化繁为简解决前端跨域问题

最新推荐文章于 2024-09-06 14:43:21 发布
最新推荐文章于 2024-09-06 14:43:21 发布
阅读量300 收藏
点赞数
分类专栏: javaScript SpringBoot 文章标签: 服务器 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37801862/article/details/127563917
版权

以下考虑的场景非前后端分离项目的跨域,就是要请求其他非同源的接口

不考虑域名端口号ip 按协议划分 

https =>https/http      可以跨域

http =>http                可以跨域

http =>https              不可以跨域    尝试iframe或者后端转发还有ws..

简单请求足以满足大多数跨域请求

很多时候可能不了解这一点比如我... 如果你不小心使用了json格式

'Content-type':'application/json;charset=utf-8' 都不会满足这个简单请求而被拦截

大多数仅仅是数据交互简单请求已经足够

浏览器将CORS请求分为两类:简单请求(simple request)和非简单请求(not-simple-request),简单请求浏览器不会预检,而非简单请求会预检。

同时满足下列三大条件,就属于简单请求,否则属于非简单请求

  • 请求方式只能是:GET、POST、HEAD

  • HTTP请求头限制这几种字段:Accept、Accept-Language、Content-Language、Content-Type、Last-Event-ID

  • Content-type只能取:application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求,浏览器直接请求,会在请求头信息中,增加一个origin字段,来说明本次请求来自哪个源(协议+域名+端口)。服务器根据这个值,来决定是否同意该请求,服务器返回的响应会多几个头信息字段,如图所示:上面的头信息中,三个与CORS请求相关,都是以Access-Control-开头。

  • Access-Control-Allow-Origin:该字段是必须的,* 表示接受任意域名的请求,还可以指定域名

  • Access-Control-Allow-Credentials:该字段可选,是个布尔值,表示是否可以携带cookie,(注意:如果Access-Control-Allow-Origin字段设置*,此字段设为true无效)

  • Access-Control-Allow-Headers:该字段可选,里面可以获取Cache-Control、Content-Type、Expires等,如果想要拿到其他字段,就可以在这个字段中指定。

    前端满足简单请求    GET  POST   设置Content-type

  var params = {
    "username": 'username',
    "content": ''
  };
  var url = 'http://cjqu4r.natappfree.cc/test2';
  // url = 'https://api.doctorxiong.club/v1/stock/kline/day?code=600010';

  fetch(url, {
      //注释的这些没什么卵用
      method: 'POST',
      // credentials: 'include',
      headers:{
        'Accept': '*/*',
        // 'Access-Control-Allow-Origin':'*',
        // 'Access-Control-Allow-Headers':'*',
        // 'Origin':'cjqu4r.natappfree.cc',
        'Content-Type':'application/x-www-form-urlencoded'
        // 'Content-Type':'text/plain'
        // 'Content-type':'application/json;charset=utf-8'
      },
      // mode: 'cors',
      body: JSON.stringify(params)
    })
    .then(function (response) {
      return response.json()
    })
    .then(function (data) {
      console.log(data)
    })

    后端简单配置跨域 即可实现大多数跨域请求 

        response.setHeader("Access-Control-Allow-Origin", ((HttpServletRequest) req).getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Disposition,Origin, X-Requested-With, Content-Type, Accept,Authorization,id_token");
        response.setHeader("Access-Control-Allow-Credentials","true");
        response.setHeader("Content-Security-Policy", "default-src 'self' 'unsafe-inline'; script-src 'self'; frame-ancestors 'self'; object-src 'none'");
        response.setHeader("X-Content-Type-Options", "nosniff");
        response.setHeader("X-XSS-Protection", "1; mode=block");
        // POST 方式要从流里读数据
        InputStream in = request.getInputStream();

		BufferedReader bin = new BufferedReader(new InputStreamReader(in,
				"utf-8"));
		String line = null;
		StringBuffer content = new StringBuffer();
		while ((line = bin.readLine()) != null) {
			content.append(line);
		}
		System.err.println(content);
		JSONObject jsonObject = JSONObject.parseObject(content.toString());
		System.err.println(jsonObject.get("username"));

		JSONObject json = new JSONObject();
		json.put("code", "200");
		json.put("msg", "ok");
		json.put("args", content.toString());

  其他跨域方式

  • nodejs项目框架可以设置代理
  • 通过jsonp跨域  只能请求GET
  • 通过document.domain+iframe来跨子域
  • 使用window.name+iframe来进行跨域
  • 使用window.postMessage方法来跨域

 

https引起的跨域问题-COE&casestudy_java_编程一生-DevPress官方社区

js处理的8种跨域方法 - lcspring - 博客园 (cnblogs.com)

(100条消息) 解决iframe跨域跟父级进行通讯问题【postMessage】 重点是跨域进行通讯!_耶稣与梦的博客-CSDN博客_parent.postmessage

