java web服务器实现跨域访问

最新推荐文章于 2023-07-18 18:31:59 发布
最新推荐文章于 2023-07-18 18:31:59 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: javaweb 文章标签: ajax 跨域问题

一、CORS概述

跨源资源共享标准通过新增一系列 HTTP 头,让服务器能声明那些来源可以通过浏览器访问该服务器上的各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源)。另外,对那些会对服务器数据造成破坏性影响的 HTTP 请求方法(特别是 GET 以外的 HTTP 方法,或者搭配某些MIME类型的POST请求),标准强烈要求浏览器必须先以 OPTIONS 请求方式发送一个预请求(preflight request),从而获知服务器端对跨源请求所支持 HTTP 方法。在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求。服务器端也可以通知客户端,是不是需要随同请求一起发送信用信息(包括 Cookies 和 HTTP 认证相关数据)。

 

二、CORS原理

例如:域名A(http://a.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://b.foo)站点的某图片资源(http://b.foo/image.jpg)。这就是一个跨域请求,请求http报头包含Origin: http://a.example,如果返回的http报头包含响应头 Access-Control-Allow-Origin: http://a.example (或者Access-Control-Allow-Origin: http://a.example),表示域名B接受域名B下的请求,那么这个图片就运行被加载。否则表示拒绝接受请求。

 

 

三、CORS跨域请求控制方法

 

1.http请求头

 

Origin: 普通的HTTP请求也会带有,在CORS中专门作为Origin信息供后端比对,表明来源域。

Access-Control-Request-Method: 接下来请求的方法,例如PUT, DELETE等等

Access-Control-Request-Headers: 自定义的头部,所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中

 

2.http响应头

 

然后浏览器再根据服务器的返回值判断是否发送非简单请求。简单请求前面讲过是直接发送,只是多加一个origin字段表明跨域请求的来源。然后服务器处理完请求之后,会再返回结果中加上如下控制字段

Access-Control-Allow-Origin: 允许跨域访问的域,可以是一个域的列表,也可以是通配符"*"。这里要注意Origin规则只对域名有效,并不会对子目录有效。即http://foo.example/subdir/ 是无效的。但是不同子域名需要分开设置,这里的规则可以参照同源策略

Access-Control-Allow-Credentials: 是否允许请求带有验证信息,

Access-Control-Expose-Headers: 允许脚本访问的返回头,请求成功后,脚本可以在

Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内,所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据,非常有用,大幅优化请求次数

Access-Control-Allow-Methods: 允许使用的请求方法,以逗号隔开

Access-Control-Allow-Headers: 允许自定义的头部,以逗号隔开,大小写不敏感

 

 

如果程序猿偷懒将Access-Control-Allow-Origin设置为:Access-Control-Allow-Origin: * 允许任何来自任意域的跨域请求,那么久存在被 DDoS攻击的可能。

 

 

实现方式:

1、nginx配置文件配置:

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. server {    
  2.     location / {    
  3.         if ($request_method = 'OPTIONS') {    
  4.           add_header 'Access-Control-Allow-Origin' '*';    
  5.           add_header 'Access-Control-Allow-Credentials' 'true';    
  6.           add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';    
  7.           add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';    
  8.          # add_header 'Access-Control-Max-Age' 3600;    
  9.           add_header 'Content-Type' 'text/plain charset=UTF-8';    
  10.           add_header 'Content-Length' 0;    
  11.           return 200;    
  12.         }    
  13. }    


 

方法2:直接在tomcat安装目录下的lib中添加cors-filter-1.7.jar,Java-property-utils-1.9.jar 这2个jar包,并且在业务项目的web.xml 中配置想要应的filter配置文件:

   

