ajax跨站请求方案

最新推荐文章于 2024-04-13 18:12:53 发布
最新推荐文章于 2024-04-13 18:12:53 发布
阅读量550 收藏 2
点赞数 1
分类专栏: web 文章标签: CORS ajax跨站请求 ajax跨站访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_3035/article/details/82613469
版权

ajax跨站请求方案

1:概述

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用XMLHttpRequest对象发起 HTTP 请求就必须遵守同源策略。

 

2:方案

W3C的Web应用工作组推荐了一种新的机制,即跨源资源共享(Cross-Origin Resource Sharing(CORS))。这种机制让Web应用服务器能支持跨站访问控制,从而使得安全地进行跨站数据传输成为可能。比如说,要使得XMLHttpRequest在现代浏览器中可以发起跨域请求。浏览器必须能支持跨源共享带来的新的组件,包括请求头和策略执行。同样,服务器端则需要解析这些新的请求头,并按照策略返回相应的响应头以及所请求的资源。

 

3:实践(注:以下只是简单的测试用例)

3.1服务端

服务端定义一个Fitler来处理CORS,代码如下:

 

public class ApiCorsFilter implements Filter {
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        //允许所有外部资源访问,生产环境指定具体的站点提高安全
        response.setHeader("Access-Control-Allow-Origin", "*");
        //允许访问的方法类型,多个用逗号分隔
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        //OPTIONS预请求缓存的有效时间 单位秒
        response.setHeader("Access-Control-Max-Age", "3600");
        //允许自定义的请求头,多个用逗号分隔
        response.setHeader("Access-Control-Allow-Headers", "content-type, x-requested-with");
        chain.doFilter(req, res);
    }
}

 在项目的web.xml里配置Filter

 

    <filter>
        <filter-name>apiCorsFilter</filter-name>
        <filter-class>com.ihome.mobile.filter.ApiCorsFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>apiCorsFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

 3.2客户端

编写一个ajax请求

 

<!DOCTYPE html>
<html>
    <head>
        <title>Hello cors</title>
        <script src="http://upcdn.b0.upaiyun.com/libs/jquery/jquery-1.10.2.min.js"></script>
        <script>
            $(function() {
                $.ajax({
                    type: 'POST',
                    contentType : 'text/plain', //不会执行OPTIONS预请求
//                    contentType : 'application/json', //会执行OPTIONS预请求
                    url: "http://api.ldhome.com.net",//内网虚拟映射地址
                    success: function(data){
                        $("#content").html(JSON.stringify(data));
                    },
                    error: function(state,xhr){
                        $("#content").html("请求失败");
                    }
                });
            });
        </script>
    </head>
    <body>
        <h2>结果:</h2>
        <div id="content">
        </div>
    </body>
</html>
 

 

测试结果1:没有预请求



 
可以看到上面只有post请求,请详细信息如下:



 

测试结果2:有预请求



 会发起OPTIONS请求,请求内容如下:



 预请求验证通过,才会发起POST的请求如下:



 

4:关于预请求(OPTIONS)

“预请求”要求必须先发送一个 OPTIONS 请求给目的站点,来查明这个跨站请求对于目的站点是不是安全可接受的。这样做,是因为跨站请求可能会对目的站点的数据造成破坏。 当请求具备以下条件,就会执行预请求处理:

  • 请求以GET,HEAD或者POST 以外的方法发起请求。或者,使用 POST,但contentTypeapplication/x-www-form-urlencoded, multipart/form-data或者text/plain 以外的数据类型。比如说,用 POST发送数据类型为application/json的JSON数据的请求。
  • 使用自定义请求头

 

