java中关于跨域的问题及解决方法

最新推荐文章于 2024-04-25 14:26:51 发布
最新推荐文章于 2024-04-25 14:26:51 发布
阅读量649 收藏
点赞数 2
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihuan666/article/details/100081327
版权

1.为什么有跨域问题?

跨域不一定都会有跨域问题。

因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。

因此:跨域问题 是针对ajax的一种限制。

但是这却给我们的开发带来了不便,而且在实际生产环境中,肯定会有很多台服务器之间交互,地址和端口都可能不同,怎么办?

2.解决跨域问题的方案

目前比较常用的跨域解决方案有3种:

  • Jsonp
    最早的解决方案,利用script标签可以跨域的原理实现。
    限制:
    • 需要服务的支持
    • 只能发起GET请求
  • nginx反向代理
    思路是:利用nginx把跨域反向代理为不跨域,支持各种请求方式
    缺点:需要在nginx进行额外配置,语义不清晰
  • CORS
    规范化的跨域请求解决方案,安全可靠。
    优势:
    • 在服务端进行控制是否允许跨域,可自定义规则
    • 支持各种请求方式
      缺点:
    • 会产生额外的请求

我们这里会采用cors的跨域方案。

3.cors解决跨域

3.1.什么是cors

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

  • 浏览器端:
    目前,所有浏览器都支持该功能(IE10以下不行)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。
  • 服务端:
    CORS通信与AJAX没有任何差别,因此你不需要改变以前的业务逻辑。只不过,浏览器会在请求中携带一些头信息,我们需要以此判断是否允许其跨域,然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。

3.2.原理有点复杂

浏览器会将ajax请求分为两类,其处理方案略有差异:简单请求、特殊请求。

3.2.1.简单请求

只要同时满足以下两大条件,就属于简单请求。:

(1) 请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

当浏览器发现发起的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.

Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域。

如果服务器允许跨域,需要在返回的响应头中携带下面信息:

    Access-Control-Allow-Origin: http://manage.nc.com
    Access-Control-Allow-Credentials: true
    Content-Type: text/html; charset=utf-8
  • Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*(代表任意域名)
  • Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true

有关cookie:

要想操作cookie,需要满足3个条件:

  • 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
  • 浏览器发起ajax需要指定withCredentials 为true
  • 响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名

3.2.2.特殊请求

不符合简单请求的条件,会被浏览器判定为特殊请求,,例如请求方式为PUT。

预检请求

特殊请求会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

一个“预检”请求的样板:

    OPTIONS /cors HTTP/1.1
    Origin: http://manage.nc.com
    Access-Control-Request-Method: PUT
    Access-Control-Request-Headers: X-Custom-Header
    Host: api.nc.com
    Accept-Language: en-US
    Connection: keep-alive
    User-Agent: Mozilla/5.0...

与简单请求相比,除了Origin以外,多了两个头:

  • Access-Control-Request-Method:接下来会用到的请求方式,比如PUT
  • Access-Control-Request-Headers:会额外用到的头信息

预检请求的响应

服务的收到预检请求,如果许可跨域,会发出响应:

    HTTP/1.1 200 OK
    Date: Mon, 01 Dec 2008 01:15:39 GMT
    Server: Apache/2.0.61 (Unix)
    Access-Control-Allow-Origin: http://manage.nc.com
    Access-Control-Allow-Credentials: true
    Access-Control-Allow-Methods: GET, POST, PUT
    Access-Control-Allow-Headers: X-Custom-Header
    Access-Control-Max-Age: 1728000
    Content-Type: text/html; charset=utf-8
    Content-Encoding: gzip
    Content-Length: 0
    Keep-Alive: timeout=2, max=100
    Connection: Keep-Alive
    Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外,这里又额外多出3个头:

  • Access-Control-Allow-Methods:允许访问的方式
  • Access-Control-Allow-Headers:允许携带的头
  • Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了

如果浏览器得到上述响应,则认定为可以跨域,后续就跟简单请求的处理是一样的了。

3.3.实现非常简单
虽然原理比较复杂,但是前面说过:

  • 浏览器端都有浏览器自动完成,我们无需操心
  • 服务端可以通过拦截器统一实现,不必每次都去进行跨域判定的编写。

事实上,SpringMVC已经帮我们写好了CORS的跨域过滤器:CorsFilter ,内部已经实现了刚才所讲的判定逻辑,我们直接用就好了。

在nc-gateway中编写一个配置类,并且注册CorsFilter:

