如何解决CORS跨域问题

已于 2024-03-14 23:14:04 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: 漏洞处理 文章标签: 服务器 javascript servlet
于 2023-03-30 02:19:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33808756/article/details/129848818
版权
文章介绍了前端跨域的概念及其由浏览器的同源策略导致的原因。接着详细讲解了CORS(跨域资源共享)机制,以及如何通过设置Access-Control-Allow-Origin响应头来解决跨域问题。提供了两种解决方案,包括简单的设置通配符和更安全的指定特定域名。最后,给出了一个Java实现的Filter示例,用于在服务器端控制允许跨域的源。
摘要由CSDN通过智能技术生成

如何解决前端跨域问题

目录

一、什么是跨域,什么是跨域资源共享(CORS)

1.什么是跨域

跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制

同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。—百度百科

2.什么是跨域资源共享(CORS)

引用百度百科的解释。CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

3.如何解决跨域问题

3-1.简单的解决方式

为了解决跨域问题,Access-Control-Allow-Origin 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。在后端添加 Filter 过滤器,设置请求头即可,如下:response.setHeader(“Access-Control-Allow-Origin”, “*”);

3-2.较为完善的解决方式

为了防止骇客利用跨域漏洞进行攻击,一般不写通配符 *,一般写的是请求时Origin字段的值,例如通过 http://localhost:8081 的前端页面访问 http://localhost:8080 的接口,Header头设置如下: response.setHeader(“Access-Control-Allow-Origin”, “http://localhost:8081”);

二、代码实现

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

/**
 *
 * @author c
 * @version $Revision: 1.4 $ 2023-3-29 下午4:01:27
 */
public class HeadFilter implements Filter {
	@Override
	@SuppressWarnings({ "unchecked", "rawtypes" })
	public void doFilter(ServletRequest request, ServletResponse resp, FilterChain chain) throws IOException, ServletException {
		HttpServletResponse response = (HttpServletResponse) resp;
		HttpServletRequest req = (HttpServletRequest)request;
		// 获取请求的域(Origin)
		String origin = req.getHeader("Origin");
		// 如果是自己请求自己(使用测试工具调用接口或直接在浏览器中输入接口访问,非浏览器中的某个网页端中调用接口),则设置 origin 为 requestURL
		if (origin == null) {
			origin = req.getRequestURL().toString();
		}
		// 添加被信任url
		List<String> allowedOrigins = new ArrayList<>();
		// 接口地址
		allowedOrigins.add("http://localhost:8080");
		// 前端地址
		allowedOrigins.add("http://localhost:8081");
		// 如果请求的域在被信任的url中,则认可前端的访问;反之,则拒绝访问,跳转至 error.html 页面
		Boolean refererFlag = false;
		for (String allowedOrigin : allowedOrigins) {
			if (origin.startsWith(allowedOrigin)){
				refererFlag = true;
				break;
			}
		}
		if(refererFlag){
			// 解决跨域访问报错问题
			response.setHeader("Access-Control-Allow-Origin", origin);
			chain.doFilter(request, response);
		}else{
			response.setHeader("Referrer-Policy", "no-referrer");
			request.getRequestDispatcher("error.html").forward(request,response);
		}
	}
	/**
	 * @see Filter#init(FilterConfig)
	 */
	@Override
	public void init(FilterConfig filterConfig) {

