什么是跨域,后端工程师如何处理跨域

最新推荐文章于 2024-04-14 11:25:34 发布
最新推荐文章于 2024-04-14 11:25:34 发布
阅读量184 收藏
点赞数
文章标签: 前端 servlet javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73533108/article/details/126706885
版权
本文探讨了什么是跨域,以及同源策略的概念。浏览器的同源策略限制了跨域请求,导致AJAX遇到非同源限制。解决跨域问题的方法包括JSONP、WebSocket和CORS。重点介绍了CORS,它是跨域资源共享的标准,允许浏览器向不同源的服务器发送请求。CORS分为简单请求和非简单请求,涉及到预检请求、Access-Control-Allow-*等头部字段的使用。文章还提供了GO语言中使用gin框架处理CORS的示例,并提到了调试跨域的方法。
摘要由CSDN通过智能技术生成

什么是跨域

前言

作为一名后端开发工程师,在给前端同事写接口的时候,经常碰到他们讲,你的接口跨域了,那么什么是跨域,这里来研究下。

什么是跨域

先来看下跨域的定义

跨域的广义定义:跨域是指一个域下的文档或脚本试图去请求另一个域下的资源。

我们经常遇到的跨域是由浏览器同源策略限制的一类请求场景。

栗如,下面的请求就发生了跨域,在京东的 H5 页面中请求淘宝的接口

上面栗子中跨域最终的罪魁祸首就是浏览器的同源策略。

1、因为上面的 域名 不相同,所以请求的接口被认为是非同源。

2、同时出于安全性,浏览器限制脚本内发起的跨源 HTTP 请求。 例如, XMLHttpRequest 和 Fetch API 遵循同源策略。所以上面的请求就报了跨域的错误。

同源策略

什么是同源策略

同源策略/SOP (Same origin policy) 是一种约定,由 Netscape 公司1995年引入浏览器。

同源策略是指在 Web 浏览器中,允许某个网站脚本访问另一个网站的数据,但前提是这两个网站必须满足三个相同:

1、协议相同;

2、域名相同;

3、端口相同;

一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。

非同源的限制条件

如果两个网站非同源,将受到下面的几种限制

1、Cookie、LocalStorage 和 IndexDB 无法读取;

2、DOM 无法获得;

3、AJAX 请求不能发送。

同源策略的目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

栗如:Cookie 中存了一些用户的登陆信息,如果没有同源策略的限制,那么任何网站都能访问 Cookie,用户的信息就会泄露了,就能伪造用户信息登陆目标网站了,这显然是有很大的安全隐患的。

如何处理跨域

因为非同源有上面三种限制,这种能够规避一定的安全问题,但是有时候我们正常的使用也受到了影响,所以有时候我们需要想办法规避这种限制。

非同源限制中的

1、Cookie、LocalStorage 和 IndexDB 无法读取;

2、DOM 无法获得;

这里就不展开讨论了,这种只需要在前端页面中进行调整就行了,这里重点关注下有和后端交互的 3、AJAX 请求不能发送 的这种限制。

处理 AJAX 非同源的限制

同源政策规定,AJAX 请求只能发给同源的网址,否则就报错。

除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个限制。

1、JSONP

2、WebSocket

3、CORS

关于 WebSocket 和 JSONP 的处理参见 浏览器同源政策及其规避方法

作为服务端开发,对于 CORS 使用的比较多,这里展开讨论下

CORS

CORS 是一个 W3C 标准,全称是”跨域资源共享”( Cross-origin resource sharing )。

它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。

跨源资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许 服务器 标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的”预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

CORS 的使用的关键在服务端,浏览器发送请求,服务端接收到客户端请求做一些判断(请求方是否在自己的“白名单”里?),如果没问题就返回数据,否则拒绝。

浏览器将 CORS 请求分成两类:

简单请求(simple request)

非简单请求(not-so-simple request)

简单请求(simple request)

某些请求不会触发 CORS 预检请求。这样的请求为“简单请求”,只要同时满足下面的两大条件就是简单请求。

1、请求方法是以下三种方法之一

  • HEAD

  • GET

  • POST

2、HTTP的头信息不超出以下几种字段:

  • Accept

  • Accept-Language

  • Content-Language

  • Last-Event-ID

  • Content-Type:只限于三个值 application/x-www-form-urlencoded 、 multipart/form-data 、 text/plain

