熟悉又陌生的跨域访问与CORS

最新推荐文章于 2022-11-17 17:15:11 发布
最新推荐文章于 2022-11-17 17:15:11 发布
阅读量419 收藏
点赞数
分类专栏: 技术分享 文章标签: CORS 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovejj1994/article/details/80485509
版权

说到跨域访问,是既熟悉又陌生,熟悉是因为只要做过web项目,尤其是前后端分离的项目,都碰到过ajax跨域访问的麻烦,跨域访问就如字面意思,只要协议、域名、端口有任何一个不同,都被当作是不同的域。对于跨域访问,是有限制的;陌生的是,很多跨域无法访问的问题只能一味网上找解决方案,而不知道跨域乃至CORS的原理,配置出了问题不知道如何下手, 所以这次记录一下彻底解决下跨域的问题。

为什么要有跨域限制

拒绝其它域名的访问想想理由也很简单,如果没有跨域访问限制,别人拿你的cookie伪造你的身份,任何人都能伪造请求,安全性会出现问题。

CORS跨域资源共享

如果要放开限制,可以采用CORS跨域资源共享,CORS 基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功还是失败。JSONP方案我没用过,听说有限制,不如CORS。

CORS 在后端的设置主要在于检查 请求头,检查的内容包括但不限于

  • Origin:请求源:发送请求的服务器域名
  • Methods:请求方式:如POST,GET
  • Headers:可以携带的请求头信息:包括 “Content-Type”,“Origin“,”Accept“ 等
  • Credentials:可否携带cookies

具体的检查代码:

@Component
public class CorsFilter implements Filter {

    final static org.slf4j.Logger logger = org.slf4j.LoggerFactory.getLogger(CorsFilter.class);

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;

        HttpServletRequest reqs = (HttpServletRequest) req;
		//检查Origin是否符合,因为这里直接取的 请求头的Origin地址,所以相当于不限制请求源是哪里
        response.setHeader("Access-Control-Allow-Origin", reqs.getHeader("Origin"));
        //这里设置服务器允许带cookie
        response.setHeader("Access-Control-Allow-Credentials", "true");
        //这里设置服务器允许POST, GET, OPTIONS, DELETE四种请求Method来请求
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        //这里设置服务器允许额外携带的请求头Origin, header1, header2, header3, X-Requested-With, Content-Type, Accept等字段
        response.setHeader("Access-Control-Allow-Headers", "Origin, header1, header2, header3, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

CORS跨域访问分两种情况:

第一种情况

:如果Content-Type是application/x-www-form-urlencoded, multipart/form-data, 或者 text/plain,或者请求方法不是PUT或DELETE,则是普通情况处理
下图是普通情况跨域的请求和返回信息:
这里写图片描述

发送的Request Header除了常见的,额外的就是”Origin“字段;后台也会返回Access-Control-Allow-Origin的设置值,浏览器发现Origin字段不在Access-Control-Allow-Origin的设置值范围内,那就会报错,跨域访问就会失败。

第二种情况

前面说到,如果Content-Type是application/x-www-form-urlencoded, multipart/form-data, 或者 text/plain,或者请求方法不是PUT或DELETE,则是普通情况处理;


那相反的,如果Content-Type不是application/x-www-form-urlencoded, multipart/form-data, 或者 text/plain,比如application/json,或者请求方法是PUT或DELETE,就会在正式访问前增加一次HTTP OPTIONS查询请求,大白话就是浏览器会先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP Method和头信息字段(Headers)。只有得到肯定答复,浏览器才会发出正式的请求,否则就报错。

jquery的ajax文档中也有类似描述

这里写图片描述

那我们再看下第二种情况下 跨域的请求和返回信息:
这里写图片描述

截图的是OPTIONS请求,后面正式的请求跟普通情况下的无异,就不讨论。OPTIONS请求你会发现多了两个Access-Control-Request-Methods和Access-Control-Request-Headers。这两个内容跟后台设置的Access-Control-Allow-Methods和Access-Control-Allow-Headers匹配