	}
	@Override
	public void destroy() {

	}

}
愚小二
关注
专栏目录
如何在Vue项目中解决CORS跨域问题:全栈开发指南
小刘哥的博客
08-10 361
CORS(Cross-Origin Resource Sharing)是一种安全功能,它允许或拒绝Web应用从另一个与其不同源的域请求资源。如果没有适当的CORS设置,浏览器出于安全考虑将阻止前端代码访问不同源的后端服务。
12:CORS跨域设置-Java Spring
Yeats_Liao的博客
10-05 2120
12:CORS跨域设置-Java Spring
使用CORS解决跨域问题
weixin_34163553的博客
05-02 1300
1.跨域问题 1.1 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨...
CORS解决前端跨域案例学习
最新发布
weixin_42576837的博客
08-14 1107
跨域的概念不再解释,直接演示下出现跨域的情况:</</</</</'click'=>fetchthenresponse=>jsonthendata=>'result'JSONstringify;;;</</</点击Fetch Data按钮,向请求数据${`);});打开浏览器直接输入回车,可以返回数据,而且没有任何错误。
Cors解决跨域问题
weixin_46378983的博客
11-27 509
Cors中文名为跨域资源共享,定义了在跨域场景下浏览器和服务器通信的规范,Cors将跨域ajax请求分为两类,一类是简单请求,另一类是非简单请求,两类跨域请求的通信过程存在差别 。 简单请求 什么是简单请求 简单请求要满足两个条件 请求方法类型为以下三种之一 get post head 请求首部字段只含简单头部,简单头部如下 Accept Accept-Langurage Content-Type(必须为application/x-www-urlencoded、multipart/form-dat
解决跨域问题的方法 --- CORS
z_2532040197的博客
08-01 2283
CORS 全称是"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持。但是目前基本上浏览器都支持,所以我们只要保证服务器服务器实现了 CORS 接口,就可以跨源通信。 在数据包的头部配置Access-Control-Allow-Origin字段以后,数据包发送给浏览器后, 浏览器就会根据这里配置的白名单 "放行" 允许白名单的服务器对应的网页来用ajax跨域访问 。...
CORS解决ajax跨域问题
热门推荐
Saytime
05-31 2万+
一、介绍 CROS是现在主流解决跨域问题的方案,未来估计也是趋势。 1. 跨域资源共享(CORS)Cross-Origin Resource Sharing (CORS) 是W3c工作草案,它定义了在跨域访问资源时浏览器和服务器之间如何通信。CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。2. CORS与JSONPCORS与JSONP相
CORS 报错】跨域请求问题:CORS 多种环境下的解决方案
Allen-
07-11 5416
CORS问题是前端开发中常见的一个挑战,但通过合理的代理配置和服务器设置可以有效解决。在不同环境下,可以使用Vite的代理功能、设置请求头、JSONP、服务器端代理、Nginx代理等多种方式来解决跨域问题
解决CORS跨域问题
m0_60226911的博客
04-12 869
CORS跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。
GeoServer配置解决cors跨域问题的依赖jar包和配置说明.zip
05-12
geoserver跨域设置: 1、将cors-filter-2.4.jar和java-property-utils-1.9.1.jar,两个jar包文件放入geoserver目录下webapps\geoserver\web-inf\lib中。 2、打开geoserver目录下webapps\geoserver\web-inf中的web....
CORS解决跨域问题(403问题)
04-04
Tomcat lib目录下添加cors-filter-1.7.jar,java-property-utils-1.9.jar这两个jar包,项目中web.xml 中添加filter,以及出现OPTIONS 类型的请求并返回403的解决方案;压缩文件包含jar文件,以及web.xml配置。
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
nodejs解决cors跨域问题
09-09
解决Node.js中的CORS跨域问题,可以使用以下方法: 在Node.js后台中,可以通过设置响应头来允许跨域访问。在示例代码中,可以看到使用了以下响应头的设置: - 'Access-Control-Allow-Credentials': 'true' :允许...
CORS解决跨域问题
qq_41635401的博客
11-11 4362
跨域问题 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www.jd.com/item www.jd.com/goods 为什么有跨域问题? 跨域不一定会有跨域问题
CORS 跨域解决方案
running_pork的博客
01-04 2042
复杂请求则需要2次,先发起options请求,确认目标资源是否支持跨域,浏览器会根据服务端响应的header自动处理剩余的请求,如果响应支持跨域,则继续发出正常请求;简单跨域请求只需要请求一次,复杂跨域请求需要请求2次,第一次是预检请求(options请求),第二次是真是的跨域请求。所以,当触发预检时,跨域请求便会发送2次请求,增加请求次数,同时,也延迟了请求真正发起的时间,会严重地影响性能。crossDomain: true //// 会让请求头中包含跨域的额外信息,但不会含cookie。
跨域问题CORS解决跨域问题方法
初学者乐园的博客
09-21 1071
1.跨域问题 1.1什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域...
跨域资源共享(CORS)问题与解决方案
Java领域优秀创作者
06-12 2359
跨域资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值