前后端分离跨域问题

最新推荐文章于 2023-12-28 11:31:13 发布
最新推荐文章于 2023-12-28 11:31:13 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: Java 文章标签: csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oDeviloo/article/details/72156280
版权

浏览器跨域问题

浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。下面分别列举没有同源策略所会产生的问题。

1. CSRF

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

  1. 登录受信任网站A,并在本地生成Cookie(A)。
  2. 在cookie(A)未失效的情况下,登陆危险网站B
  3. 网站B去请求A

由于浏览器会自动带上网站A的用户cookie,所以网站A无法知道是用户的访问还是网站B进行的访问,这样B就相当于此用户进行了操作。这种要是发生在网上支付等会造成用户的损失。

2. Dom查询

我们可能会了解到一些短信诈骗情况,点击链接登录银行账户进行转账。比如中国银行的域名是www.zgyh.com,但是短信链接是www.zgyhh.com。这个页面内嵌了中国银行的登录页面,你可能就会进行登录。具体操作如下:

// HTML
<iframe name="zgyh" src="www.zgyh.com"></iframe>
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
const iframe = window.frames['zgyh']
const username = iframe.document.getElementById('username')
const password = iframe.document.getElementById('password')
console.log("用户名:" + username +  ",密码:"+ password)

这样等于你在内嵌页面输入的信息我都能进行获取了。

怎样算跨域

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子:

http://www.123.com 与 http://www.123.com(非跨域)

http://www.123.com 与 http://www.456.com (主域名不同:123/456,跨域)

http://abc.123.com 与 http://def.123.com (子域名不同:abc/def,跨域)

http://www.123.com:8080 与 http://www.123.com:8081 (端口不同:8080/8081,跨域)

http://www.123.com 与 https://www.123.com (协议不同:http/https,跨域)

请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。

Java后端的cors过滤器

一.自定义cors的filter
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class CORSFilter implements Filter {

    private static final Logger LOGGER = LoggerFactory.getLogger(CORSFilter.class);

    private List<String> corsOriginList;

    @Override
    public void destroy() {
          
    }  
  
    @Override  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String curOrigin = request.getHeader("Origin");
        LOGGER.info("当前访问来源是:{}", curOrigin);
        // 从列表中获取,可以将数据放入缓存
        if (corsOriginList.contains(curOrigin)) {
            response.setHeader("Access-Control-Allow-Origin", curOrigin);
        } else {
            return ;
        }

        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        chain.doFilter(req, res);
    }
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {
        corsOriginList = new ArrayList<String>();
        // 初始化可访问的域名列表
        corsOriginList.add("http://127.0.0.1:8888");
        corsOriginList.add("http://localhost:8888");
    }
  
}
二.配置filter
	<filter>
		<filter-name>cors</filter-name>
		<filter-class>com.limbo.survival.common.web.CORSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>cors</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

基于nginx反向代理

一.nginx和反向代理

可以通过nginx的反向代理,将前后端应用放置到同一域。

所谓反向代理,就是在自己的域名下架设一个Web服务器,这个服务器会把请求转发给第三方服务器,然后把结果返回给客户端。这时候,在客户端看来,自己就是在和这台反向代理服务器打交道,而不知道第三方服务器的存在。

所以,如果有一个Web服务程序,它同时提供了反向代理功能和静态文件服务功能,静态文件服务负责渲染前端页面,反向代理则提供对第三方服务器的透明访问。那么前端和后端就变成了同源的,不再受同源策略的约束。

二.nginx配置
http {
    include       mime.types;
    default_type  application/octet-stream;

    server {
        listen       80;
        server_name  www.web.com;
	
	# 对静态文件的匹配
	location ~* ^.+\.(xls|woff2|log|jpg|jpeg|gif|png|svg|ico|html|cfm|cfc|afp|asp|lasso|pl|py|txt|fla|swf|zip|wav|json|js|css|less)$ {
            # 前端跳转
            proxy_pass http://localhost:8888;
        }