iteye_3035
关注
专栏目录
AJAX跨站请求
qq_42960944的博客
01-19 705
AJAX 简单介绍 全程:Asynchronous JavaScript and XML,意思就是用JavaScript执行异步网络请求。 Web的运作原理:一次HTTP请求对应一个页面。 如果要让用户留在当前页面中,同时发出新的HTTP请求,就必须用JavaScript发送这个新请求,接收到数据后,再用JavaScript更新页面,这样一来,用户就感觉自己仍然停留在当前页面,但是数据却可以不断地更新。用JavaScript写一个完整的AJAX代码并不复杂,但是需要注意:AJAX请求是异步执行的,也就是说,
Ajax跨域请求
weixin_50163576的博客
11-24 1903
跨域:当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,此时就被称为“跨域请求”,而浏览器的“同源策略”此时将阻止了Ajax的跨域访问ajax同源策略的限制,会跨域拦截,解决方案: 1.服务端接口设置允许访问cors头(cross origin resource share),CORS跨域资源共享(Cross Origin Resource Sharing) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许
Ajax及跨域请求
YUELEI118的博客
07-05 2327
javaScript实现ajax jquery实现ajax ajax跨域请求 jsonp
ajax跨站请求伪造
weixin_30664539的博客
11-14 210
ajax提交数据到后台: {#<!DOCTYPE html>#} <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="/static/jquery-3.2.1.min.j...
关于ajax跨服务器读取数据的验证
lwprain的专栏
01-03 1662
现在有个需求:存在ABC三台机器 客户机A web服务器B 最终web服务器C 目前情况是A无法直接访问C,但是可以访问B,B能访问C 目前A想通过B的中转获得C的数据。 之前一直以为ajax是一种基于js的技术,一般理解是A执行B上的ajax访问C时,A应该可以访问C才能实现,但是今天通过实验,发现,这个存在误区,今天的实验是这样: 在本地建立一个web服务器,其中写了ajax程序
JQuery Ajax执行跨域请求数据的解决方案
10-17
此外,JSONP对数据的安全性也有影响,因为它允许从不同域加载数据,可能会使应用容易受到跨站脚本攻击(XSS)的风险。因此,在使用JSONP时,务必要确保后端返回的数据是安全的,避免执行不信任的代码。 总结而言,...
PHP ajax跨子域的解决方案之document.domain+iframe实例分析
10-15
本文将深入探讨PHP AJAX跨子域的解决方案,特别是使用`document.domain`配合`iframe`的实例分析。 首先,理解`document.domain`的原理。它是JavaScript中的一个属性,允许我们修改当前文档的域,只要新设置的域是...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
在Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)保护是一种防止恶意用户对网站进行跨站请求伪造攻击的机制。Django默认启用了CSRF保护,它要求所有的POST请求都必须携带一个有效的CSRF令牌。然而...
Ajax请求WebService跨域问题的解决方案
12-10
在实际项目中,还需要关注安全性,防止跨站请求伪造(CSRF)等攻击。同时,通过阅读与Ajax、WebService、跨域相关的文章和示例代码,可以进一步提升对这些技术的理解和应用能力。例如,了解如何使用jQuery的Ajax方法...
Ajax请求跨域问题解决方案分析
10-17
本文将深入探讨Ajax请求跨域的原理,并提供两种有效的解决方案。 首先,理解同源策略至关重要。同源策略是浏览器为防止恶意脚本攻击而实施的一种安全策略,它规定了只有当协议、域名和端口完全相同的两个页面才能...
【转载】ajax跨域及解决方案(jsonp、cors
最新发布
2401_84091938的博客
04-13 1089
题纲关于跨域,有N种类型,本文只专注于ajax请求跨域(,ajax跨域只是属于浏览器"同源策略"中的一部分,其它的还有Cookie跨域iframe跨域,LocalStorage跨域等这里不做介绍),内容大概如下:什么是ajax跨域原理表现(整理了一些遇到的问题以及解决方案)如何解决ajax跨域JSONP方式CORS方式代理请求方式如何分析ajax跨域http抓包的分析一些示例什么是ajax跨域。
利用jesey跨服务器文件上传+ajax回显(代码)
tanmoney的博客
03-28 380
使用jesey实现跨服务器文件上传,再通过ajax把绝对路径和相对路径返回前端,通过绝对路径实现回显,把相对路径通过表的提交存入数据库。 jsp(测试代码): <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib uri=...
跨站和跨域的区别;前端多种跨域方式
weixin_50464560的博客
08-13 3382
一、跨域的由来(前端多种跨域方式)          跨域大家都不陌生,跨域是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍跨域的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资源,所以需要跨域。所以就出现了各种跨域的方式,如JSONP、CORS、H5的postMessage、N...
AJAX请求及解决跨域问题
m0_59092234的博客
07-30 812
AJAX其实就是异步的js和xml通过ajax可以在浏览器中发送异步请求。最大优势无刷新获取数据优点1.可以无需刷新页面与服务器进行通信2.允许根据用户事件更新部分页面内容当然也存在其缺点问题比如跨域问题等!...
ajax POST跨域请求完美解决
liuyaokai1990的博客
08-08 1071
方式: js前端请求: function getOcrInfo(imageData){$.ajax({ url: 'http://localhost:8080/LSWS/ws/ocr/getWebImageRecognitionJsonStringByBase64Image', type: 'post', dataType:'json', //async:fal...
Ajax的Post跨域请求
Zhang_Xinbin的博客
01-06 4436
什么是跨域请求同协议,同ip,同端口视为一个域,两个域之间互相访问就是跨域访问请求。 根据浏览器的同源策略,一个域中的脚本只具有访问本域资源的权限,无法访问其他域的资源。 如果域中的ajax直接访问另一个域的资源就会有问题,这就是我们说的js跨域请求问题 如果想要了解更多关于浏览器同源策略,可以前往下面地址: https://www.zhihu.com/question/25427931
ajax向别的服务器发送,Ajax向服务器发送请求
weixin_39860201的博客
08-05 273
Ajax get方式向服务器发送请求://创建XMLHttpReques对象function createXMLHttpRequest(){if(window.XMLHttpRequest){//Mozilla浏览器XMLHttpReq=new XMLHttpRequest();}else{//IE浏览器if(window.ActiveXObject){try{XMLHttpReq=new Act...
web安全之跨站请求伪造
热门推荐
交换一个思想,能得到俩思想
12-23 2万+
CSRF(Cross-site request forgery),中文名称:跨站请求伪造. 因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。 CSRF发生的场景如下图所示: 用户登录访问了一个受信任的站点, 在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B。 在B网站中,有CSRF攻击代码访问网站A。
他日若能阅此文,跨站登录不求人
布尔教育的官方博客
01-04 848
前言昨天朋友问我如何做到两个不同的站点之间的一次性认证,我说搞台服务器单独做一个登录系统,存储会话,其他站点只需要认可通过这台服务器的验证不就可以了吗?最后还跟人说用Memcache或者Redis来存储会话Session效果更好。回头想想,自己有点站着说话不嫌腰疼。人家只是想简简单单地实现一个跨站登录的效果,你硬给人整个添加服务器的方案。不妥,对于一个初创企业来说,无异于雪上加霜。撸主小时候就有科技
Ajax跨域解决方案详解:JSONP、CORS、代理请求方式
它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 九、如何判断是否是简单请求? 判断是否是简单请求可以根据以下两大条件:请求方法是以下三种方法之一:HEAD、GET、POST;...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值