前后端分离,后端用springboot遇到的跨域问题

最新推荐文章于 2022-06-05 16:55:10 发布
最新推荐文章于 2022-06-05 16:55:10 发布
阅读量880 收藏 3
点赞数
分类专栏: Springboot

前后端分离,后端用springboot遇到的跨域问题

对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的域下,那么势必会引起跨域问题的出现。
什么是跨域?
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。简单来说就是不同域名之间相互访问

同源策略:请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.

例如:
http://www.a.com 要访问 http://www.b.com 这样域名不同,属于跨域
http://www.a.com:8081/index.html调用http://www.a.com:8080的接口 这样端口号不同 也属于跨域
http://www.a.com:访问https://www.a.com 这样也是属于跨域 协议不一样

所以在以前前后端不分离的开发模式中,从来不用关注这个问题,因为所有的请求都是在同一个域内

综合了网上解决跨域的方式目前有两种

  1. 使用JSONP
    不过我不太推荐使用,JSONP只支持GET请求,不管是对于前端还是后端来说,写法与我们平常的ajax写法不同,同样后端也需要作出相应的更改。
    JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

  2. 通过cors协议解决跨域问题
    CORS支持所有类型的HTTP请求。
    这个也是我非常推荐大家使用的方法
    下面我来说下项目中遇到的问题
    前端:vue.js
    后端:springboot

前端请求接口时,报错信息如下
Origin ‘http://localhost:8080’ is therefore not allowed access.
The credentials mode of an XMLHttpRequest is controlled by the withCredentials attribute
解决方法:
前端请求开启 withCredentials: true
后台接口也需要对应的将 Access-Control-Allow-Credentials 设为 true。

前端携带token传后端时报错
Request header field token is not allowed by
Access-Control-Allow-Headers in preflight response.
这是由于请求头内并没有这个名叫token的请求头字段
默认情况下,只有六种 simple response headers (简单响应首部)可以暴露给外部:
Cache-Control Content-Language Content-Type Expires Last-Modified Pragma
如果想要让客户端可以访问到其他的首部信息,可以将它们在
Access-Control-Expose-Headers 里面列出来。

所以解决方法是:
在Access-Control-Allow-Headers添加自定义的请求头字段Token
如果还有其他请求头字段需要使用,也是需要在Access-Control-Allow-Headers添加,不然服务器是不允许的

后面还有一个问题:
Response to preflight request doesn’t pass access control check:
No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
Origin ‘http://localhost:8080’ is therefore not allowed access.
The response had HTTP status code 503.
这个是请求头返回服务不可用

解决方式:
我看了下代码原来是我写了两个跨域过滤一个是用写过滤器Filter,一个是继承
webmvcconfigureradapter然后我注释了其中一个就可以了,我想应该是两个跨域处理器冲突了

拓展
现在开发客户端都是发非简单请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者
Content-Type字段的类型是application/json。也就是通过json数据交互
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

流程
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的
XMLHttpRequest请求,否则就报错。

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
一般不特殊指定源的话都将Access-Control-Allow-Origin设置为*
除了Origin字段,"预检"请求的头信息包括两个特殊字段。
(1)Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法
所使用到的方法也是要在跨域处理器中说明
也就是在Access-Control-Allow-Methods中加入各种请求方法
例如:POST PUT, GET, OPTIONS, DELETE
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段
这个上面有说到,项目需要什么额外的请求头字段就添加上去
服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method和
Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
说了这么
我分享下我的跨域处理的代码(我这里是使用过滤器的写法,也可以使用继承
webmvcconfigureradapter的方法)

@Component
public class CorsFilter implements Filter {

    /*跨域请求配置*/
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;

        HttpServletRequest reqs = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "5000");
        response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,Authorization,Token");
        chain.doFilter(req, res);
    }
    @Override
    public void init(FilterConfig filterConfig) {}
    @Override
    public void destroy() {}
}

继承webmvcconfigureradapter的方法

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT")
                .allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
                        "Access-Control-Request-Headers")
                .exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
                .allowCredentials(true).maxAge(3600);
    }
}

注:以上写法二选一即可,两个都写估计还是会冲突,两者作用一样只是写法不同
装载自: 意识流丶(https://www.jianshu.com/p/a02500ef1446)