	location /web/ {
			# 后端跳转
            proxy_pass http://localhost:8080;
	}

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
        
    }
}
三.指定配置文件启动nginx
nginx -c /usr/local/etc/nginx/nginx.conf.my
四.前端访问路径

前端的访问路径都指向www.web.com

参考

写代码的克总
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离项目跨域问题及解决方案
踏 浪的博客
04-18 3万+
目录 1、什么是跨域 2、前后端分离项目中的跨域问题 3、方法一:SpringBoot后端进行处理 4、方法二:在Vue前端进行处理 5、总结 1、什么是跨域 请求同域资源: 在域名 (或 ip 地址)相同,端口号相同下的请求资源,可以看做是同域资源 请求跨域资源: 请求的资源只要 是 域名(或 ip 地址)、端口号中任意一个不同的资源都可以认为是跨域资源 如: 端口...
前后端解决跨域五种方案
m0_58528901的博客
03-27 1万+
前后端解决跨域五种方案
解决前后端分离架构中跨域问题
name_sakura的博客
04-06 5483
前后端分离架构中,前端调用后端提供的API接口来获取数据。由于浏览器的,而前端服务与后端服务往往会被部署到不同的机器,不同端口上,因此会产生跨域问题
什么是跨域,如何解决跨域(前后端)
jieyucx的博客
05-12 3742
跨域:指的是在网页端,发起一个跨越不同域名(协议、端口号)的HTTP请求的过程。例如:当一个页面的URL为http://a.com,通过Ajax向http://b.com发送请求,就是一个跨域请求。跨域问题是由浏览器的同源策略所引起的。同源策略限制了JS代码只能读取与其来源页面具有相同域名的数据。具体而言,同源策略是一种浏览器安全策略,它通过检查来源URL(协议 + 域名 +端口)是否与目标URL来源是否相同来决定是否允许跨域访问。同源策略主要限制以下四种行为。
前后端分离跨域问题
热门推荐
小夏陌的博客
02-20 4万+
跨域问题原因 在现在流行的前后端分离开发中,跨域问题突显了出来,跨域问题的根本原因:浏览器有同源策略限制,当前域名的js只能读取同域下的窗口属性,这是一个基础安全功能。那么什么是同源策略呢?即两资源的URL中 协议,域名,端口,都相同则称为同源,若两资源为不同源,则不允许共享资源的。 例如:以http://www.baidu.com/dir1/a.html为例子 请求地址 结果 原因 http://www.baidu.com/dir1/b.html 成功 同一域名端口,相同文件夹 htt
详解VueJs前后端分离跨域问题
01-19
可以使用在项目内设置代理(proxyTable)的方式来解决跨域问题 设置配置项的目录在config下的index.js,主要通过配置proxyTable项,设置代理指向你的后台地址 dev: { env: require('./dev.env'), port: 8085, ...
springboot+angular4前后端分离 跨域问题解决详解
08-25
SpringBoot+Angular4前后端分离 跨域问题解决详解 SpringBoot和Angular4是当前流行的前后端分离开发技术栈,本文主要介绍了如何解决SpringBoot和Angular4前后端分离中的跨域问题跨域问题是指在前后端分离开发中...
前后端跨域问题(解决方向和思路)
qq_20236937的博客
04-19 2524
浏览器的同源策略是跨域问题的根本所在。同源策略是一个非常重要的安全策略,它用于限制两个源之间在浏览器上进行资源交互。如果缺少了同源策略,网站或服务器很容易受到 XSS、CSFR 等攻击。那么同源是什么意思?同源表示两个 URL 的origin(源、请求头)是相同的,origin 由protocol(协议)、**host(域名)**和port(端口)组成。简单一点就是指 协议,域名,端口都要相同,其中有一个不同都会产生跨域。
前后端跨域
微信公众号:饺子泡牛奶
05-03 682
章节目录:一、什么是跨域二、同源策略2.1 跨域问题示例三、如何跨域3.1 跨域解决方案3.2 常见方案对比及选择3.3 使用SpringBoot解决跨域3.4 配置跨域及网关路由后请求四、概念补充4.1 CORS请求分类4.2 响应头详解五、结束语 一、什么是跨域 当一个请求url的协议、域名、端口三者之间的任意一个与当前页面url不同即为跨域(如下图所示)。 跨域问题的产生,源自浏览器的一个同源策略。 二、同源策略 同源策略(Same Orgin Policy)是一种约定,它是浏览器核心也最基本
什么是跨域问题?如何解决前后端跨域?
kouguoguo的博客
12-17 973
什么是跨域问题?如何解决前后端跨域?
前后端分离项目,如何解决跨域问题
沉默王二
02-24 1万+
跨域问题前后端分离项目中非常常见的一个问题,举例来说,编程猫(codingmore)学习网站的前端服务跑在 8080 端口下,后端服务跑在 9002 端口下,那么前端在请求后端接口的时候就会出现跨域问题。 403 Forbidden 是HTTP协议中的一个状态码(Status Code),意味着后端服务虽然成功解析了请求,但前端却没有访问该资源的权限。 那怎么解决这个问题呢?通常有两个思路: 前端使用 Nodejs 代理(开发环境下,生产环境下可以用 Nginx 替代) 或者后端开启跨域资源共享 一
前后端分离项目解决跨域问题
最新发布
lx5210521的博客
12-28 455
前后端分离跨域的常用解决方案
前后端分离实践总结 | 跨域请求的那些事儿
weixin_30533797的博客
07-28 345
一、前言 关于前后端分离的概念,之前个人的理解主要停留在开发模式上的分离,而实际上要真正实现前后端完全分离还需要涉及部署环境的分离,所有此处介绍的前后端分离应该是web应用的一种架构模式。 如图,在传统架构模式中,前后端代码存放于同一个代码库中,甚至是同一工程目录下。页面中还夹杂着后端代码。前后端工程师进行开发时,都必须把整个项目导入到开发工具中(当前我们...
【前后端跨域分析与解决】
NGC_Miracle的博客
01-07 2688
前言-前后端跨域问题 提示:对于现今,前后端分离,越来越普遍化,一旦分离,就出现了许多问题,其中就有跨域的问题。以下内容,可供参考,也可以尝试,毕竟问题有可能不止一处。 一、什么是跨域? 简单来说,就是不同源的网址之间进行数据共享互通(请求),这就是跨域,而产生跨域的根本原因是在浏览器上存在一种同源策略,也可以称作安全策略,它的出现就是为了保护本地数据不被JavaScript代码获取回来的数据污染。 而上面所谓的不同源,就是协议(http、https等)、域名(可以是localh...
Spring Security 前后端分离跨域问题
12-01
Spring Security 前后端分离跨域问题可以通过以下步骤解决: 1.在 Spring Security 的配置类中添加如下配置: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable(); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE")); configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token")); configuration.setExposedHeaders(Arrays.asList("x-auth-token")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 2.在前端代码中设置请求头: ```javascript axios.defaults.headers.common['Authorization'] = AUTH_TOKEN; axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded'; ``` 其中,AUTH_TOKEN 是你的认证 token。 3.在 Controller 中添加 @CrossOrigin 注解: ```java @RestController @RequestMapping("/api") @CrossOrigin(origins = "*", maxAge = 3600) public class ApiController { // ... } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值