简单了解跨域问题

最新推荐文章于 2024-07-06 09:00:00 发布
最新推荐文章于 2024-07-06 09:00:00 发布
阅读量482 收藏 1
点赞数
分类专栏: 补充知识 文章标签: javascript 前端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53752829/article/details/122644398
版权

学习目标:

简单了解跨域问题

学习内容:

1、 什么是跨域 2、 为什么要限制跨域 3、 为什么要跨域 4、 跨域的解决方案

学习时间:

2021年12月28日

学习产出:

1、 技术笔记 1 遍 2、CSDN 技术博客 1 篇

什么是跨域

跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的,是浏览器[JavaScript施加的安全限制。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域.

所谓同源是指,域名,协议,端口均相同,只要有一个不同,就是跨域.

URL说明是否允许通信
http://www.a.com/a.js http://www.a.com/b.js同一域名下允许
http://www.a.com/lab/a.js http://www.a.com/script/b.js同一域名下不同文件夹允许
http://www.a.com:8000/a.js http://www.a.com/b.js同一域名,不同端口不允许
http://www.a.com/a.js https://www.a.com/b.js同一域名,不同协议不允许
http://www.a.com/a.js http://script.a.com/b.js主域相同,子域不同不允许
http://www.a.com/a.js http://a.com/b.js同一域名,不同二级域名(同上)不允许(cookie这种情况下也不允许访问)
http://www.cnblogs.com/a.js http://www.a.com/b.js不同域名不允许

为什么浏览器要限制跨域访问呢?

原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题:

1.用户访问www.mybank.com ,登陆并进行网银操作,这时cookie啥的都生成并存放在浏览器

2.用户突然想起件事,并迷迷糊糊地访问了一个邪恶的网站 www.xiee.com

这时该网站就可以在它的页面中,拿到银行的cookie,比如用户名,登陆token等,然后发起对www.mybank.com 的操作。

3.如果这时浏览器不予限制,并且银行也没有做响应的安全处理的话,那么用户的信息有可能就这么泄露了。

为什么要跨域?

既然有安全问题,那为什么又要跨域呢? 有时公司内部有多个不同的子域,比如一个是location.company.com ,而应用是放在app.company.com , 这时想从 app.company.com去访问 location.company.com 的资源就属于跨域。

解决方法

可以通过前端和后端进行解决,前端的跨域解决方案有很多种,这里举例一种后端的解决方案

跨域资源共享(CORS)

W3C 的 Web 工作组推荐了一种新的机制,即跨域资源共享(Cross-origin Resource Sharing),简称CORS。其实这个机制就是实现了跨站访问控制,使得安全地进行跨站数据传输成为可能。

服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。

只需要在后台中加上响应头来允许域请求!在被请求的Response header中加入以下设置,就可以实现跨域访问了!

Spring项目中的解决方法:

​ 方式1:手工设置响应头(HttpServletResponse )

​ 方式2:使用注解(@CrossOrigin)

​ 方式3:返回新的CorsFilter

1.手工设置响应头(局部跨域 ) 使用HttpServletResponse对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里Origin的值也可以设置为"*" ,表示全部放行。

@RequestMapping("/hello")

	@ResponseBody

	public String index(HttpServletResponse response){

		response.addHeader("Access-Control-Allow-Origin",   "http://127.0.0.1:8848");

		return "Hello World";

	}

2.使用注解(局部跨域)

在方法上(@RequestMapping)使用注解 @CrossOrigin

   @RequestMapping("/hello")

	@ResponseBody

	@CrossOrigin("http://127.0.0.1:8848") 

	public String index( ){

		return "Hello World";

	}

或者在控制器(@Controller)上使用注解 @CrossOrigin

3.返回新的CorsFilter(全局跨域)

在任意配置类,返回一个新的CorsFilter Bean,并添加映射路径和具体的CORS配置信息。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import java.util.Collections;
@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        //1,允许任何来源
        corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*"));
        //2,允许任何请求头
        corsConfiguration.addAllowedHeader(CorsConfiguration.ALL);
        //3,允许任何方法
        corsConfiguration.addAllowedMethod(CorsConfiguration.ALL);
        //4,允许凭证
        corsConfiguration.setAllowCredentials(true);

