开发撞墙之难搞的跨域问题(CORS、SHIRO、PreFlight)

最新推荐文章于 2024-04-15 09:30:00 发布
最新推荐文章于 2024-04-15 09:30:00 发布
阅读量585 收藏 2
点赞数
分类专栏: 后端开发 文章标签: http shiro ajax跨域问题 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45286345/article/details/120563268
版权

        初初实习,接触到的项目,各种过滤器、拦截器、安全框架以及封装。

        写了个小小的请求,谁知道就遇到了经典的跨域问题,首先最好的思路当然就是先分析项目运行当中请求经过的顺序,了解http请求组成部分

问题分析: 

1)请求参数问题:

  • 前端请求传Json对象则后端使用@RequestParam。
  • 前端请求传Json对象的字符串则后端使用@RequestBody。
  • ajax请求内容里使用了data:"value="+value,请一定要用注解对应参数。
  • ajax请求中多个参数,请一定要用注解对应参数。

总结:反正谨慎一点就对了...(主要是人菜)

2)CORS过滤器

@Configuration
public class CORSConfiguration extends WebMvcConfigurerAdapter {
   @Override
   public void addCorsMappings(CorsRegistry registry){
      registry.addMapping("/**")
         .allowedMethods("*")
         .allowedOrigins("*")
         .allowedHeaders("*")
         .maxAge(3600);
      // wCredentials(false),//允许cookied携带
   }
}

3)SHIRO安全框架配置请求头OPTION内容

这里有两个概念:1.SHIRO框架    2.OPTION请求(PreFlight)

PreFlight

在正式跨域的请求前,浏览器会根据需要,发起一个“PreFlight”(也就是Option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源,或者域),还有是否需要Credentials(认证信息)

一、为什么会出现options请求呢?

 跨域请求中,options请求是浏览器自发起的preflight request(预检请求),以检测实际请求是否可以被浏览器接受。

preflight request请求报文中有两个需要关注的首部字段:

(1)Access-Control-Request-Method:告知服务器实际请求所使用的HTTP方法;

(2)Access-Control-Request-Headers:告知服务器实际请求所携带的自定义首部字段。

同时服务器也会添加origin header,告知服务器实际请求的客户端的地址。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。

服务器所返回的Access-Control-Allow-Methods首部字段将所有允许的请求方法告知客户端,返回将所有Access-Control-Request-Headers首部字段将所有允许的自定义首部字段告知客户端。此外,服务器端可返回Access-Control-Max-Age首部字段,允许浏览器在指定时间内,无需再发送预检请求,直接用本次结果即可。

在我们开发过程中出现的浏览器自发起的options请求就是上面的第二种情况。实际上,跨域请求中的”复杂请求”发出前会进行一次方法是options的preflight request。

二、当跨域请求是简单请求时不会进行preflight request,只有复杂请求才会进行preflight request。

复杂请求:

        1.使用方法put或者delete;

        2.发送json格式的数据(content-type: application/json)

        3.请求中带有自定义头部;

简单请求:

Mozilla对于简单请求的要求是以下三项必须都成立:

        ① 只能是Get、Head、Post方法

        ②除了浏览器自己在Http头上加的信息(如Connection、User-Agent),开发者只能加这                   几 个:Accept、Accept-Language、Content-Type等...

        ③ Content-Type只能取这几个值:

        *application/x-www-form-urlencoded

       *multipart/form-data

       *text/plain

三、为什么跨域的复杂请求需要preflight request?

复杂请求可能对服务器数据产生副作用。例如delete或者put,都会对服务器数据进行修改,所以在请求之前都要先询问服务器,当前网页所在域名是否在服务器的许可名单中,服务器允许后,浏览器才会发出正式的请求,否则不发送正式请求。

那么知道了OPTION请求后只需要在SHIRO的任意拦截方法中添加OPTION请求头的设置内容即可

//以下为简化后在验证用户信息的方法中添加的请求头设置内容,注意shiro拦截使用方法(注解)
@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;
		// 处理CORS的options请求
		if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
			String origin = httpRequest.getHeader("Origin");
			httpResponse.setHeader("Access-control-Allow-Origin", origin);
			httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
			httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
			httpResponse.setHeader("Access-Control-Allow-Headers",
					httpRequest.getHeader("Access-Control-Request-Headers"));
			httpResponse.setStatus(HttpStatus.SC_OK);
			return false;
		}
		return true;
	}

4)SHIRO过滤器

如果SHIRO还配置了过滤器那么只需要在过滤器中将你发起的请求对应的接口进行放行即可。

 @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
          ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
          shiroFilter.setSecurityManager(securityManager);