图中返回信息的Allow就是服务器返回的支持的方法。特别也要注意Access-Control-Allow-Headers的设置,在之前的一个项目中,我就是因为后台在设置Access-Control-Allow-Headers的时候,没有加上”Content-Type“,导致当前台传的Access-Control-Request-Headers带有”Content-Type“的时候,游览器会因为匹配不上而报错。

结语

以上就是跨域和CORS流程的梳理,知己知彼,百战百胜,只有了解机制才能方便我们在跨域访问时早点定位问题所在。在这里再推荐一篇文章,对于跨域和CORS有更细致的讲解,特分享给大家:

http://www.ruanyifeng.com/blog/2016/04/cors.html
葵续浅笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈CORS如何实现跨域访问
此鱼非闲鱼也的博客
04-10 588
CORS全称"跨域资源共享"(Cross-origin resource sharing)。 跨域资源共享是一份浏览器技术的规范,以避开浏览器的同源策略 CORS约定服务器端和浏览器在HTTP协议之上,通过一些额外HTTP头部信息,进行跨域资源共享的协商。服务器端和浏览器都必需遵循规范中的要求。 XMLHttpRequest支持通过withCredentials属性实现在跨域请求携带身份信息(Cr...
跨域资源访问CORS
最新发布
weixin_57726902的博客
11-24 688
CORS()是由W3C定制的一种跨域资源共享技术,其目的就是为例解决前端的跨域请求。在javaEE开发中,最常见的前端跨域请求解决方案时JSONP,但是JSONP只支持GET请求;什么是JavaEE请求:它的原理是借助script标签不受浏览器同源策略限制,允许跨域请求资源,因此可以通过script标签的src属性,进行跨域访问。// 1. 前端定义一个 回调函数 handleResponse 用来接收后端返回的数据 function handleResponse(data) {};
跨域cors解决跨域
weixin_50769390的博客
11-17 1815
跨域问题及Springboot处理cors跨域
记一次跨域请求cors失败
raycuizm的博客
07-01 468
项目场景: 在很久之前,自己写过一篇关于跨域的笔记。今天再来一次。 问题描述: 处理跨域的方式,有很多种。有jsonp、cors,还有再服务端进行反向代理等。根据不同的场景可以选用不同的方式。根据公司的业务场景,只能进行使用cors方式进行跨域。业务场景,就是在A站打开的HTML中JS脚本到B站进行请求。在脚本对B站进行请求时,就会涉及简单请求和非简单请求。具体可以参看阮一峰老师的 跨域资源共享 CORS 详解 文章。 在预请求也是成功后,到真正的POST请求时报错了。在然后自己换成GET,又可以成功。然
ajax接口请求成功报cors,POST AJAX请求被拒绝-CORS
weixin_28993311的博客
08-05 1119
我在端口5000的node.js服务器上设置了CORS,如下所示:var app = express();app.use(cors()); //normal CORSapp.options('*', cors()); //preflightapp.post('/connect', function(req, res) {console.log("Connection request receive...
Vue进阶(二十): 请求方式详解
IT全栈 华强工作室
12-20 3736
1.resource请求 cnpm install vue-resource --save import VueResource from 'vue-resource' Vue.use(VueResource) this.$http.get("") 2.axios 请求 cnpm install axios --save axios.defaults.baseURL = "根地址" //vu...
java后端解决跨域问题 新建一个filter 复制代码 public class SimpleCORSFilter implements Filter{ @Override
insis_mo的博客
01-18 1655
java后端解决跨域问题新建一个filterpublic class LoginFilter implements Filter{ @Override public void destroy() { } @Override public void doFilter(ServletRequest req,
跨域资源共享CORS的那些事(一)
绯浅yousa的笔记
09-10 853
跨域资源共享CORS的那些事(一) 最近在为高性能开源API网关apisix写跨域插件,发现该功能对协议要求要比较熟悉,借此机会重新复习下跨域协议,以及简要写下跨域功能的设计 什么是跨域? 同源政策 在讲跨域之前,反过来想,什么时候是不跨域,也就是所谓的什么是同源? 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 C...
