跨域访问问题

最新推荐文章于 2024-07-29 09:35:31 发布
最新推荐文章于 2024-07-29 09:35:31 发布
阅读量347 收藏
点赞数 1
分类专栏: 其他 文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30033537/article/details/110693363
版权

跨域访问

在日常开发中,尤其是在微服务架构下,不同的微服务部署在不同的端口上,不同端口之间的请求跳转有可能会遇到CORS问题,即:No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

这是浏览器为了保证安全提供安全策略:

  • 规定只有同源的网页才能共享Cookie
  • 规定AJAX请求只能发给同源的网址,否则就报错

如果违反了以上规定,浏览器将会拦截跨域请求,抛出:**No ‘Access-Control-Allow-Origin’ header is present on the requested resource.**等提示。

解析我们从同源策略开始熟悉跨域访问以及跨域问题的解决。

1. 跨域问题由来

1.1 同源策略

1、同源策略简介

浏览器安全的基石是"同源政策"(same-origin policy)。

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。

  • 协议相同

  • 域名相同

  • 端口相同

举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下。

http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)

2、同源策略目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。

由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。

随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制。

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求不能发送。

3、跨域问题

虽然同源策略是必要的,但有时候合法的用途也会受到限制,这时我们可以通过三种方式进行规避:JSONP、WebSocket、CORS

而作为后台开发,我们最常用的便是使用CORS。

1.2 CORS

1、CORS简介

CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是W3C标准,是跨源AJAX请求的根本解决方法。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。

对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。

2、CORS执行流程

CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

我们暂且不谈,主要了解非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUTDELETE,或者Content-Type字段的类型是application/json

image-20201205150915243

1、浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

2、服务器收到"预检"请求以后,检查了OriginAccess-Control-Request-MethodAccess-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

3、一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

2.解决跨域问题

1.2CORS我们知道:浏览器遇到跨域的AJAX请求时,先发一个预检请求询问服务器,当前网页所在的域名是否在服务器的许可名单之中,而作为服务器端的我们就收到预检请求之后,进行检查,如果符合就需要响应肯定回复。之后每次浏览器正常的CORS请求和普通请求一样。

1、浏览器端的预检请求

OPTIONS /cors HTTP/1.1							# 预检请求用的方法是OPTIONS
Origin: http://api.bob.com						# 表示请求来自那个源
Access-Control-Request-Method: PUT				# 浏览器的CORS请求会用到哪些HTTP方法
Access-Control-Request-Headers: X-Custom-Header # 指定浏览器CORS请求会额外发送的头信息字段
Host: api.alice.com			
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

2、服务端对浏览器的预检请求的肯定响应

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com # 表示该网址可以请求数据,*表示允许跨源请求
Access-Control-Allow-Methods: GET, POST, PUT	# 表明服务器支持的所有跨域请求的方法
Access-Control-Allow-Headers: X-Custom-Header   # 表明服务器支持的所有头信息字段 
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

3、浏览器正常请求

PUT /cors HTTP/1.1
Origin: http://api.bob.com						# 浏览器自动添加
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

4、服务器正常恢复

Access-Control-Allow-Origin: http://api.bob.com	# 每次回应都必定包含的
Content-Type: text/html; charset=utf-8

1.1 SpringCloud环境下解决同源问题

从上面可以知道,作为服务器端,我们需要判断Origin: http://api.bob.comAccess-Control-Request-Method等判断该请求是否合法跨源请求,如果合法即响应Access-Control-Allow-OriginAccess-Control-Allow-Methods等来确认。

在微服务中,我们在网关对请求进行拦截,过滤出跨域请求,并允许所有跨域请求:

@Configuration
public class ApplicationCorsConfig {

    @Bean
    public CorsWebFilter corsWebFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 允许所有的请求头
        corsConfiguration.addAllowedHeader("*");
        // 允许所有方法跨域
        corsConfiguration.addAllowedMethod("*");
        // 运行所有源请求跨域
        corsConfiguration.addAllowedOrigin("*");
        // 跨域请求默认不包含Cookie,设置为true可以包含Cookie
        corsConfiguration.setAllowCredentials(true);
        source.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsWebFilter(source);
    }
}

3. 总结

1、Netscape公司为了保证浏览器的使用安全引用了同源策略,同源策略中规定Ajax请求只能发给同源网址,否则报错。

2、但是在实际场景下有可能需要用到跨源访问,于是W3C提出了CORS标准,允许我们通过特殊策略,进行跨源资源分享

3、CORS标准下,浏览器会对跨源请求发送预检请求,作为服务器端需要判断请求是否合法,同时响应预检请求。

参考资源

阮一峰-跨域资源共享 CORS 详解

阮一峰-浏览器同源政策及其规避方法

跨源资源共享(CORS)