    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.web.cors.CorsConfiguration;
    import org.springframework.web.cors.UrlBasedCorsConfigurationSource;//web.cors下的包
    import org.springframework.web.filter.CorsFilter;
    
    @Configuration
    public class NcCorsConfig {
        @Bean
        public CorsFilter corsFilter() {
            //1.添加CORS配置信息
            CorsConfiguration config = new CorsConfiguration();
            //1) 允许的域,不要写*,否则cookie就无法使用了
            config.addAllowedOrigin("http://manage.nc.com");
            //2) 是否发送Cookie信息
            config.setAllowCredentials(true);
            //3) 允许的请求方式
            config.addAllowedMethod("OPTIONS");
            config.addAllowedMethod("HEAD");
            config.addAllowedMethod("GET");
            config.addAllowedMethod("PUT");
            config.addAllowedMethod("POST");
            config.addAllowedMethod("DELETE");
            config.addAllowedMethod("PATCH");
            // 4)允许的头信息
            config.addAllowedHeader("*");
    
            //2.添加映射路径,我们拦截一切请求
            UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
            configSource.registerCorsConfiguration("/**", config);
    
            //3.返回新的CorsFilter.
            return new CorsFilter(configSource);
        }
    }

结构:

%落雨%
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java服务器端问题解决方案
08-25
Java服务器端问题解决方案 Java 服务器端问题解决方案是指在 Java 服务器端如何解决问题解决方案。问题是指在 Ajax 请求,因为安全限制,浏览器不能将数据发送到不同源(domain、protocol 或 ...
单个controller解决问题
weixin_43871142的博客
12-02 540
在调用的controller上添加 @CrossOrigin(origins = "*",maxAge = 3600)
解决前后端分离的问题
勾勒1991的博客
07-27 3968
 参考:https://mp.weixin.qq.com/s?__biz=MjM5NTM1NDcyOQ==&mid=202557064&idx=1&sn=d24349248e5dd70e0d0bcdc0fb6e6ca5#rd https://blog.csdn.net/zhang6622056/article/details/75221492    是网络安全领的...
Java后端问题解决办法
最新发布
qq_56554321的博客
04-25 1569
Access-Control-Allow-Origin: 允许访问的名Access-Control-Allow-Methods: 允许访问的请求方式Access-Control-Allow-Headers: 允许使用的 HeaderAccess-Control-Allow-Credentials: 是否允许用户发送、处理 CookieAccess-Control-Max-Age: 预检有效期,单位为秒。有效期内,不需要重复发送预检请求。
问题分析及解决方案(方案在文末)
weixin_39433171的博客
01-30 394
一、什么是:浏览器对于javascript的同源策略的限制 。 以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同 item.jd.com 与 miaosha.jd.com 如果名和端口都相同,但是请...
解决方式有哪些?
Z15889363722的博客
08-13 523
解决方式有哪些? 解决方案目前有三种主流解决方案: 是 jsonp jsonp 实现原理:主要是利用动态创建 script 标签请求后端接口地址,然后传递 callback 参数,后端接收 callback,后端经过数据处理,返回 callback 函数调用的形式,callback 的参数就是 json 优点:浏览器兼容性好, 缺点:只支持 get 请求方式 是代理(前端代理和后端通常通过 nginx 实现反向代理) 前端代理我在vue 主要是通过vue 脚手架的config 的inde
前端请求后端接口出现问题
扯文艺的猿的博客
04-14 2457
可以在 入口文件 加上以下代码 主要是解决 请求头 和 请求 的问题 // 指定允许其他名访问 header('Access-Control-Allow-Origin:http://abc.cn'); // 允许所有名访问 header('Access-Control-Allow-Origin:*'); // 允许响应类型 header('Access-Control-Allow-Methods:POST,GET,OPTIONS'); // 响应头设置,允许设置Aut
解决问题的8种方案(最新最全)
热门推荐
千里之行,始于足下
02-18 14万+
转自 PheonixHkbxoic 的《前端解决问题的8种方案(最新最全)》 原址:https://www.cnblogs.com/PheonixHkbxoic/p/5760838.html 1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一名下 允许 ...
