Java之旅--跨域(CORS)

最新推荐文章于 2024-03-03 18:19:41 发布
最新推荐文章于 2024-03-03 18:19:41 发布
阅读量1.2w 收藏 13
点赞数 2
分类专栏: 架构运维 Java 文章标签: cors 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/puma_dong/article/details/51395976
版权


什么是跨域


CORS全称:Cross-Origin Resource Sharing

在前后台分离的应用开发中,跨域是经常需要处理的场景。指的是访问不同域名的资源,对于静态资源的访问,比如CSS、GIF、Form请求,不存在跨域问题,一般说跨域问题,就是指的JavaScript的跨域问题以及Cookie的跨域使用问题(是使用,不是读取内容)。

跨域问题的根本原因是浏览器的安全限制,默认禁止跨域的动态资源请求。

参考文章:

http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html

AJAX POST&跨域 解决方案 - CORS

https://www.zhihu.com/question/26379635


Java服务器端跨域解决


一个Java应用,为了支持跨域,允许其他域名的JavaScript脚本访问本应用的资源,通常是在web.xml里面配置一个跨域处理Filter。

<!-- 允许跨域 -->
<filter>
    <filter-name>crossDomainFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>crossDomainFilter</filter-name>
    <url-pattern>/*</url-pattern><!-- 配置允许跨域访问的的url-pattern -->
</filter-mapping>

跨域Filter的一般写法如下: 

@Component("crossDomainFilter")
public class crossDomainFilter implements Filter {

    private static Logger errorLogger = LoggerFactory.getLogger(LogConstants.ERROR);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        try {
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            HttpServletResponse httpResponse = (HttpServletResponse) response;

            // 跨域
            String origin = httpRequest.getHeader("Origin");
            if (origin == null) {
                httpResponse.addHeader("Access-Control-Allow-Origin", "*");
            } else {
                httpResponse.addHeader("Access-Control-Allow-Origin", origin);
            }
            httpResponse.addHeader("Access-Control-Allow-Headers", "Origin, x-requested-with, Content-Type, Accept,X-Cookie");
            httpResponse.addHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.addHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
            if ( httpRequest.getMethod().equals("OPTIONS") ) {
                httpResponse.setStatus(HttpServletResponse.SC_OK);
                return;
            }
            chain.doFilter(request, response);
        } catch (Exception e) {
            errorLogger.error("Exception in crossDomainFilter.doFilter", e);
            throw e;
        }
    }
    @Override
    public void destroy() {
    }
}


跨域解决办法原理


https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS


1、跨域时,浏览器会先发一次OPTIONS请求:OPTIONS 方法在跨域请求(CORS)中的应用

2、Access-Control-Allow-Origin与跨域:http://www.tuicool.com/articles/7FVnMz

3、Access-Control-Allow-Credentials于Cookie:http://zawa.iteye.com/blog/1868108 ,这在SSO中有用,调用方(a.com)把本应用(b.com)的cookie带给SSO,达到了登录认证的目的。


一个Cookie带不上的案例


一个真实项目中,跨域时Cookie没有带上,其中后端有:servletResponse.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,PATCH,DELETE");

前端也有:withCredentials: true 的配置。

解决问题的文章:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS#Preflighted_requests

由于浏览器发送预检请求时,即OPTIONS,发现后端Access-Control-Allow-Methods没有OPTIONS,则后续的跨域请求就终止了,也就不会有后续的带Cookie的事情了。


前后台分离系统跨域时两种解决办法


场景:前端是a.com;后端是b.com,则解决跨域有如下两种场景:

1、配置好允许跨域相关配置,a.com请求b.com时,每次都通过跨域的配置,把cookie或者自定义Http头内容传给b.com,b.com拿到相关数据后进行身份验证;这种办法对于用户身份的cookie信息,实际是种在a.com下面的;这种方式需要前端处理登录,写Cookie等操作;

2、置好允许跨域相关配置,a.com请求b.com时,发现没有权限,则请求b.com的一个登录中转页面,b.com登录后,把用户身份信息种在b.com的cookie下面;这种方式,前端是纯展示层,不需要处理登录,写Cookie等操作。


总结


吃透了浏览器行为,和Http协议,就能对跨域有比较深刻的了解了。貌似这和前端更相关一些。实际的工作中,也是感觉前端对这些理解的更透彻,而后端的RD们更注重的是性能,比较不Care这些技术。