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 3054
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
跨域请求的完美解决方法(JSONP, CORS)
10-22
跨域问题是指在一个Web页面中,通过JavaScript的Ajax请求无法直接访问不同域名下的资源,这是因为浏览器的同源策略限制。同源策略要求网页只能访问与它自身同源的资源,这里的“源”包括协议、域名和端口号。如果一...
Moesif Origin & CORS Changer
09-04
Chrome插件 主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题主要解决跨域问题
跨域图片资源权限(CORS enabled image)
09-22
跨域图片资源权限(CORS enabled image)是指在Web页面中,当使用canvas元素加载并展示其他域(即非当前源)的图片...开发者应当熟悉相关的CORS设置以及浏览器的行为,从而在跨域资源共享时,确保应用的安全性和性能。
html跨域请求头,利用CORS实现跨域请求 | NewHTML
weixin_31539461的博客
06-05 1438
跨域请求一直是网页编程中的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题。不过现在,我们可以考虑一下W3C中一项新的特性——CORS(Cross-Origin Resource Sharing)了。客户端创建XmlHttpRequest对象对于CORS,Chrome、FireFox以及Safari,需要使用XmlHttpRequest2对象;而对于IE,则需要使用XDomainR...
springboot前后端分离解决跨域问题 两种方法
yangming987的博客
06-24 1606
前言 在日常项目可能会出现前端解决跨域失效的问题,或者前后端分离时多个前端系统同时访问同一服务时进行统一的跨域处理,这时候就需要协助前端在后端完成对请求跨域问题的解决。 方法1 继承WebMvcConfigurerAdapter 首先这里的WebMvcConfigurerAdapter主要功能是在spring-mvc中,针对http请求统一性的@bean式的配置处理。直接上代码 /** * <p>Title: ConfigInterceptor.java</p> * <p
WebLogic跨域访问安全问题
崔向阳@李晓的博客
05-24 2047
问题描述:在外网有一台113的机器上面有一个7001的weblogic服务,上面搭建了weblogic JMS服务器。在内网同一样有一台机器作为JMS消息的消费者和生产者,要从外网113机器的JMS消息队列接收消息,并处理结束后,向外网113机器的JMS返回消息队列发送一条消息。这时部署完工程以后,启动,就出现了Weblogic跨域的问题。1、错误描述1.1、jms服务端不停的报:&lt;2013...
用nginx的反向代理机制解决前端跨域问题
weixin_30314793的博客
12-22 311
1.什么是跨域以及产生原因   跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。   跨域情况如下: url 说明 是否跨域 http://www.cnblogs.com/a.jshttp://w...
AJAX跨域产生原因及解决方法
热门推荐
一杯蓝莓
06-11 2万+
什么是跨域:        跨域问题来源于JavaScript的同源策略,即只有 协议+主机名+端口号 (如存在)相同,则允许相互访问。也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源。跨域问题是针对JS和ajax的,html本身没有跨域问题,比如a标签、script标签、甚至form标签(可以直接跨域发送数据并接收数据)等 AJAX产生跨域原因:(3个问题同...
使用CORS解决跨域问题
huxiaodong1994的博客
06-25 1346
一、产生跨域的原因: 浏览器会向服务器发送一个Option方法的预检请求,如果服务器拒绝响应,浏览器就无法访问。因此我们可以针对Option请求来处理跨域问题。 二、解决办法: 在spingboot中针对option请求添加一个准入机制: @SpringBootApplication public class BackendApp { public static void m...
如果想要获得最近1小时访问服务器的请求数?
知道自己还有很多不知道的事
11-18 1550
如果想要获得最近1小时访问服务器的请求数?: 队列 Bit Map
详解Javascript跨域后台设置与CORS机制
- 服务端必须设置`Access-Control-Allow-Origin`头,允许特定的源或所有源("*"通配符)进行跨域访问。这是解决跨域问题的基础,如果没有这个头,浏览器会拒绝非同源的请求。 2. **处理Cookie**: - 当客户端(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值