨域请求,读这篇文章就够了
360技术
11-22 2961
在 Web 前后端分离架构模式下,跨域(跨源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起跨源 HTTP 请求,同源没有此类限制。前端解决跨域方法有很多,比如WebSocket 协议跨域JSONP 请求跨域跨域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为跨域...
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_64051447的博客
06-30 1万+
解决方式还有更多各种各样的,但我认为最优雅的莫过于这两种,因此其他的解决方式可以暂时不提及,那些方法不仅增加了阅读复杂度还增加了维护成本不建议使用。无论是采用何种方式,我们都是要让后端修改代码,修改header或修改返回数据格式,都离不开后端的参与,所以遇到跨域问题,赶快找后端,一起解决这个问题
Nginx配置origin限制跨域请求(应对等保)
qq_20236937的博客
01-11 1万+
Nginx配置origin限制跨域请求(应对等保)
跨域(Cross-Origin
LJH_java10086的博客
10-05 519
常见的头信息包括 Access-Control-Allow-Origin(指定允许访问的源)、Access-Control-Allow-Methods(指定允许的请求方法)、Access-Control-Allow-Headers(指定允许的请求头)等。跨域(Cross-Origin)是指在浏览器环境下,当一个网页的 JavaScript 代码尝试访问与当前页面不同源(域名、协议或端口)的资源时,会受到同源策略的限制,导致请求被拒绝。以上是几种常见的解决跨域问题的方法,每种方法都有其适用的场景和限制条件。
跨域解决方案有多重JSONP、Flash、Iframe等,当然还有CORS跨域资源共享,Cross-Origin Resource Sharing)
01-06
然而,随着Web应用的发展,跨域数据交互的需求日益增多,因此催生了一系列跨域解决方案,包括JSONP、Flash、Iframe以及CORS跨域资源共享,Cross-Origin Resource Sharing)。 首先,JSONPJSON with Padding)是...
Ajax跨域问题解决方案jsonpcors
10-16
1. JSONPJSON with Padding)是一种解决跨域问题的非正式协议。它的核心思想是利用HTML中的`<script>`标签不受同源策略限制的特点。在客户端,我们可以创建一个`<script>`标签,并设置其`src`属性为远程服务器的...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
CORS 跨站访问 origin头 和 跨域 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4289
cors 全局配置文件中,加入域名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
解决Origin请求头导致的Nginx反向代理403跨域问题
Howinfun的博客
02-09 9784
Nginx反向代理跨域问题
Access-Control-Allow-Origin跨域
04-22 375
1、浏览器的同源安全策略 浏览器只允许请求当前域的资源,而对其他域的资源表示不信任。那怎么才算跨域呢? 请求协议http,https的不同 域domain的不同 端口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORSJSONPdocument.domain,window.name,web sockets就先别闹了,腰不好 : )...
什么是跨域(Cross-Origin)请求,如何解决跨域问题
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-30 880
引言跨域请求基本概念同源策略概述跨域请求的作用解决跨域问题的方法示例一:使用JSONP发起跨域请求示例二:设置CORS响应头示例三:使用Fetch API发起带有CORS的请求设置CORS预检请求示例四:CORS预检请求使用代理服务器示例五:配置Webpack Dev Server代理实际工作中的使用技巧技巧一:正确设置Access-Control-Allow-Origin技巧二:处理预检请求技巧三:使用代理服务器技巧四:避免使用Credentials技巧五:利用第三方库拓展内容结语。
跨域(二)CORS
二豪码字
09-14 1215
CORS跨域是目前使用最多的跨域解决方案,是W3C的一种技术规范,2014年起成为行业的标准,当前所有的浏览器都支持CORS。属于HTTP的一部分。 CORS(Cross-origin resource sharing):跨域资源共享。要实现CORS需要前后端同时的支持,而浏览器自动给支持CORS,所以设置主要是服务器端。 浏览器将CORS请求分为两种:简单请求和非简单请求。 简单请求(同时满足两大条件): (1)请求方法是以下三种之一: HEAD GET POST (2)Http的头信息不超出以下几种字段
Cross-Origin跨站问题详解(跨站请求、跨站cookie)
weixin_42815846的博客
11-11 2043
为什么我的前后端都是localhost,却还是被当作所谓的cross-origin跨站?我设置了same site为none,这样就允许cross origin的cookie,但是cross origin的cookie还要求secure,不仅仅是要把secure改成true,还要使用https,不然cookie会被浏览器自动block,但我现在正在开发,并没有到上线的程度,所以还不想申请SSL/STL证书,但是还没有找到如何让chrome不要使用这么strict的policy。也配置了session。
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
ACGkaka的博客
02-26 1万+
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
HTTP Headers 之 Origin跨域访问一定要加上这个header
热门推荐
前路无畏的博客
03-06 1万+
1.跨域访问 概念 HTTP 协议中的 Origin Header 存在于请求中,用于指明当前请求来自于哪个站点。 字段内容 Origin 仅仅包含站点信息,不包含任何路径信息。 语法 Origin: "" Origin: "<schema>://<host>[:port]" // 例如 Origin: "https://baidu.com" // 错误示范,包含了路径信息 Origin: "https://baidu.com/" 应用 CORS 当我们的浏览器发出跨站请求时,行为
跨域(Cross-Origin)- Web开发
xycxycooo的博客
07-24 835
跨域是浏览器的一种安全机制,称为同源策略(Same-Origin Policy)。同源策略限制了一个源的文档或脚本如何与另一个源的资源进行交互。这种限制可以防止恶意网站通过脚本读取或篡改另一个网站的数据,从而保护用户的安全和隐私。跨域是Web开发中常见的问题,理解跨域的定义、维度和影响,以及掌握解决跨域问题的方法,对于开发安全的、高效的前后端分离应用至关重要。通过合理配置服务器和使用跨域解决方案,可以有效解决跨域问题,提升应用的可用性和安全性。
Ajax跨域解决方案JSONPCORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONPCORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

胡耀超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值