CORS跨域预检

最新推荐文章于 2023-06-30 10:38:21 发布
最新推荐文章于 2023-06-30 10:38:21 发布
阅读量420 收藏
点赞数
文章标签: 前端 javascript vue.js angular react.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72259926/article/details/128365045
版权

CORS跨域预检

简单记录一下CORS跨域预检踩得坑。

0、搜索匹配

  • 前端莫名自动发起两次请求,而代码中只请求了一次。
  • 前端自动发起OPTIONS请求。
  • 后端设置了Access-Control-Allow-Origin允许跨域,前端仍 CORS error跨域错误。

1、背景

前端页面地址:http://localhost:4001
后端接口地址:http://localhost:8080

前端跨域请求后端,方式的GET,请求头中添加了我们自定义的名为token的header,请求情况大致如下:

GET http://localhost:8080/login.action

headers:

KEYVALUE
省略默认的HTTP标准头
Token002e9b401eca4f28b4221dc141541e3f

对应的大致代码如下:

    let url = "http://localhost:8080/login.action";
    const headers = new HttpHeaders({ "Token": "002e9b401eca4f28b4221dc141541e3f" });
    this.httpClient.get<any>(url, { headers: headers }).subscribe({
      next: (v) => { console.log("成功了") },
      error: (e) => { console.log("失败了") },
      complete: () => { console.log("完成了") }
    });

2、问题

表现是请求未成功。F12开发者选项检查网络请求,发现前端发起了两次接口请求,请求方式分别是OPTIONSGET,但是前端代码中确实只写了一次请求。

其中OPTIONS请求的结果是 200GET请求的结果是 CORS error

后端Debug调试发现,第一次请求是OPTIONS,且请求头里面并没有 Token ,断点继续往下走,后端没有抛出异常,成功响应了“ 200 [OK] ”。

诡异的是,在我后端断点中断的时候,前端F12开发者工具中看到两次请求都是 pending (表示请求阻塞中,服务器还未响应请求结果),当我放开断点,两个请求同时有了结果,即一个 200[OK] ,一个 CORS error 跨域错误。且后端并未收到第二次请求(即应为GET方式的请求)。

3、分析

经查阅资料发现,这种两次请求的行为叫 【CORS跨域预检 / CORS Preflight】 ,满足某些条件的请求将会触发该行为,具体规则见尾部附加的参考资料。个人理解是,OPTIONS请求完成后浏览器会检查响应结果(尤其是response header响应头),对于不符合条件的响应结果浏览器将直接按CORS error跨域错误来处理(并不会发起正式请求),对于符合条件的响应结果才会正式发起请求(即本文中的GET请求)。

4、解决

解决方法是在响应体中添加满足CORS预检条件的response header响应头(仅列出必须携带的响应头):

Access-Control-Allow-Origin: https://your.domain.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Allow-Headers: X-Custom-Header, My-DIY-Header

讲解:

  • Access-Control-Allow-Origin头是大家最熟悉的允许跨域的站点,许多懒省事的开发者会将其不安全的设置为 Access-Control-Allow-Origin: *,即允许所有站点的跨域请求。

  • Access-Control-Allow-Methods是大多数查询CORS跨域预检资料时所被提到的,本文中我想要正式请求的方式是GET,因此该响应头的值中至少应包含GET,即 Access-Control-Allow-Methods: GET。该值可以为多种请求方式,中间用英文逗号分隔。

  • Access-Control-Allow-Headers便是我被坑到的地方,大多数资料都会提到上面的请求方法,但很少有提到这个响应头。由于我添加了叫 Token的自定义请求头,但我的后端并没有在响应头中添加 Access-Control-Allow-Headers: Token,所以导致前后端一直跨域错误,加上这个就解决了。这个响应头的值和上面那个一样,可以为多个值,中间英文逗号分隔。

