WEB项目解决CORS 跨域问题

已于 2024-09-05 11:21:17 修改
阅读量250 收藏 3
点赞数 2
分类专栏: 前端 文章标签: CORS 跨域 前端
于 2024-09-05 11:20:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhjlhj123123/article/details/141924118
版权

        为了安全,web默认是不允许跨域访问的。不过实际项目中,会遇到不同模块之间来回跳转的情况。所以,项目内部一般会修改配置或者代码来解决CORS跨域问题。

        我的后端使用的是 Jetty 服务器,所以下面就拿jetty来举例。Jetty 提供了一个 CrossOriginFilter 类,可以用来配置和管理跨域请求。

在 Jetty 中配置 CORS

下面有三种配置方式,一种是在web.xml中直接配置,无需修改代码。另外两种是在java代码中配置,这种适合没有web.xml的场景。

方法一. 修改 web.xml 文件

如果项目使用的是 web.xml 文件来配置 servlet,可以通过在 web.xml 中添加以下内容来配置 CORS 过滤器:

<filter>
    <filter-name>cross-origin</filter-name>
    <filter-class>org.eclipse.jetty.servlets.CrossOriginFilter</filter-class>
    <init-param>
        <param-name>allowedOrigins</param-name>
        <param-value>*</param-value> <!-- 允许所有域,如果需要限制可以具体指定 -->
    </init-param>
    <init-param>
        <param-name>allowedMethods</param-name>
        <param-value>GET,POST,HEAD,OPTIONS</param-value> <!-- 允许的HTTP方法 -->
    </init-param>
    <init-param>
        <param-name>allowedHeaders</param-name>
        <param-value>X-Requested-With,Content-Type,Accept,Origin</param-value> <!-- 允许的请求头 -->
    </init-param>
    <init-param>
        <param-name>preflightMaxAge</param-name>
        <param-value>1800</param-value> <!-- 预检请求的最大缓存时间,单位为秒 -->
    </init-param>
    <init-param>
        <param-name>allowCredentials</param-name>
        <param-value>true</param-value> <!-- 是否允许凭证 -->
    </init-param>
</filter>

<filter-mapping>
    <filter-name>cross-origin</filter-name>
    <url-pattern>/*</url-pattern> <!-- 过滤器适用的URL模式 -->
</filter-mapping>

方法二. 使用 Java 代码配置 CORS 过滤器

如果使用的是 Java 代码配置 Jetty 而不是 web.xml 文件,可以使用以下代码来配置 CrossOriginFilter

import org.eclipse.jetty.servlets.CrossOriginFilter;
import org.eclipse.jetty.servlet.FilterHolder;
import org.eclipse.jetty.servlet.ServletContextHandler;

// 创建 Jetty 服务器实例
Server server = new Server(8080);
ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
context.setContextPath("/");

// 创建并配置 CORS 过滤器
FilterHolder cors = new FilterHolder(CrossOriginFilter.class);
cors.setInitParameter("allowedOrigins", "*"); // 允许所有来源
cors.setInitParameter("allowedMethods", "GET,POST,HEAD,OPTIONS"); // 允许的HTTP方法
cors.setInitParameter("allowedHeaders", "X-Requested-With,Content-Type,Accept,Origin"); // 允许的请求头
cors.setInitParameter("allowCredentials", "true"); // 是否允许凭证

// 将 CORS 过滤器添加到 Jetty 上下文
context.addFilter(cors, "/*", EnumSet.of(DispatcherType.REQUEST));
server.setHandler(context);

// 启动服务器
server.start();
server.join();

CrossOriginFilter依赖jetty-servlets.jar。

参数解释

  • allowedOrigins: 设置允许的来源(Origin)。可以是具体的 URL,或者使用 * 表示允许所有来源。为了安全,生产环境中建议指定具体的域。

  • allowedMethods: 定义允许的 HTTP 方法(如 GET, POST, OPTIONS 等)。

  • allowedHeaders: 设置允许的请求头。如果需要处理自定义头部,可以在这里添加。

  • allowCredentials: 表示是否允许发送 Cookie 等凭证信息。如果为 true,则 allowedOrigins 不能是 *,需要指定具体的域。

  • preflightMaxAge: 设置浏览器在发送下一个预检请求之前缓存 OPTIONS 请求的时间。

方法三. 自定义 AccessControlFilter 实现

除了配置CrossOriginFilter,还可以自定义 ContainerResponseFilter 的实现类。只要确保自定义类处理了 CORS 请求的核心逻辑即可,下面的代码是定义了一个实现类AccessControlFilter:

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;
import java.io.IOException;

@Provider
public class AccessControlFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {
        // 设置允许的来源
        responseContext.getHeaders().add("Access-Control-Allow-Origin", "*"); // 可以根据需求修改为具体域名
        // 设置允许的HTTP方法
        responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, OPTIONS, HEAD");
        // 设置允许的请求头
        responseContext.getHeaders().add("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, Accept, Origin");
        // 是否允许凭证
        responseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");
        // 预检请求的缓存时间
        responseContext.getHeaders().add("Access-Control-Max-Age", "1209600"); // 14天
    }
}

如何使用 AccessControlFilter

  • 如果使用的是 Java 配置类,代码如下:
import org.glassfish.jersey.server.ResourceConfig;
import javax.ws.rs.ApplicationPath;

@ApplicationPath("/api")
public class JerseyConfig extends ResourceConfig {
    public JerseyConfig() {
        packages("你的包名");
        register(AccessControlFilter.class);
    }
}
  • 如果使用 web.xml,web.xml 中配置
    <servlet>
    <servlet-name>jersey-servlet</servlet-name>
    <servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
    <init-param>
        <param-name>jersey.config.server.provider.packages</param-name>
        <param-value>你的包名</param-value>
    </init-param>
    <init-param>
        <param-name>jersey.config.server.provider.classnames</param-name>
        <param-value>com.example.AccessControlFilter</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>jersey-servlet</servlet-name>
    <url-pattern>/api/*</url-pattern>
</servlet-mapping>

处理 OPTIONS 请求

CORS 预检请求通常使用 OPTIONS 方法。在 AccessControlFilter 中添加对 OPTIONS 请求的处理,以确保预检请求能够成功返回。

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;
import javax.ws.rs.core.Response;
import java.io.IOException;

@Provider
public class AccessControlFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {
        // 设置 CORS 响应头
        responseContext.getHeaders().add("Access-Control-Allow-Origin", "*");
        responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, OPTIONS, HEAD");
        responseContext.getHeaders().add("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, Accept, Origin");
        responseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");

        // 处理 OPTIONS 预检请求
        if (requestContext.getMethod().equalsIgnoreCase("OPTIONS")) {
            responseContext.setStatusInfo(Response.Status.OK);
        }
    }
}

如果不想处理options请求, 可以通过在web服务器侧,配置正向和反向代理,将后端的url都映射成一个apache侧的url。具体实现方法可参考对应的web服务器,这里就不再赘述了。