简单请求基本流程

简单请求没有预检的流程,所以浏览器只会发送一次请求,发出的 CORS 请求,头信息中会有一个 Origin 字段。

<pre class="prettyprint hljs http" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width:
最低0.47元/天 解锁文章
文渡呀
关注
前端后端跨域问题
01-02
跨域 原因:  浏览器限制  跨域(域名,端口,协议,ip不一样)  在使用XMLHTTPRequest对象发送HTTP请求时,会遇到同源策略问题,域不同请求会被浏览器拦截。
什么是跨域?——详解跨域问题及其解决方案
最新发布
fudaihb的博客
07-06 5850
跨域问题是Web开发中常见且令人困扰的问题之一。理解跨域的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍跨域的概念、产生原因、常见的跨域解决方案,并提供详细的代码示例,帮助读者深入理解跨域问题及其应对方法。
后端跨域
weixin_49319422的博客
11-25 3986
DRF跨域后端解决之django-cors-headers 在使用django-rest-framework开发项目的时候我们总是避免不了跨域的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现跨域。当然如果前端框架是Vue的话,则可以代理服务实现跨域,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。 DRF后端实现跨域第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、跨域 同源策略
后端跨域方式
qq_36413371的博客
04-17 162
cors nodejs设置允许所有域名跨域(下面代码放在请求前): app.all("*", function (req, res, next) { //设置允许跨域的域名,*代表允许任意域名跨域 res.header("Access-Control-Allow-Origin", "*"); //允许的header类型 res.header("Access-...
后端跨域解决
热门推荐
m0_58542705的博客
03-23 1万+
后端处理跨域问题 什么是跨域 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域) http://ab
Java3年后端工程师简历模板
04-24
【Java后端工程师核心知识点详解】 1. **Java基础知识**:作为Java后端工程师,基础扎实至关重要。这包括对集合(如ArrayList、LinkedList、HashMap等)、反射(用于运行时检查对象属性和方法)和多线程(处理并发...
利用nginx解决跨域问题的方法(以flask为例)
01-10
我们单位的架构是在api和js之间架构一个中间层(python编写),以实现后端渲染,登录状态判定,跨域转发api等功能。但是这样一个中间会使前端工程师的工作量乘上两倍,原本js可以直接ajax请求api,但是我们不得不...
vue几个常用跨域处理方式介绍
08-28
在当前的Web开发领域,前后端分离已经成为一种常见的架构模式,前端工程师通过异步请求与后端API进行交互。但由此引发的跨域问题也日益受到重视。为了解决这个问题,技术人员必须掌握一系列跨域处理方式。本文将详细...
Vue跨域后端Json数据交互
天涯小刀的递进之路
12-14 954
Vue跨域完成后端数据读取
判断接口是否支持跨域
ltochange的博客
05-23 3313
打开浏览器,右键,选择检查,选择console 输入测试代码,然后回车,正常返回即可跨域请求 get请求 var xhr = new XMLHttpRequest(); xhr.open('GET', 'url'); xhr.send(null); xhr.onload = function(e) { var xhr = e.target; console.log(xhr.responseText); } post请求: var httpRequest = n
后端跨域快速入门:什么是跨域后端如何处理跨域
Old_Secretary的博客
04-14 1625
跨域的特点: 首先要明确跨域的一些特点(有的叫域,有的叫源,我不纠结叫法,能理解跨域就行): 跨域是指一个域去请求另一个域的接口 域指的是 域名+协议+端口 三者,有一个不一样,就算作是不同的域 跨域是浏览器的策略,也就是说没有配置跨域的情况下,使用浏览器前端页面请求接口会被浏览器拦截,使用apifox等工具则能够正常请求 当用户使用前端页面调用后端接口时,原域是前端页面所在的服务器的域名+协议+端口(而不是用户的,用户一般也没有),目标域指的是后端api服务器的域名+协议+端口
跨域的解决方式(java后端
从基础到源码解析的学习记录
12-14 3818
同源策略(Sameoriginpolicy)是浏览器最核心也最基本的安全功能一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号。
后端分离 跨域问题解决
jijianshuai的专栏
11-24 3691
跨域的实现原理 http 跨域请求后端服务的时候会在请求头中带上如下信息 Origin: http://api.jijs.com 后端服务器需要在http的响应头中添加以下响应头 Access-Control-Allow-Origin : http://api.jijs.com 接收到请求后,并验证该站点是否支持跨域请求。 如果前端没有收到该相应头,则浏览器不允许跨域请求的。
跨域问题(三种解决方法)
weixin_47414034的博客
12-31 5590
两个请求的协议(比如http),域名(比如说localhost或者192.168.0.0),端口号三者一模一样(其他可以不一样)才算两个请求在同一个域内,三者但凡有一个不一样都是跨域跨域就是一个域名的网页去请求另一个域名的资源,比如你刚刚在A网站输入了自己的账号密码,然后访问B网站,B网站无法获取账号密码。比如现在前端工程想要访问后端工程中的list方法,只需要在这个方法上面添加@CrossOrigin注解即可。其实后端是有接收到请求,也给前端工程返回了数据,但是浏览器收到之后拒绝前端读取响应数据。
什么是跨域?前后端解决跨域的方法
Amelian的博客
11-29 1486
一、同源策略 出于浏览器的同源策略限制 同源策略(Sameoriginpolicy) 是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会收到影响。可以说web时构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个域的javascript脚本和另一个域的内容进行交互。 所谓同源(即指在同一个域),就是两个页面具有相同的协议(protool),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、端口三者
linux设置谷歌浏览器跨域,新版chrome浏览器设置允许跨域的实现
weixin_30218749的博客
05-14 1793
前言目前前端解决跨域,主要是通过webpack的devServer来配置。但是有时候开发环境中没有配置devServer,后端又没有设置跨域。前后端分离项目,本地调试代码的时候,经常会遇到跨域问题。本文主要是对之前文章浏览器跨域访问解决方案,做一个补充吧,因为这篇文章最后对chrome设置方式,目前设置不起作用了,更新文章,修正一下。解决--disable-web-security 不起作用的方案...
后端解决跨域
qq_58363479的博客
06-25 1855
CORS 其实是浏览器制定的一个规范,浏览器会自动进行 CORS 通信,它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的域,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器 上声明了允许 A 的域名访问,那么从 A 到 B 的跨域请求就可以完成。也就是说,两个服务器直接进行跨域请求是可以进行数据请求的。复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值