5、参考

  1. Preflight request - MDN Web Docs Glossary: Definitions of Web-related terms | MDN

  2. Access-Control-Allow-Headers - HTTP | MDN

Source: https://docs.ximinghui.org/751083ef19c8.html

海的那边依旧是敌人啊
关注
解决:Spring Boot Security跨域访问 cors错误
weixin_44077623的博客
04-24 1885
被这个问题折磨了好几个夜晚: cors错误 就是跨域问题,域名不同,浏览器给拦住了。 一开始发现 postman跑没问题,但是放到vue启项目请求就报错 开始尝试解决 网上有好多关于cors的概念和解决方法 这是比较全的方式 但是我都失败了,我发现问题不是在配置上,好像是在框架选型上,所有就想,用filter,什么框架也会用filter呢?SpringSecurity!!!就是它~! 然后在这里面封开给你配置,但是,还是失败了。。。 迷茫之际遇到一个大师给我指点迷津了 here 根本问题在于,spring
后台配置Access-Control-Allow-Origin :*后依然被浏览器拦截
Lidppp的博客
01-25 6371
CROS跨域遇到的问题 后台配置好 Access-Control-Allow-Origin :*之后 谷歌浏览器Network中还是显示 CROS ERROR, 鼠标放上去显示 Cross-Origin Resource Sharing error: PreflightWildcardOriginNotAllowed 原因 在CORS中,Credential不接受http响应首部中的‘Access-Control-Allow-Origin’设置为通配符‘*’ 解决方案 CORS 请求发出时,已经设定了c
请求路径不对,预检请求preflight返回404,导致真实请求返回CORS错误
lzhfdxhxm的博客
10-26 3015
目录 环境信息 问题描述 解决方案 解决思路 解决方法 不同的路径错误现象 上下文路径不对 chrome浏览器 网络 控制台 火狐 网络 控制台 第一个请求:真实请求 第二个请求:预检请求preflight 非上下文的路径不对 chrome浏览器 控制台 第一个请求:预检请求preflight 第二个请求:真实请求 源码分析 调用链 CoyoteAdapter.java Mapper.java CoyoteAdapter.java 总结 ...
前端get/post等请求后,一直处于pending状态,解决办法
热门推荐
weixin_51345651的博客
04-25 3万+
前端发送完请求发现network里的请求一直处于pending状态(如图) 或者等待过一段事件后会报错,如图 然后我尝试了一些解决办法,分享给大家,建议大家按照顺序来 1.首先排查是不是后端的问题 这个最重要,不然搞半天就是浪费时间,那么如何排查不是自己的问题呢,当然是使用调试工具看看了,这里我首先推荐postman做调试 如果可以返回成功或者失败的回调那么就说明后端没问题,如果一直是加载的状态,那么就得联系后端了 2.后端没问题的话那么常常就是header问题了 这个时候需要
测试跨域
zlsdmx的博客
12-14 3836
目录: 1、什么是跨域 2、常见跨域场景 3、跨域处理办法 4、跨域自测方法 5、spring官网说法 https://howtodoinjava.com/spring5/webmvc/spring-mvc-cors-configuration/ 正文 1、什么是跨域 跨源资源共享 简称CORS CORS (Cross-origin resource sharing) allows a webpa...
检查是否存在跨域问题
最新发布
hlonelier的博客
06-30 4363
跨域请求的响应头通常包括 "Access-Control-Allow-Origin"、"Access-Control-Allow-Methods"、"Access-Control-Allow-Headers" 等字段,它们指示了允许跨域请求的源、方法和头部。如果请求的状态是 "Blocked"(被阻止)或响应头中包含 "Access-Control-Allow-Origin"(允许跨域请求的源)相关的字段,就表示存在跨域问题。需要注意的是,由于浏览器的同源策略限制,跨域请求受到一些安全限制。
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
CORS跨域设置主要涉及到修改服务器配置,添加适当的HTTP响应头部,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。具体实现方法因服务器类型而异,但核心思想...
