跨域相关问题总结

最新推荐文章于 2022-07-26 13:26:17 发布
最新推荐文章于 2022-07-26 13:26:17 发布
阅读量180 收藏
点赞数
分类专栏: 04Java多线程高并发 文章标签: 跨域 cors 跨域原理 同源策略

1、什么是跨域


理解跨域首先必须要了解同源策略。 
同源策略:是浏览器上为安全性考虑实施的非常重要的安全策略。 
何谓同源: URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。

同源的判定:
http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源:(原因里未申明不同的属性即说明其与例子里的原链接对应的属性相同)

链接结果原因
http:// www.example.com /dir/page2.html同协议同域名同端口
http:// www.example.com /dir2/other.html同协议同域名同端口
http://user:pwd@ www.example.com/dir2/other.html同协议同域名同端口
http://www.example.com: 81/dir/other.html端口不同
https://www.example.com/dir/other.html协议不同端口不同
http:// en.example.com/dir/other.html域名不同
http:// example.com/dir/other.html域名不同(要求精确匹配)
http:// v2.www.example.com/dir/other.html域名不同(要求精确匹配)
http://www.example.com: 80/dir/other.html不确定取决于浏览器的实现方式

不同源之间的访问即为跨域。

2、同源政策的目的

同源策略的目的是为了保证用户信息的安全。防止恶意的网站盗取数据。

设想这样一个情景:A网站是一家银行,用户登录以后,又去浏览其他的网站B,如果网站B可以读取A网站的Cookie,会发生什么问题?

显然,如果Cookie包含隐私(比如存款总额),这些信息就会泄露,更可怕的是,Cookie往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒用户,为所欲为。因为浏览器同时还规定,提交表单不受同源策略的限制。

由此可见,“同源政策”的必要性,否则Cookie可以共享,互联网就毫无安全可言了。

3、实现跨域访问的方式之一

 

首先写一个简单的H5页面test.htm


<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>TEST CSRF</title>

<script type="text/javascript" src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-3.2.1.min.js"></script>

<script type="text/javascript">

var url="http://localhost:7001/account/login";

$.ajax({

url:url,

type:'POST',

data:'userId=root&password=root',

success:function (data) {

alert(data);

},

error:function (xhr,status,error) {

alert(status);

alert(error);

}

});

</script>

</head>

<body>

</body>

</html>

把这个页面放在tomcat上,启动tomcat,服务端口设为8080,使页面源与请求的资源源不同源。

 

http://localhost:7001/account/login是我本地的一个Spring cloud项目提供的服务接口。


@PostMapping("/account/login")
@ResponseBody
public ResultModel<String> login(
      HttpServletResponse response,
      HttpServletRequest request,
      @RequestParam String userId,
      @RequestParam String password ){
   //response.setHeader("Access-Control-Allow-Origin","*");
   return this.accountService.login(response, userId, password);
}

首先把response.setHeader("Access-Control-Allow-Origin","*");  注掉

 

两个应用同时启动,浏览器打开http://localhost:8080/test.htm,结果如下:

浏览器F12,控制台输出如下:


为了证明浏览器确实发出请求了,并且接收到数据了,用fidller抓包来分析一下,抓包结果如下:

请求报文

响应报文

真相大白,浏览器确实发出请求,并且接收到数据了。但是因为响应头没有"Access-Control-Allow-Origin",所以拒绝把数据返回给前端。

响应头

 

我们把response.setHeader("Access-Control-Allow-Origin","*"); 的注释解开,再请求一下,结果如下:

现在响应头多了一行,再看H5前端,成功拿到数据

 

更多的跨域问题请参考以下链接

本文部分内容转自:

https://blog.csdn.net/menghuanzhiming/article/details/78980761

https://blog.csdn.net/wonking666/article/details/79159180

https://blog.csdn.net/bu1bu2/article/details/54138867

https://blog.csdn.net/fanlei5458/article/details/81007366

https://blog.csdn.net/brycegao321/article/details/52841626

https://blog.csdn.net/zmx729618/article/details/53319383

https://blog.csdn.net/u013084331/article/details/51114288

 