童话破灭i
关注
专栏目录
wujie微前端接入笔记
weixin_39818813的博客
04-19 1228
前端是一种软件架构模式,旨在将前端应用程序拆分为更小、更独立的部分,这些部分可以独立开发、部署和维护。每个微前端部分代表着一个小型的前端应用,可以由不同的团队独立开发,并且可以独立部署到生产环境中。这种模式使得团队可以更灵活地构建和扩展前端应用,同时降低了应用的复杂性和维护成本。通过微前端,不同团队可以在不同的技术栈下开发各自的前端功能,并将它们组合成一个完整的前端应用。
前端面试题 HTML5的优势有哪些?
weixin_59519449的博客
04-05 336
从HTML4.0、XHTML到HTML5,从某种意义上讲,这是HTML描述性标记语言的一种更加规范的过程。因此,HTML5并没有给开发者带来多大的冲击。但HTML5增加了很多非常实用的新功能和新特性,下面具体介绍HTML5的一些优势。 1、 解决了跨浏览器问题 在HTML5之前,各大浏览器厂商为了争夺市场占有率,会在各自的浏览器中增加各种各样的功能,并且不具有统一的标准。使用不同的浏览器,常常看到不同的页面效果。在HTML5中,纳入了所有合理的扩展功能,具备良好的跨平台性能。针对不支持新标签的老式I..
CSP绕过
weixin_42478365的博客
05-10 3166
01 比赛中常见的绕过CSP 目前在比赛中常见的绕过 CSP 一般是: script-src 'self' 'unsafe-inline' script-src 'self' 'unsafe-eval' script-src 'nonce-*' xx-src self script-srcself’ 代表着只能加载符合同源策略的文件,直接插入至 html 页面中的静态 script 标签将无法执行。结合其他 CSP 来看,常用的 iframe,object 等标签也是无法被绕过的。 下面分别分析
CSP unsafe-inline时, 引入外部js
测试
07-15 9982
前言原文: https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa用自己的理解, 把这个文章比较通俗的翻译补充了一下。 利用场景当csp有Unsafe-inline时, 并且受限于csp无法直接引入外部js, 当frame-srcself, 或者能引入当前域的资源的时...
Refused to load the script
最新发布
weixin_44719499的博客
09-06 2053
如果你的网页对安全性要求较高,建议细化 CSP 策略,允许特定的外部脚本加载。如果是临时调试或测试,可以放宽 CSP 规则,但请谨慎使用。
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 4286
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
手把手教你CSP系列之script-src
菜鸟路上的小白
08-04 3346
HTTP Content-Security-Policy(CSP)script-src指令为JavaScript的源指定有效来源。这不仅包括直接加载到。
Uncaught EvalError: Refused to evaluate a string as JavaScript
gao_zhennan的博客
07-27 1万+
【Uncaught EvalError 已解决】 本文不仅解决了问题,还介绍了问题发生的原因。。重点在于介绍了:内容安全策略,策略指令
前端面试题
热门推荐
qq_41887655的博客
08-08 2万+
前端面试题汇总 一、HTML和CSS 21 你做的页面在哪些流览器测试过?这些浏览器的内核分别是什么? 21 每个HTML文件里开头都有个很重要的东西,Doctype,知道这是干什么的吗? 21 Quirks模式是什么?它和Standards模式有什么区别 21 div+css的布局较table布局有什么优点? 22 img的alt与title有何异同? strong与em的异同? 22 你能...
前端VUE及PHP常见业务场景概括小结(程序猿提薪必备!!!)
Skr_Tao的博客
03-28 667
1.什么是IOC IOC是Inversion of Control的缩写,多数书籍翻译成“控制反转”。 1996年,Michael Mattson在一篇有关探讨面向对象框架的文章中,首先提出了IOC 这个概念。对于面向对象设计及编程的基本思想,前面我们已经讲了很多了,不再赘述,简单来说就是把复杂系统分解成相互合作的对象,这些对象类通过封装以后,内部实现对外部是透明的,从而降低了解决问题的复杂度,而且可以灵活地被重用和扩展。 IOC理论提出的观点大体是这样的:借助于“第三方”实现具有依赖关系的对象之间的解耦。
vue面试题合集(强烈推荐)
weixin_62765236的博客
09-22 615
vue面试题合集(强烈推荐)
【XSS技巧拓展】————7、CSP浅析与简单的bypass
Fly_鹏程万里
01-14 2589
什么是CSP? Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。 简单来说,csp就是为了减少xss,csrf等攻击的,是通过控制可信来源的方式,类似于同源策略… CSP以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义...
Python 全栈安全(四)
龙哥盟
04-21 1088
策略由指令组成;指令由源组成。每个额外的源都会扩大攻击面。源由 URL 的协议、主机和端口定义。一次性源在none和之间取得平衡。CSP 是你可以投资的最廉价的防御层之一。报告指令会在其他防御层失败时通知您。假设 Alice 部署了 admin.alice.com,作为她在线银行的管理对应物。像其他管理系统一样,admin.alice.com 允许像 Alice 这样的管理员管理其他用户的组成员资格。
前后端分离项目,如何解决跨域问题
weixin_42907150的博客
03-10 863
跨域资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题
Spring Security配置内容安全策略
Nicky's blog
05-27 6364
内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 7199
【XSS绕过-合集】
解决请求头兼容导致跨域报错问题
m0_62877814的博客
12-26 347
解决请求头兼容导致跨域报错问题
【爬虫】爬取天天基金历史净值数据&基金收益可视化~
AwesomeTang
04-19 6489
目录前言爬虫接口获取完整代码数据可视化完整代码 前言 如需转载请先私信联系!!! 全文分为两个部分: 一部分为爬虫,根据基金代码爬取历史净值数据; 一部分为可视化,通过pyecharts绘制基金收益图表; 爬虫 这边以诺安成长混合基金为例,其他基金也一样; 接口获取 打开http://fundf10.eastmoney.com/jjjz_320007.html,然后F12打开控制台,找到下面窗口进行翻页操作,注意顺序不要颠倒; 每次翻页操作在后台就会出现一个新的请求,点击preview可以发
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值