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <filter>  
  2.         <filter-name>CORS</filter-name>  
  3.         <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>  
  4.         <init-param>  
  5.             <param-name>cors.allowOrigin</param-name>  
  6.             <param-value>*</param-value>  
  7.         </init-param>  
  8.         <init-param>  
  9.             <param-name>cors.supportedMethods</param-name>  
  10.             <param-value>GET,POST,HEAD,PUT,DELETE</param-value>  
  11.         </init-param>  
  12.         <init-param>  
  13.             <param-name>cors.supportedHeaders</param-name>  
  14.             <param-value>Accept,Origin,X-Requested-With,Content-Type,Last-Modified</param-value>  
  15.         </init-param>  
  16.         <init-param>  
  17.             <param-name>cors.exposedHeaders</param-name>  
  18.             <param-value>Set-Cookie</param-value>  
  19.         </init-param>  
  20.         <init-param>  
  21.             <param-name>cors.supportsCredentials</param-name>  
  22.             <param-value>true</param-value>  
  23.         </init-param>  
  24.     </filter>  
  25.     <filter-mapping>  
  26.         <filter-name>CORS</filter-name>  
  27.         <url-pattern>/*</url-pattern>  
  28.     </filter-mapping>   

方法3:自己写的  filter类,自己在在业务项目中配置web.xml 中配置想要的xml 文件。

如:java类filter:

[java]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. public class CorsFilter implements Filter{  
  2.    
  3. @Override  
  4. public void init(FilterConfig filterConfig) throws ServletException {  
  5. // TODO Auto-generated method stub  
  6.    
  7. }  
  8.    
  9. @Override  
  10. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,  
  11. ServletException {  
  12. // TODO Auto-generated method stub  
  13. HttpServletResponse res = (HttpServletResponse) response;  
  14. res.setContentType("text/html;charset=UTF-8");  
  15.    res.setHeader("Access-Control-Allow-Origin""*");  
  16.    res.setHeader("Access-Control-Allow-Methods""POST, GET, OPTIONS, DELETE");  
  17.    res.setHeader("Access-Control-Max-Age""0");  
  18.    res.setHeader("Access-Control-Allow-Headers""Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");  
  19.    res.setHeader("Access-Control-Allow-Credentials""true");  
  20.    res.setHeader("XDomainRequestAllowed","1");  
  21.    chain.doFilter(request, response);  
  22. }  
  23.    
  24. @Override  
  25. public void destroy() {  
  26. // TODO Auto-generated method stub  
  27.    
  28. }  
  29.    
  30. }  
 

业务项目中的web.xml配置如下:

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <filter>  
  2.  <filter-name>cors</filter-name>  
  3.  <filter-class>com.tianlong.common.base.CorsFilter</filter-class>  
  4. </filter>  
  5. <filter-mapping>  
  6.  <filter-name>cors</filter-name>  
  7.  <url-pattern>/*</url-pattern>  
  8. </filter-mapping>  
mayzilee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
允许浏览器跨域访问web服务端的解决方案
萌兔兔MMQ!!
03-10 1275
今天和同事探讨了前后端如何真正实现隔离开发的问题,如果前端单独作为服务发布,势必会涉及到无法直接调用后端的接口的问题,因为浏览器是不允许跨域提交请求的。 所谓跨域访问,就是在浏览器窗口,和某个服务端通过某个协议+域名+端口号建立了会话的前提下,去使用与这三个属性任意一个不同的源提交了请求,比如:打开新窗口,iframe,xmlhttprequest,那么浏览器就认为你是跨域了,违反了浏览器的同源策略。 解决此问题,w3c标准中,有针对跨域请求的规范: 在响应头中带上Access-Control-Al
javaWeb解决跨域问题
来自外太空的鱼-张小张
01-05 1081
javaWeb解决跨域问题
JavaWeb跨域访问解决(springboot)
qq_42569946的博客
09-24 431
javaweb跨域问题解决,springboot解决跨域问题配置
JavaJava中解决跨域问题的几种方法(建议收藏)
最新发布
DreamSun的博客
07-18 1万+
定义跨域(CORS)是指不同域名之间相互访问跨域,指的是浏览器不能执行其他网站的脚本,它是由浏览器的同源策略所造成的,是浏览器对于JavaScript所定义的安全限制策略。当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。原因在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问问题。在请求的过程中我们要想回去数据一般都是post/get请求,所以…跨域问题出现。
13.JavaWeb-跨域问题
LB_bei的博客
07-05 410
响应头作用为true,跨域请求时在请求头中挟带凭据信息,否则不挟带。凭据信息包括cookie、http认证、客户端ssl……,常用cookie为凭据。允许来自哪些域的跨域请求可以访问允许请求的方式用于预检请求中,列出了将会在正式请求的 Access-Control-Request-Headers 字段中出现的首部信息。
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
java web技术开发大全(最全最新)
10-10
3.5.3 实例:使用XMLHttpRequest跨域访问Web资源 3.5.4 实例:AJAX的3种交换数据方法 3.6 小结 第4章 Servlet技术 4.1 Servlet的Helloworld程序 4.1.1 实例:在My Eclipse中编写Helloworld程序 4.1.2 ...
java web开发技术大全
01-08
3.5.3 实例:使用XMLHttpRequest跨域访问Web资源 3.5.4 实例:AJAX的3种交换数据方法 3.6 小结 第4章 Servlet技术 4.1 Servlet的Helloworld程序 4.1.1 实例:在My Eclipse中编写Helloworld程序 ...
跨域访问---------
05-02
现在的web工程越来也大,传统的开发模式已经显得捉襟见肘了,不仅开发人员在开发过程中很痛苦,后期维护的人员也更痛苦。...下面我们介绍一种测地解决前端跨域访问的方式,本地服务器请求转发的方式。
Java跨域问题
weixin_43709291的博客
10-07 3453
跨域是指a页面想获取b页面资源,如果a,b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是说不允许跨域请求资源。跨域问题的根本原因:因为浏览器收到同源策略的限制,当前域名的js只能读取同域名下的窗口属性。就是不同的域名,不同端口,不同协议不允许共享资源的,保障浏览器安全。preHandle:预处理,在业务处理器处理请求之前被调用,可以进行登录拦截,编码处理、安全控制、权限校验等处理;
JavaWeb跨域问题常用解决办法汇总
晨港飞燕的专栏
12-12 2076
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、
前后端分离跨域问题的解决方案
weixin_44192363的博客
07-19 1705
package com.huaxin.wenjuan.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConf
java跨域问题
weixin_65837469的博客
03-29 5322
WebSocket 是一种双向通信协议,可以通过建立连接来实现跨域访问。可以通过在同一页面中使用 iframe 元素来实现跨域访问,从而避免了浏览器安全限制。Java 中的跨域问题指的是在使用 AJAX 技术进行跨域访问时,由于浏览器的安全限制,导致请求被拒绝或者无法获取到正确的响应结果。在 Java 中可以通过设置响应头信息来支持跨域访问,例如在 Spring MVC 中可以使用。3、使用 WebSocket 来解决跨域问题。2、使用 iframe 来实现跨域访问。1、通过设置响应头信息来支持跨域访问
跨越:SpringBoot项目中关于跨域问题的说明
qq_43148324的博客
03-22 231
跨域测试 测试案例1 1).访问页面的网址 http://manage.jt.com:80/test.html 2).Ajax访问数据的地址: http://manage.jt.com:80/test.json 分析: 协议://域名:端口 完全一致. 测试是否正常: 测试正常 结论: 如果协议://域名:端口号 都相同时 请求可以正常的进行. 被访问端的页面信息: 请求端的页面信息: 测试案例2 1).访问页面的网址 http://www.jt.com:80/test.html 2).Ajax访问数据
JAVA WEB后端跨域问题解决的几种方案
hualinger的博客
07-01 2630
阅读目录: 一、跨域(CORS)支持: 二、使用方法: 1、controller配置CORS 2、全局CORS配置 3、XML命名空间 4、How does it work? 5、基于过滤器的CORS支持 三、spring注解@CrossOrigin不起作用的原因 四、参考文章: 阅读正文: 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(..
java web跨域解决方案
追逐消失的记忆
10-12 4360
跨域问题产生的原因是由于在浏览器的访问域名为A网站时,A网站的页面访问B域名的网络请求时,使用A的域名请求B的业务两个请求为服务不在同一域名下从而产生的问题。(通常在Ifream,ajax请求外网服务器产生该问题出现) 具体解决机制为: B域名下服务允许A域名下的网页内部请求B的服务 解决方案为 一、注解方式        推荐这种方法,简单快捷,但Spring版本需要4.2以上,只需在...
Java web frame跨域
03-28
1. 在服务器端添加CORS(跨源资源共享)支持,通过在响应头中添加Access-Control-Allow-Origin来允许客户端跨域访问。例如: ``` response.addHeader("Access-Control-Allow-Origin", "*"); ``` 2. 在客户端使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值