IT布道
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot项目解决CORS跨域问题
WhiteCrowZHZ
02-17 350
SpringBoot解决CORS
Web项目关于CORS跨域访问的问题配置
zxd0312的博客
05-27 514
什么是跨域?这不是本文的重点,简单的说 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域 在做项目的时候,很多时候都会遇到跨域的问题,所以很多系统默认是支持跨域的,该怎么配置呢?这里介绍几种情况,希望对大家有所帮助: 第一种,允许某一接口跨域访问,直接在方法体内加这2名: @ResponseBody @RequestMapping(value = "/test") public String test(HttpServletRequest request, HttpS
解决CORS跨域问题
学习总结
03-05 1092
CORS跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。
如何解决CORS跨域问题
superioc的博客
03-30 1410
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
WebApi设置CORS跨域问题
启文姜的博客
04-11 514
如图所示,添加cors的时候需要安装两个库,如下图
CORS跨域问题全解:原理、问题与解决方案
weixin_44976692的博客
08-19 2866
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、域名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
解决CORS跨域请求问题
m0_74381444的博客
04-10 452
CORS 配置,允许来自任何域的跨域请求,并允许常见的请求方法和头字段
Cors解决跨域问题
热门推荐
BadCoder的博客
09-23 1万+
问题 问题:axios请求,出现两次request,其中一次Request Method: OPTIONS 原因:跨域原因 跨域问题 什么是跨域 跨域是指跨域名访问,一下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求
java解决CORS跨域问题【总结】
wayne_youlu的博客
12-01 2958
*** 跨域过滤器* @return/** 允许任何域名使用 */ // corsConfiguration.addAllowedOrigin("*");/** 允许的请求头 */ corsConfiguration . addAllowedHeader("*");/** 允许的方法 */ corsConfiguration . addAllowedMethod("*");} }/*** 跨域过滤器* @return。
GeoServer配置解决cors跨域问题的依赖jar包和配置说明.zip
05-12
geoserver跨域设置: 1、将cors-filter-2.4.jar和java-property-utils-1.9.1.jar,两个jar包文件放入geoserver目录下webapps\geoserver\web-inf\lib中。 2、打开geoserver目录下webapps\geoserver\web-inf中的web....
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
后端输出二进制数据,前端fetch接受二进制数据,并转化为字符输出
cdcdhj的博客
09-01 509
在这个前端代码中,我们使用fetch API请求PHP脚本,并获取二进制数据。然后,我们将ArrayBuffer转换为字符串,以便在JavaScript中使用。在PHP中,你可以将字符串或其他数据类型转换为二进制数据,并通过HTTP响应发送给前端
从面向对象(OOP)到面向切面(AOP):编程范式的演变
妍思码匠的博客
08-30 1388
本文深入探讨了面向切面编程(AOP)在前端开发中的应用,解释了AOP如何通过动态增强与代码复用、降低模块间耦合度,为前端项目带来更高效、更模块化的解决方案。通过具体案例分析,如日志记录切面和动态埋点的实现,展示了如何利用装饰器模式、高阶组件等技术在前端实现AOP。理解AOP的原理与实践,将有助于开发者构建更易于维护和扩展的前端应用。无论你是前端新手还是资深开发者,本文都将为你提供有价值的见解和实用技巧。
vue3使用-watch监听总结
weixin_44072254的博客
09-01 498
{deep: true, immediate: true, flush: 'post'}:deep是深度监听;flush:如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post',sync'创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发;flush: 'post', 如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post'flush: sync',创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发。监听数组的方式-示例。
深入理解JavaScript闭包:避免常见的内存泄漏问题
官方推荐
09-02 3848
深入理解JavaScript闭包:避免常见的内存泄漏问题
KEYSIGHT是德 Infiniium EXR系列 示波器
XLTYQYB的博客
08-29 1445
该系列的所有型号都集成了一个 10 位 ADC,并且在所有通道上同时提供 16 GSa/s 的采样率。高分辨率 ADC 的效用取决于示波器的前端底噪是否足够低以提供与之匹配的额外的量化电平空间。我们的低噪声前 端包含定制 IC,例如 130 纳米 BiCMOS IC(其中集成了用户可选的模拟滤波器),并且带宽可通过软件 许可证升级。使用硬件滤波时,噪声低至 43 μV,系统 ENOB 达到 9.0 位。Infiniium EXR系列 示波器 型号比较。垂直分辨率是 8 位示波器的 4 倍。
材料表面缺陷检测系统源码分享 # [一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
xuehai996的博客
08-29 2430
材料表面缺陷检测系统源码分享 # [一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
web开发
最新发布
2301_76876837的博客
09-04 268
我们在访问的网站的时候,一般就是在浏览器的网址栏里输入,再敲个回车,我们就可以访问到我们想要的网站(比如京东)。这是为什么呢?我们访问的浏览器是一个程序,京东也是一个程序,只是京东在人家电脑上运行着,我们只是远程访问了人家的前端页面。我们根据下图来讲解一下web网站的工作流程:我们在浏览器输入我们想要查找的域名,回车(搜索)后,会到,前端服务器接受到请求后会把相对应的前端代码返回给浏览器,浏览器会自动解析前端代码(因为内置了解析引擎),展示出页面效果。前端代码里由一句代码会是访问。
docker部署web项目没有跨域问题
09-07
Docker是一种容器化技术,可以将应用程序及其依赖项打包在一个可移植的容器中进行部署。在Docker容器中部署Web项目时,由于容器本身隔离了应用程序和主机环境,因此可以避免一些跨域问题跨域问题是由于浏览器的同源策略引起的,当我们的Web项目在不同的域名、端口或协议下进行访问时,浏览器会限制页面的跨域访问。这会导致一些跨域请求无法正常发起或响应。 在Docker中部署Web项目时,我们可以将所有的依赖项和资源打包在同一个容器中,使得应用程序运行在统一的环境中。由于容器内的应用程序与宿主机环境隔离,因此不存在跨域问题。 然而,如果在Docker中的Web项目需要与其他的服务进行通信或依赖外部API,那么仍然可能出现跨域问题。这时,我们需要在Docker容器中对跨域请求进行配置,允许指定的域名或IP地址进行跨域访问。具体的跨域配置方法与常规的Web项目配置方式相同,可以使用CORS跨域资源共享)等方式解决。 总结来说,由于Docker容器隔离了应用程序和主机环境,可以减少一些常规部署方式下的跨域问题。但如果项目内部依赖外部服务或API,仍然可能需要处理相应的跨域配置来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值