java 请求问题解决方法实例详解
08-30
Java,处理问题通常涉及修改响应头,以允许特定的请求。在提供的代码实例,我们可以看到一个简单的实现方法: 1. 首先,创建一个名为Util的工具类,其包含一个静态方法`SetHttpServletResponse`。...
java解决请求的两种方法
08-25
Java 解决请求的两种方法是指在 Java Web 开发解决资源共享(Cross-Origin Resource Sharing,CORS)问题的两种常见方法资源共享是指一个名下的资源被另一个名下的资源请求时产生的安全机制,...
关于Ajax问题解决方案详析
01-21
复现Ajax问题 做两个简单的小项目复现Ajax问题. 后端语言使用Java 首先是一个简单的订单系统, 通过访问/loadOrderList, 最终以json串形式返回订单集合. 该项目使用Tomcat发布在7070端口. @RequestMapping(/...
Java问题的处理详解
08-31
Java 处理问题有两种常用的解决方法解决方法一:使用 Access-Control-Allow-Origin 头 在 Servlet 添加 Header 设置: ```java response.setHeader("Access-Control-Allow-Origin", "*"); ``` 这个 ...
九种解决方案
wu13534570560的博客
04-29 662
前后端数据交互经常会碰到请求,什么是,以及有哪几种方式,这是本文要探讨的内容。 本文完整的源代码请猛戳github博客,纸上得来终觉浅,建议动手敲敲代码 一、什么是? 1.什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的...
问题解决方案
slxysyka的博客
01-19 2658
(原因: CORS 头缺少'Access-Control Allow-Origin') 。状态码: 200 产生的问题解决方案
Java问题
weixin_37672801的博客
01-04 1949
Bean// 1.创建 CORS 配置对象// 支持// 是否发送 Cookie// 支持请求方式// 允许的原始请求头部信息// 暴露的头部信息// 2.添加地址映射// 3.返回 CorsFilter 对象}}
几种常见解决方案
江夏、的博客
05-12 1427
一、同源策略 现在很多的项目开发,都实现了前后端分离开发,能够大大提高效率,但是导致前端向后端发送请求,会出现错误。 先说说什么是当访问一个网站时,一个完整的名由传输协议、网络名、名主体和名后缀四个部分组成,如下图所示: 相同后缀的名主体是不能重复。http://www.baidu.com和http://www.google.cn就是两个不同的就是在当前去访问其他的资源。就比如我们在自己的机器上通过ajax去调用百度地图提供的API接口数据,这就是请求。 <!DOCT
java后端进行的几种方式(包括controller的单个、项目所有接口整体
Alfred_tfk的博客
03-14 1321
java后端进行的几种方式(包括controller的单个、项目所有接口整体
解决方法
aliven1的博客
08-25 376
允许下面的配置: 允许method:GET,HEAD,POST; 允许Content-Type:text/plain,multipart/form-data;application/x-www-form-urlencoded; 解决方法限制的方法
在spring boot+vue项目@CrossOrigin 配置了允许但是依然报错解决请求的一次残酷经历
m0_64951177的博客
10-28 1225
前端报错,我一看哎问题,于是后端配置允许各种配置都不好使,问题排查OPTIONS请求不能带自定义token所有后端拦下来请求以后拿不到token,后端拿不到token就直接重定向到错误处理接口然后返回从错误处理接口返回具体的错误情况,首先,说一下我们的项目情况,我们项目后端有一个过滤器,如果必须要登录的接口路径会被拦下来检查,前端要传一个token,然后后端根据这个token来判断redis这个用户是否已经登录。解决办法,判断token之前如果OPTIONS请求直接放行。
Java如何解决问题
06-02
Java,可以通过以下方式解决问题: 1. 使用 CORS(Cross-Origin Resource Sharing):CORS是一种机制,允许服务器在响应请求时设置响应头,从而允许访问。在Java,可以通过在Servlet设置响应头实现CORS。具体做法是在Servlet的doGet()或doPost()方法添加以下代码: resp.setHeader("Access-Control-Allow-Origin", "*"); resp.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); resp.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); 其,Access-Control-Allow-Origin指定允许访问的名,*表示允许所有名访问。Access-Control-Allow-Methods指定允许的请求方法,Access-Control-Allow-Headers指定允许的请求头。 2. 使用 JSONP(JSON with Padding):JSONP是一种解决方案,它通过在请求URL添加一个回调函数名,让服务器返回一个JavaScript脚本,该脚本调用回调函数并将数据作为参数传递给回调函数。在Java,可以通过在Servlet返回一个JavaScript脚本实现JSONP。具体做法是在Servlet的doGet()或doPost()方法添加以下代码: String callback = request.getParameter("callback"); String data = "{ \"name\": \"张三\", \"age\": 20 }"; String result = callback + "(" + data + ")"; response.getWriter().write(result); 其,callback是从请求URL获取的回调函数名,data是要返回的JSON数据,result是将data作为参数传递给回调函数后的JavaScript脚本。 以上两种方式都可以解决问题,但CORS更为安全、灵活,而JSONP则更为简单、易用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值