新拖拉机
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决ajax跨域cors-filter-1.7.1 和 java-property-utils-1.9.1 包带源码
04-01
积分多的大佬打赏下,缺积分用;积分不够得移步https://www.cnblogs.com/BambooLamp/p/12603299.html 原文:https://segmentfault.com/a/1190000012469713
JavaCORS跨域问题
enjoy.day
04-11 3346
CORS CORS,全称Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。 后端处理跨域问题的几种方法 1.Java过滤器进行过滤 允许整个项目跨域访问,可设置过滤器 @WebFilter("/*") public class SimpleCORSF
CORS是什么(跨域
thj_blog
02-26 2726
**CORS **(Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的[HTTP头]组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 同源安全策略, 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许跨域请求访问到它们的资源。 同源策略限制了从同一个源加载的...
跨域时,遇到的 options 请求详解
最新发布
huangpb的博客
03-03 274
HTTP 的 options 方法 用于获取目的资源所支持的通信选项。
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested
LIUXIAOYIN_CAIJI的博客
11-20 1370
解决方法 直接复制就ok了 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfig= new CorsConfiguration(); corsConfig.addAllowedOrigin(...
Cors解决Java开发时的跨域问题
个人学习笔记库,一篇一篇记录成长的足迹
02-08 2524
同源与跨域 跨域问题伴随着前后端分离而产生。不想jsp,asp,ejr等嵌入html语言,直接在混入html就可以操作数据库从而获取数据,前后端分离开发的模式,前后端的通讯是基于Ajax技术,这是也是Javascript最重要的技术之一。 为了维护浏览器的安全,指定了同源策略也就是域名、协议、端口均相同的才能进行访问,当页面在执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,就会被浏览器拦截。 但是在前后端分离开发可能使用的软件都不一样,就可能造成三个的不一致。(最常见就是端口)
12:CORS跨域设置-Java Spring
Yeats_Liao的博客
10-05 1788
12:CORS跨域设置-Java Spring
java后端实现CROS跨域请求的方式
zcx12ZCX的博客
05-21 1430
跨域: 跨域就是请求的url的“协议”、“域名”、“端口号”其任何一种不一样都是属于跨域。解决跨域的主要的四种方法是jsonp、跨域资源共享CORS(Cross-Origin Resource Sharing)、proxy代理、webpack间件。 解决方式: 对于CORS跨域请求,主要有以下几种方式可 供选择: 1.返回新的CorsFilter 2.重写WebMvcConfigurer 3.使用注解@CrossOrigin 4.手动设置响应头(HttpServletResponse) 5.自
java 设置 cors,Spring MVC配置CORS
weixin_35997133的博客
03-14 555
SpringFramework从4.2开始支持配置CORS。SpringMVC支持CORS的范围包括:方法级别配置CORS全局配置CORS方法级别配置CORS使用注解@CrossOrgin可以对@RequestMapping注解的方法设置CORS。@RestController@RequestMapping("/users")publicclassUserController{@Cro...
Tomcat解决跨域的两个jar包java-property-utils-1.9.jar和cors-filter-1.7.jar
10-13
解决Tomcat跨域的两个jar包,java-property-utils-1.9.jar和cors-filter-1.7.jar
DRF跨域后端解决之django-cors-headers的使用
09-19
主要介绍了DRF跨域后端解决之django-cors-headers的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java利用cors实现跨域请求实例
08-30
本篇文章主要介绍了Java利用cors实现跨域请求实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java跨域CORS 微服务
11-08
微服务需要几个系统协同配合就需要解决跨域问题,这个就解决了跨域问题
CORS 跨域配置和jar文件
12-09
cors解决前端跨域问题配置和jar
java cxf webservice接口解决跨域问题
05-02
java cxf webservice接口解决跨域问题,cors-filter-1.7.jar、java-property-utils-1.9.jar,以及web.xml文件配置
cors-filter-2.10.jar
10-10
Tomcat设置跨域访问,cors-filter最新版本
cors-filter-2.5.jar
09-07
解决java web应用跨域问题所需要用到的jar包
简析运维监控系统及Open-Falcon
热门推荐
Java之旅
07-24 5万+
监控系统对系统正常运行的作用监控系统对系统正常运行的作用监控系统,可以从运营级别(基本配置即可),以及应用级别(二次开发,通过端口进行日志上报),对服务器、操作系统、间件、应用进行全面的监控,及报警,对我们的系统正常运行的作用非常重要。 我所在的公司,在去年完成了从Zabbix到Open-Falcon的转换,有从小米过来的运维工程师的大力推动的影响,也是由于对于巨量的数据上报/统计,万+上报节点,Zabbix力不从心了,而Open-Falcon这方面更加强大,转换之后,感觉Open-Falcon使用的比较
Jasig cas 单点登录系统Server&Java Client配置
Java之旅
09-12 3万+
Jasig cas(Central Authentication Service)官方站点:http://www.jasig.org/cas,访问这个站点需要翻墙。 我下载的是:3.5.2版本,当前是最新release版本,只能运行在jdk6下,在jdk7下不能运行。 本篇介绍了Jasig cas的单点登录、单点登出的配置和原理,它是一个只负责认证的系统,关于授权,还是要业务系统自己来做。
java怎么用Access-Control-Allow-Origin解决跨域问题
09-06
Java,可以使用以下代码来解决跨域问题并设置Access-Control-Allow-Origin响应头: ```java import javax.servlet.*; import javax.servlet.http.*; import java.io.IOException; public class CorsFilter ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值