          Map<String, String> filterMap = new LinkedHashMap<>();
          filterMap.put("/api/apiName","anon");

          shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

CheeseGuy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue axios 解决跨域问题CORS
07-08
开发Web应用时,我们经常会遇到“跨域”(CORS)的问题,特别是在使用Vue.js框架和axios库进行API调用时。Vue.js是一个轻量级的前端框架,而axios则是一个基于Promise的HTTP库,它广泛用于Vue项目中进行数据获取和...
C# WebApi CORS跨域问题解决方案
08-27
C# WebApi CORS跨域问题解决方案 在Web开发中,跨域问题是一个常见的挑战,尤其在使用C# WebApi构建后端服务时。为了解决这个问题,我们可以利用CORS跨域资源共享)机制。本文将深入探讨CORS的背景、工作原理以及...
浏览器发送option请求成功后不发送post请求
a648060249的博客
12-19 7092
问题 浏览器发送option请求成功后不发送get/post请求,浏览器报错 Request header field xfilesize is not allowed by Access-Control-Allow-Headers 原因 跨域请求中,options请求是浏览器自发起的preflight request(预检请求),以检测实际请求是否可以被浏览器接受。 preflight requ...
http跨域时的options请求
weixin_34290352的博客
11-27 655
一、简介 出于安全考虑,并不是所有域名访问后端服务都可以。其实在正式跨域之前,浏览器会根据需要发起一次预检(也就是option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源或者域),还有是否需要Credentials(认证信息)等。那么浏览器在什么情况下能预检呢? 二、两种请求方式 浏览器将CORS请求分为两类:简单请求(simple re...
OPTIONS 方法在跨域请求(CORS)中的应用
热门推荐
明天回火星
05-04 4万+
原文  http://stylechen.com/options-cors.html OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式
OPTIONS请求跨域
qq_40952918的博客
11-18 549
OPTIONS请求跨域
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序中跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
Spring boot 和Vue开发CORS跨域问题解决
12-11
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。...这个问题是典型的CORS跨域问题。 所谓跨域跨域
Spring boot 总结之跨域处理cors的方法
08-28
跨域问题是 Web 开发中经常遇到的问题。解决方案有 JSONP、iframe、CORS 等等。JSONP 只能实现 GET 请求,而 CORS 支持所有类型的 HTTP 请求。使用 CORS开发者可以使用普通的 XMLHttpRequest 发起请求和获得数据,...
【爬虫】关于 HTTP 的 OPTIONS 请求
Ezrealer的博客
06-10 3779
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法; 简单来说,就是可以用 options 请求去嗅探某个请求在对应的服务器中都支持哪种请求方法; 前端一般不会主动发起这个请求,但是通过F12 debug页面,一般可以看到 相同的请求会有两次,其中一次的 Request Method 是 OPTIONS; 因为在跨域的情况下,在浏览器发起"复杂请求"时主动发起的。跨域共享标准规
跨域OPTIONS请求
bloestone的博客
06-09 658
vue前端调用了两个GET请求,都通过header传递参数,在前端打印两个请求headers参数是一样的,运行时其中一个能正常传递参数SessionId,另外一个则不能:正常传递: 不能正常传递: 对比两个请求,一个是GET请求,另外一个是OPTIONS请求,不清楚get2接口为什么会产生OPTIONS请求,OPTIONS是浏览器预检查请求,请求成功后才会发起GET、POST等请求,暂时在后端将OPTIONS请求直接放过。......
option请求与跨域
LKMMKL
12-04 998
以前也知道HTTP请求中有option方法,只是大概知道是用来询问服务器支持什么请求方法的,直到今天遇到了一个很奇怪的问题,才对option方法有更深一步的理解。 前提:项目是vue+django,我把前端项目运行起来,使用http://localhost/xx来展示前端项目,而django则用http://127.0.0.1/ 来允许服务,当我向后端发送一个POST请求时,奇怪的事情发生了,后端...
CORS 跨域问题解决&&预检(OPTIONS)请求解释
最新发布
weixin_42118323的博客
04-15 3472
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该跨域请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决跨域问题,只使用一种解决问题即可,不要同时配置多个。
Django rest_framework 解决 前端发送OPTIONS请求后没有继续发送POST请求
qq_42087317的博客
01-12 524
【代码】Django rest_framework 解决 前端发送OPTIONS请求后没有继续发送POST请求。
跨域时,遇到的 options 请求详解
huangpb的博客
03-03 551
HTTP 的 options 方法 用于获取目的资源所支持的通信选项。
仅发送options请求,没有发送post解决方案
asdfgh0077的博客
12-04 1354
仅发送options请求,没有发送post解决方案
跨域问题的OPTIONS预查请求后未发送POST请求
平凡老者
03-02 1731
工作中遇到的 OPTIONS 请求发起响应200但未发送POST业务请求
跨域中option请求详解
weixin_30432179的博客
07-31 529
在正式跨域的请求前,浏览器会根据需要,发起一个“PreFlight”(也就是Option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源,或者域),还有是否需要Credentials(认证信息) 三种场景: 1. 如果跨域的请求是Simple Request(简单请求 ),则不会触发“PreFlight”。Mozilla对于简单请求的要求...
OPTIONS请求(跨域预检查)
ACGkaka的博客
03-15 1670
OPTIONS请求(跨域预检查)
实现简单的跨域问题cors
05-16
要解决跨域问题,需要在服务器端设置响应头信息,告诉浏览器该请求允许跨域访问。具体步骤如下: ...以上就是实现简单的跨域问题cors的步骤,需要注意的是,不同的服务器端语言和框架实现方式可能有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值