专注_每天进步一点点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域相关问题
哇哦~
10-15 174
https://www.cnblogs.com/dennyzhangdd/p/9042536.html
HTTP——跨域相关问题
可爱一只小小鸟
07-14 260
背景:毕业设计,用C++做HTTP server 跨域导致的问题: 1,直接访问链接可以访问成功,在ajax中,返回状态为200,却跳到error所属的function中,下面代码数据结果为0,0,error error: function(XMLHttpRequest, textStatus, errorThrown) { alert(XMLHttpRequest.status)...
学习记录 - 跨域相关问题
Bingo冲冲冲
07-10 277
1.跨域的定义、类型 2.原本跨域不被允许的原因 3.跨域的解决方案 4.Spring中@CrossOrigin原理
跨域问题详解
Addisoni
01-31 8208
浅谈跨域 阅读须知: 作者是一个在校大学生,尚未工作,以下内容依据个人理解与网上资料编写。若有错误,还请指出,感激不尽。网上对于跨域的解释大多是一堆文字,对于初学者来说往往较难理解,这篇博客我将利用NodeJs搭建一个简易的服务器用于模拟跨域,不懂NodeJs的小伙伴也不用紧张,只是借助于NodeJs来快速搭建一个http服务器。我将以最简单的代码去还原跨域问题。若有兴趣的小伙伴,可自行百度学习...
springboot后端解决跨域问题
08-26
Spring Boot解决跨域问题 在今天的文章中,我们将讨论如何使用Spring Boot解决跨域问题跨域问题是一个常见的安全问题,它是由浏览器的同源策略造成的,即浏览器不能执行其他网站的脚本。 什么是跨域跨域是...
Cesium加载Geoserver跨域问题
10-15
总结一下,解决Cesium加载Geoserver跨域问题的关键在于正确配置Geoserver的CORS策略,允许Cesium所在的源进行请求。同时,理解Web开发中的同源策略跨域资源共享机制对于处理这类问题非常重要。通过遵循上述步骤,...
详解Django解决ajax跨域访问问题
09-20
总结来说,解决Django中的AJAX跨域问题,可以使用`django-cors-headers`中间件实现全局控制,或者直接在`views.py`中为每个视图设置响应头。JSONP虽然是一种简单的方法,但只适用于GET请求,并且不够安全。理解CORS...
django解决跨域请求的问题详解
09-19
总结,Django中解决跨域问题通常推荐使用`django-cors-headers`库,因为它提供了更全面、更灵活的跨域控制。对于小型项目或测试环境,可以直接在`views.py`中设置响应头。了解这些解决方案后,开发者可以根据项目...
nginx服务器配置解决ajax的跨域问题
09-30
总结来说,解决Ajax跨域问题的关键在于设置合适的响应头,而在Nginx服务器上实现这一目标需要对`nginx.conf`或相关站点配置文件进行编辑,添加适当的`add_header`指令。正确配置后,Nginx将允许来自不同源的Ajax请求...
如何处理跨域相关问题整理
betterKeKe的博客
01-18 183
如何处理跨域相关问题整理 为什么会产生跨域同源策略: 域名,端口号,协议 三者相同既符合浏览器的同源策略,如不符合浏览器的同源策略就会出现跨域,即域名,端口号,协议 三者有一个不同就会产生跨域。 一、原生处理跨域 JSONP可用于解决主流浏览器的跨域数据访问的问题。但是有个缺陷,只能解决get请求,不能解决post请求。 主要方法是:动态创建script标签并让src指向后端,后端返回脚本内容,触发浏览器立即加载并执行相应js代码,从而实现前后端无刷新数据交互。 就是前端提供函数的定义和scr
跨域的十种解决方案详解(总结
MoXinXueWEB的博客
07-26 8005
小菜鸟在总结
什么是跨域?如何解决?
GSON的博客
11-01 3万+
一、什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要!!! 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域; 二、跨域访问示例 假设有两个网站,A网站部署在:.
解决跨域问题的8种方案(最新最全)
热门推荐
千里之行,始于足下
02-18 14万+
转自 PheonixHkbxoic 的《前端解决跨域问题的8种方案(最新最全)》 原址:https://www.cnblogs.com/PheonixHkbxoic/p/5760838.html 1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 ...
跨域相关问题:为何会产生跨域?如何解决跨域
小小谷的博客
06-24 660
之前面试官基本都是问如何解决跨域问题,今天遇到一个公司问什么是跨域,为什么会产生跨域问题,虽然之前看过相关问题,但是突然感觉有点蒙,自我感觉回答的不是很全面和准确,所以啊,看问题还真是得知其然并知其所以然,今天算重新加深一下对跨域的理解! 首先为何会产生跨域跨域问题是因为浏览器的同源策略引起的,一种浏览器的安全机制,要求协议,域名,端口,都要一致! 贴(tou)张图,一目了然,
跨域的几种常见的解决方式
weixin_42039396的博客
04-22 3万+
今天给大家分享一下,修真院官网JSS-5任务中可能会使用到的知识点:1.背景介绍1.1什么是跨域跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。广义的跨域:1.) 资源跳转: A链接、重定向、表单提交2.) 资源嵌入: link script img frame等dom标签,还有样式中background:url()、@font-face()等文件外链3.) 脚本请求:...
跨域问题及解决方案
xuguxiong的博客
05-17 1050
一、什么是跨域问题跨域问题是由浏览器的自我保护机制产生。首先了解下什么是浏览器的同源策略,浏览器在访问目标地址时,当协议,IP,端口都一致的情况下才会是同源。当三者中有任意一方不一致就会产生跨域问题。注意这里协议,IP,端口在比较时,是浏览器在访问前端(比如VUE)静态资源的地址(协议,IP,端口)和界面访问后端服务器地址的协议IP端口作比较。因为浏览器最终会先去访问VUE静态资源,经渲染后在浏览器界面进行展示,然后再在界面中对后端接口进行调用。 二、如何解决跨域问题: 1.JsonP(不推荐,存
跨域问题的出现与解决
qq_41858479的博客
10-25 3116
                                 jeecg 跨域问题的出现与解决 跨域问题是如何看出来的 对于前后端相互分离的代码来说利用AJAX进行交互,在谷歌控制台上会出现请求头相关的信息,这就说明跨域了。 具体错误信息为:”Access-Control-Allow-Origin” head…… 什么是跨域 浏览器从一个域名的网页去请求另一个域名的资源时,域名、...
浏览器同源政策及其规避方法
aoquandao8917的博客
04-12 802
作者:阮一峰 摘自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 ...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值