tobing
关注
专栏目录
js解决跨域访问问题
11-09
js解决跨域访问问题,在用js访问web后台方法的时候,有时候会遇到跨域访问问题。文档中介绍了跨域访问产生的原因以及相应的解决办法及代码示例。
Vue开发环境跨域访问问题
10-15
本文将深入探讨Vue开发环境中的跨域访问问题,并提供解决方案。 首先,理解“跨域”(CORS,Cross-Origin Resource Sharing)的概念至关重要。同源策略是浏览器为了安全而实施的一项策略,它禁止了一个源(协议+...
http方式提交get和post接口工具类
一点一滴一昆仑
01-02 392
简洁明了,直接上代码啦 import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.UnsupportedEncodingException; import java.net.HttpURLConnection; import java.n...
跨域问题分析以及解决方案
最新发布
new9232的博客
07-29 791
文章主要介绍了什么是跨域问题以及跨域问题的解决方案
WEB 访问跨域问题
liman1002的专栏
12-25 159
解决方案: 在ajax请求处添加 dataType:"JSONP" 在servlet处写 response.addHeader("Access-Control-Allow-Origin","*");  
ASP.NET MVC中设置跨域访问问题
10-18
在ASP.NET MVC框架中,跨域访问问题是一个常见的开发挑战,主要是由于浏览器的同源策略所限制。同源策略规定,JavaScript只能与相同协议、主机和端口的资源进行交互,以防止恶意脚本跨站执行。然而,在实际应用中,...
关于C#中ajax跨域访问问题
01-20
跨域访问是指什么? [跨域]:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。所谓同域是指,域名,协议,端口均相同,不明白没关系,举个栗子:例如,我...
jquery 跨域访问问题解决方法(笔记)
10-28
这篇文章主要讲述了解决jQuery跨域访问问题的方法,并且通过一个具体的案例来说明了问题的解决过程。 首先,让我们明确什么是跨域访问问题跨域访问指的是当一个网页试图从不同域名的服务器请求资源时,由于浏览器...
tomcat解决跨域访问问题配置
09-06
tomcat解决跨域访问问题,具体配置如下: 1、修改tomcat下的Conf/web.xml文件,在该文件内容中新增以下配置,注意,若该web.xml中存在其它filter,则需要将该filter放在所有filter前面; <filter-name>...
服务访问跨域问题
Rio520的博客
02-23 306
#cors 跨域相关、Http Header相关 cors.enabled: true cors.allowed-origins: "*" cors.allowed-headers: x-auth-token,x-request-id cors.exposed-headers: x-auth-token 把这个配置加在java项目配置文件里面 nginx跨域问题 把一下的配置添加至主配置文件,重...
chrome跨域访问
LLG
08-11 1349
在做前端开发的时候难免会遇到浏览器跨域访问问题。前段时间我在写前端页面调试的时候发现自己的Ajax请求书写正确,后台也真正常返回数据,但是Ajax一直error方法。在网上搜了一些报错,发现网上好多误导信息,其实就是一个跨域问题,却有好多网友给出一些其他的乱起八糟的回答;所以我总结一下跨域错误信息以及解决跨域解决方法供大家使用,文中会借鉴一些大牛们的一些经验供大家参考。 例如:下面就是
跨域问题详解
Addisoni
01-31 8296
浅谈跨域 阅读须知: 作者是一个在校大学生,尚未工作,以下内容依据个人理解与网上资料编写。若有错误,还请指出,感激不尽。网上对于跨域的解释大多是一堆文字,对于初学者来说往往较难理解,这篇博客我将利用NodeJs搭建一个简易的服务器用于模拟跨域,不懂NodeJs的小伙伴也不用紧张,只是借助于NodeJs来快速搭建一个http服务器。我将以最简单的代码去还原跨域问题。若有兴趣的小伙伴,可自行百度学习...
关于跨域的那些问题及解决办法
hobby云说
03-10 495
首先我们先来了解一下跨域到底是什么,从字面意思来说,就是跨了域名,在不同的域名直接访问,通信是不通的,具体规则如下图所示。 跨域解决方案 1、 通过jsonp跨域 2、 document.domain + iframe跨域 3、 location.hash + iframe 4、 window.name + iframe跨域 5、 postMessage跨域 6、 跨域资源共享(CORS)...
跨域问题详解及解决方案
无简介
04-27 7783
随着 Web 技术的不断发展,前后端分离的开发模式逐渐成为主流。在这种模式下,前端和后端分别独立开发,前端与后端通信的方式多为使用 Ajax 发送 HTTP 请求。然而,由于浏览器的安全策略限制,可能会出现跨域问题,导致请求失败。什么是跨域问题?为什么会出现跨域问题?什么情况下会出现跨域?如何解决跨域问题?代码示例跨域问题指的是在 Web 应用程序中,由于同源策略的限制,导致浏览器无法发送跨域请求,也无法获取跨域响应的问题
关于Ajax跨域访问问题的一种解决办法
热门推荐
家辉自留地
10-10 1万+
关于Ajax跨域访问问题的一种解决办法 日期:2015年10月10日  作者:雨水 概述 Ajax跨域是前端开发中常见的问题,本文描述了以Google浏览器Chrome作为客户端和以Tomcat作为Web服务器的情况下的解决办法。 问题表现 XMLHttpRequest cannot load http://192.168.2.12:8001/oss/api/version/ch
什么是跨域?——详解跨域问题及其解决方案
fudaihb的博客
07-06 6262
跨域问题是Web开发中常见且令人困扰的问题之一。理解跨域的原理及其解决方案对于前后端分离开发尤为重要。本文将详细介绍跨域的概念、产生原因、常见的跨域解决方案,并提供详细的代码示例,帮助读者深入理解跨域问题及其应对方法。
springboot与vue跨域访问问题
05-24
其中@CrossOrigin注解中的origins参数表示允许跨域访问的域名,*表示允许所有域名访问。 2. 在Spring Boot的配置文件中添加CORS配置 在Spring Boot的配置文件中添加以下配置: ``` spring: cors: allowed-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值