Spring MVC 与 CORS跨域的详细介绍
08-30
Spring MVC 与 CORS 跨域的详细介绍 本文对 Spring MVC 与 CORS 跨域的详细介绍,包括 CORS 的知识点和如何在 Spring MVC 中配置 CORSCORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源...
CORS跨域资源共享及解决方案.docx
10-26
### CORS跨域资源共享及其解决方案详解 #### 一、CORS跨域资源共享背景 在现代Web应用开发中,前后端分离已成为一种主流趋势。在这种模式下,前端负责展示逻辑,而后端处理业务逻辑与数据交互。然而,由于浏览器...
【异步技术】Axios并发请求
ronin的博客
09-10 1337
axios并发请求与参数配置 axios并发请求 axios的并发请求其实并不是某一精确的时间段发送出两条异步消息而是在两条消息的状态完成之后能够执行同一个回调函数 手动实现并发请求 并发请求其实就是多次请求 而且能够在同时间处理同状态的两个请求 // 设置一个空对象 承载两次请求的结果 let endResult= {} // 第一次请求发起 axios.get(url).then(result=>{ // 此时在第一次请求的回调中 不处理数据 endResult.
跨域问题及其解决方案
u011300968的博客
07-31 422
一、 什么是跨域问题?跨域是指浏览器不能执行其他网站的脚本,他是由浏览器的同源策略导致的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,协议、域名和端口号均相同。 注意:localhost与127.0.0.1虽说都代表本机,但是也非同源。二、解决跨域问题的方法1.jsonp(json padding) jsonp利用<script>标签的没有跨域限制的漏洞,来达到与第三方通讯的
Ajax异步请求阻塞情况的解决办法
笔记本
08-31 1万+
现象:在一个网站中,当访问一个处理比较耗时的页面(A页面),页面请求还没有返回时,此时再点击访问该网站的其他页面(B页面)会出现B页面很久都没有响应和返回,直到A页面输出返回数据时才开始处理B页面的请求,造成请求排队处理,A页面阻塞了B页面的请求处理。
http协议(二)CORS跨域限制以及预请求验证
Niall_Tonshall的博客
03-18 3903
1. Request.mode Request 接口的 mode 只读属性包含请求的模式(例如:cors 、 no-corscors-with-forced-preflight 、 same-origin 或 navigate 。)这用于确定跨域请求是否能得到有效的响应,以及响应的哪些属性是可读的。 属性值 作用 same-origin 如果使用此模式向另外一个源发送请求,显而易见,结果会是一个错误。你可以设置该模式以确保请求总是向当前的源发起的。 no-cors 保证请求对应的
跨域请求CORS 策略阻止:请求的资源上存在“Access-Control-Allow-Origin”标头。
weixin_46087854的博客
08-16 6471
跨域解决
h5 cors跨域配置
04-05
CORS跨域资源共享)是一种机制,允许Web应用程序从不同的域访问其资源。在前端开发中,我们可以通过配置服务器来实现CORS跨域。 以下是配置CORS跨域的步骤: 1. 在服务器端设置响应头 Access-Control-Allow-Origin: * 这个响应头允许所有的请求来源访问资源。如果只允许特定的请求来源,可以将星号替换为具体的域名。 2. 需要支持的HTTP方法 Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE 这个响应头设置服务器支持的HTTP请求方法。如果需要支持其他的HTTP方法,可以在这个响应头中添加。 3. 需要支持的请求头 Access-Control-Allow-Headers: Content-Type, Authorization 这个响应头设置服务器支持的请求头。如果需要支持其他的请求头,可以在这个响应头中添加。 4. 设置响应缓存时间 Access-Control-Max-Age: 3600 这个响应头设置响应在客户端缓存的时间,单位为秒。如果不设置这个响应头,客户端每次请求都会向服务器发送预检请求(OPTIONS请求)。 5. 允许发送Cookie Access-Control-Allow-Credentials: true 这个响应头允许客户端发送Cookie到服务器。默认情况下,浏览器不允许发送Cookie到跨域的服务器。 以上是CORS跨域配置的基本步骤,可以根据实际需求修改和添加响应头。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值