        UrlBasedCorsConfigurationSource source 
= new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(source);
    }
}
金清泽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记使用axios跨域(头允许)问题Access-Control-Allow-Headers
零杠六
06-08 1万+
记使用axios跨域(头允许)问题Access-Control-Allow-Headers
AngularJs解决跨域问题案例详解(简单方法)
10-22
在探讨AngularJs解决跨域问题之前,有必要首先了解一下跨域请求的背景。跨域请求(Cross-Origin Resource Sharing,CORS)是指由于浏览器的同源策略(Same-Origin Policy),当一个域下的网页尝试访问另一个域的资源...
请求头跨域
maichaoqun的博客
11-26 5136
第一次接触nodejs+express+mongoose写接口,过程中踩坑无数,没接触过后端遇到跨域问题真的是一个接着一个问题,经过各种百度和交流群求救才解决问题,虽然我的最终问题有点坑,但还是感谢发烧友的帮助明白了这是一个请求响应头跨域问题,并且致命点在于没搞清楚响应头和请求头之间的关系,实际上响应头和请求头原来是包含关系。 环境 前端框架:vue-cli2.x项目 请求:axios 数据库...
什么是跨域?——详解跨域问题及其解决方案
最新发布
fudaihb的博客
07-06 4712
跨域问题是Web开发中常见且令人困扰的问题之一。理解跨域的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍跨域的概念、产生原因、常见的跨域解决方案,并提供详细的代码示例,帮助读者深入理解跨域问题及其应对方法。
跨域问题以及解决方式
lz010123的博客
04-22 1114
浏览器的同源政策 处于安全性的考虑 他只允许对应的俩者是同源的内容进行交互和访问 不同源的内容不允许访问
请求跨域的两种解决方案
weixin_44635748的博客
03-18 1573
请求跨域的两种解决方案
跨域请求的三种解决方案
m0_52634705的博客
05-14 6171
跨域的三种解决方案一、同源策略二、解决方案1:jsonp三、解决方案2:cors二、解决方案1:jsonp 一、同源策略 ajax无法跨域请求文件。通俗讲就是“浏览器”给js发送请求的限制,你只能给自己域名下的服务器发送请求,不能向别人家的服务器发送请求。 当ajax请求的url中的传输协议、域名、端口号,有任意一个不同时,就会触发同源策略 例如:做一个外卖网站,需要地图定位功能,就可以向百度购买地图服务器的接口使用,我们请求百度的服务器,这就是跨域请求 二、解决方案1:jsonp 1、早期常用的一种解
springboot后端解决跨域问题
08-26
Spring Boot解决跨域问题 在今天的文章中,我们将讨论如何使用Spring ...使用Spring Boot解决跨域问题非常简单,只需要添加@CrossOrigin注解就可以了。同时,我们也需要了解什么是跨域、同一个域、CSRF等相关知识点。
简单了解django处理跨域请求最佳解决方案
09-17
在Django中,推荐使用`django-cors-headers`这个第三方库来处理跨域问题。 **1. 安装`django-cors-headers`** 首先,你需要在你的Django项目环境中安装这个库,可以通过以下命令进行安装: ``` pip install ...
nodejs搭建本地服务器轻松解决跨域问题
10-18
在本文中,我们将深入探讨如何使用Node.js搭建本地服务器来轻松解决跨域问题跨域问题通常发生在浏览器的安全策略之下,限制了JavaScript从一个源(协议+域名+端口)发送Ajax请求到另一个源。然而,开发过程中经常...
允许跨域请求
hai__zi的博客
06-03 134
FullHttpResponse 在请求头上加上下面的东西就行了 response.headers().set( ACCESS_CONTROL_ALLOW_ORIGIN, "*"); response.headers().set( ACCESS_CONTROL_ALLOW_HEADERS, "Origin, X-Requested-With, Content-Type, Accept"); response.headers().set( ACCESS_CONTROL_ALLOW_METHODS, "G
跨域访问-需要设置HTTP响应标头设置
05-05
解决跨域访问-需要设置HTTP响应标头设置
HTTP 请求头CORS 跨域请求详解
ili_ii的博客
02-24 5241
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。
前端添加自定义请求头,请求出现跨域问题
weixin_59244784的博客
04-07 549
前端添加自定义请求头,请求出现跨域问题
几种允许跨域请求的方法
qcyfred的博客
03-18 7944
跨域请求 Cross-Origin Resource Sharing(CORS) 被禁止”这个问题,应该很常见了。在此,列举一些我试验过的几种办法。
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 5515
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
axios 发送 header 并且设置允许跨域
小羽的博客
11-06 6605
axios.post(`/api`, obj, { headers: {'Token': 'xxxxx'} }) 别忘了后端要设置允许的自定义header参数 response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT, HEAD"); //这里设置允许的自定义header参数 resp
服务器返回头部允许跨域
小唯一的博客
05-24 5964
1、前端通过Options方式发送请求; 2、服务端判断isOptions是否为true,为true返回以下头部,允许浏览器跨域 header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");  header("Cache-Control: no-store, must-revalidate");  header("Pragma: no-
处理跨域headers的问题​
guabghaibaoan的博客
06-28 401
这样就可以获取了问题是解决了,但是原因是什么呢,为什么要在后台多写这一步呢?
Ajax跨域解决方案:JSONP、CORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONP、CORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值