programer_bei
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot 服务器访问问题(已解决)
counsiken的博客
04-04 1979
第一步:  在springboot配置中加入org.springframework.web.filter.CorsFilter过滤器,位置自定义(可以是直接的WebAppConfiguration,也可以是直接在一个能被扫描的加了org.springframework.context.annotation.Configuration注解的类中,甚至是application启动类中也行)这里是所有资...
spring boot 配合前实现
u014539558的专栏
05-05 328
springboot项目中新建一个类,代码如下:package com.example.demo; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors...
spring配置CORS后未返回Access-Control-Allow-Origin的踩坑解决
07-09 5849
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
axios 添加 token 后问题
qq_43232345的博客
05-17 2872
**问题:**后端配置好了,但是前在HTTP header添加token后,又产生问题请求配置: const service = axios.create({ baseURL: 'http://127.0.0.1:5555/', headers: { 'content-type': 'application/x-www-form-urlencoded;charset=UTF-8', }, // 配置超时时间 timeout: 5000, }); // 请求拦截
问题Access-Control-Allow-Headers 列表中不存在请求标头服务处理方案
weixin_43401380的博客
06-05 1万+
问题配置以及Access-Control-Allow-Headers列表不存在请求表头的处理方案
解决前后端分离 vue+springboot session+cookie失效问题
01-19
环境: 前 vue ip地址:192.168.1.205 后端 springboot2.0 ip地址:192.168.1.217 主要开发后端问题: ...后续请求取出的用户都为null。 解决过程: ...后台添加过滤器,因为前后端分离,不可能每个方
vue+springboot后端分离实现单点登录问题解决方法
08-28
Vue+SpringBoot后端分离实现单点登录问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
SpringBoot+Vue前后端分离实现请求api问题
08-19
在这篇文章中,我们将讨论如何使用SpringBoot和Vue实现前后端分离,并解决请求api问题。 前解决方案 在Vue项目中,我们可以使用代理来解决问题。我们可以在项目中创建一个vue.config.js文件,并在其中...
后端分离问题
01-07
问题来源于浏览器的同源策略。客户和服务不同IP不同口都算springboot解决有cros,配置就是那几项。 如果把服务程序部署在nginx上,在nginx 也可以解决,服务和nginx只用写一个即可, ...
解决Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight 问题
一条吃软饭的软狗
08-27 3万+
错误 用axios.post发送请求的时候出现以下错误   错误原因   解决方法 1 设置Content-Type类型 axios.post('url',{ data },{ headers: {'Content-Type': 'application/x-www-form-urlencoded'} //加上这个 }) 2 改写axios 在&lt...
记使用axios(头允许)问题Access-Control-Allow-Headers
零杠六
06-08 1万+
记使用axios(头允许)问题Access-Control-Allow-Headers
SimpleCORSFilter 解决访问出错: Request header field token is not allowed by Access-Control-Allow-Heade
qq_21359207的博客
12-13 1410
CORS细节详解:https://blog.csdn.net/u012178818/article/details/80243241 filter文件夹下添加SimpleCORSFilter.java package cn.***.filter; import java.io.IOException; import javax.servlet.Filter; import javax.s...
Vue小模块之用户登录功能(六)使用axios解决‘Access-Control-Allow-Origin’
究极死胖兽的博客
03-18 11万+
Vue小模块之用户登录功能(六)使用axios解决‘Access-Control-Allow-Origin’ 技术栈 Vue全家桶: 前框架 Vue.js 状态管理 Vuex 动态路由匹配 vue-router http服务 axios 模块打包 webpack UI框架 element 数据服务器 服务器 node.js 基于node的web框架 express ...
Origin http://localhost:3000 is not allowed by Access-Control-Allow-Origin
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
09-26 4096
安装插件: Allow-Control-Allow-Origin: * fetch的请求中就不必带mode:“no-cors”这句话了   参考: https://stackoverflow.com/questions/35588699/response-to-preflight-request-doesnt-pass-access-control-check    ...
Request header field * is not allowed by Access-Control-Allow-Headers in preflight response
秦学强
04-02 1万+
问题记录:请求 headers里添加自定义header时,出现以下错误错误原因   参考:https://www.cnblogs.com/cc299/p/7339583.html解决方法如下nginx  配置 add_header 'Access-Control-Allow-Headers' 添加 自定义header add_header 'Access-Control-Allow-Heade...
解决Ajax问题:Origin xx is not allowed by Access-Control-Allow-Origin
博茨瓦纳的狮王
09-01 1万+
今天一个Ajax问题,纠结我半天,记录之。      title     src="http://code.jquery.com/jquery-1.7.1.min.js">             $.ajax({             url:"http://map.yanue.net/gpsApi.php?lat=22.502412986242&lng=113.93832783
Webpack dev server热加载失败的解决办法
甘焕的博客
05-10 9699
利用Webpack dev server作为热加载服务器时,出现以下错误:XMLHttpRequest cannot load http://localhost:8080/dist/06854fc8988da94501a9.hot-update.json. No 'Access-Control-Allow-Origin' header is present on the requested res
返回的错误提示信息
yanfeng918的专栏
01-09 3984
Google: XMLHttpRequest cannot load http://localhost:8080/spring01/user/test. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:36813' is therefore
ajax 设置Access-Control-Allow-Origin实现访问
热门推荐
傲雪星枫
06-06 49万+
ajax访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 即使使用jquery的jsonp方法,type设为POST,也会自动变为GET。如果使用POST方式,可以使用创建一个隐藏的iframe来实现,与ajax上传图片原理一样,但这样会比较麻烦。因此,通过设置Access-Control-Allow-Origin来实现访问比较简单。
SpringBoot后端分离项目问题怎么解决
最新发布
05-19
1. 在后端的代码中添加配置,可以使用 `@CrossOrigin` 注解或者自定义过滤器实现。 2. 在前的代码中发送 Ajax 请求时,需要设置 `xhrFields` 的 `withCredentials` 属性为 true,并且设置 `crossDomain` 属性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值