Http跨域和处理方案

最新推荐文章于 2024-03-10 15:41:33 发布
最新推荐文章于 2024-03-10 15:41:33 发布
阅读量538 收藏 1
点赞数
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35591409/article/details/133888940
版权

1 跨域出现的原因

​ 跨域问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、域名和端口的资源。如果一个请求的目标资源的协议、域名或端口与当前页面的不同,就会触发跨域请求。跨域问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。但是有时候,我们确实需要进行跨域请求,比如在前端开发中使用 Ajax 请求获取其他域名下的数据。为了解决这个问题,出现了一些跨域解决方案,如 JSONP、CORS(跨域资源共享)、服务器代理等。这些解决方案可以使跨域请求变得可行,同时保证了安全

2 同源策略

  • 同源策略是浏览器用来约束数据请求的安全机制。同源策略要求:发起请求方和被请求方必须同协议、同域名、同端口,只要有一个不同,且被请求方没有设置CORS策略,那么本次请求会被认为跨域。

    • 协议:http 和 https
    • 域名:www.baidu.com 和 baike.baidu.com
    • 端口::8080 和 :8081

需要注意的是,当在跨域 (Cross-Origin) 场景中发送简单请求时,浏览器会使用 CORS (Cross-Origin Resource Sharing) 机制来验证是否允许跨域请求。服务器必须在响应中包含适当的 CORS 标头来授权浏览器进行请求。

3 请求类型

1 简单请求

在Web开发中,HTTP (Hypertext Transfer Protocol) 是一种用于在客户端和服务器之间传输数据的协议。简单请求 (Simple Request) 是其中一种HTTP请求类型。

简单请求是指符合以下条件的请求:

使用以下HTTP方法之一:GET、HEAD、POST。
使用除了自定义标头之外的标准标头。
不发送异步请求,如XMLHttpRequest的withCredentials标志设置为true。
不使用流式传输(Streamed)。
请求的内容类型(Content-Type)为以下之一:
application/x-www-form-urlencoded
multipart/form-data
text/plain
简单请求的特点是在发送请求时,浏览器不会发送额外的预检请求(Preflight request)来验证服务器是否允许该请求。相反,浏览器直接发送请求并等待服务器的响应。

需要注意的是,当在跨域 (Cross-Origin) 场景中发送简单请求时,浏览器会使用 CORS (Cross-Origin Resource Sharing) 机制来验证是否允许跨域请求。服务器必须在响应中包含适当的 CORS 标头来授权浏览器进行跨域请求。

2 预检请求

预检请求(Preflight Request)是在某些跨域请求场景下,由浏览器自动发送的一种HTTP OPTIONS请求。预检请求用于在发送实际请求之前,询问服务器是否允许实际请求的跨域访问。

当发起跨域请求并满足以下条件之一时,浏览器会发送预检请求:

使用非简单请求(非简单请求的条件见前一个回答)。
在发送请求时,使用了自定义的标头(例如,使用了不在允许标准标头列表中的标头)。
预检请求的目的是让服务器告知浏览器,是否允许实际的跨域请求。预检请求中的OPTIONS请求会带有额外的头部字段,如Access-Control-Request-Method(指定实际请求使用的HTTP方法)和Access-Control-Request-Headers(指定实际请求中包含的自定义标头)。

服务器接收到预检请求后,会检查请求头部的信息,并在响应中包含适当的CORS头部字段,以指示是否允许实际请求。响应中的CORS头部字段包括:

Access-Control-Allow-Origin:指定允许跨域访问的源。
Access-Control-Allow-Methods:指定允许使用的HTTP方法。
Access-Control-Allow-Headers:指定允许使用的自定义标头。
Access-Control-Max-Age:指定预检结果的缓存时间(以秒为单位)。
只有在服务器返回允许跨域请求的CORS头部字段时,浏览器才会发送实际的请求,否则将不会发送实际请求,并且JavaScript代码无法访问响应数据。

4 如何处理跨域问题

思路就是修改响应头,将响应头中添加浏览器所要求的数据,进而实现跨域

1 全局处理

重写WebMvcConfigurer

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                //是否发送Cookie
                .allowCredentials(true)
                //放行哪些原始域
                .allowedOriginPatterns("*")
                .allowedMethods(new String[]{"GET", "POST", "PUT", "DELETE"})
                .allowedHeaders("*")
                .exposedHeaders("*");
    }
}

设置新的 CorsFilter

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1. 添加 CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //放行哪些原始域
        config.addAllowedOrigin("*");
        //是否发送 Cookie
        config.setAllowCredentials(true);
        //放行哪些请求方式
        config.addAllowedMethod("*");
        //放行哪些原始请求头部信息
        config.addAllowedHeader("*");
        //暴露哪些头部信息
        config.addExposedHeader("*");
        //2. 添加映射路径
        UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
        corsConfigurationSource.registerCorsConfiguration("/**",config);
        //3. 返回新的CorsFilter
        return new CorsFilter(corsConfigurationSource);
    }
}

2 局部处理

注解

@RestController
@CrossOrigin(origins = "*")
public class TransferController {
    @RequestMapping("/addRecycleList")
    public Result<String> addRecycleList({
       // todo
    }
}

手动设置

    @RequestMapping("/addRecycleList")
    @CrossOrigin(origins = "*")
     //@CrossOrigin(value = "http://localhost:8081") //指定具体ip允许跨域
     public Result<String> addRecycleList({
       // todo
    }

springBoot处理

import org.springframework.context.annotation.Configuration;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebFilter(filterName = "CorsFilter ")
@Configuration
public class CorsFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
    }
}
翔fly
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP跨域
low666的博客
03-16 563
HTTP跨域 1.跨域请求 浏览器同源策略的限制(访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认不允许。访问不同源的资源就叫做跨域) 2.同源策略 同源策略,是浏览器的一种核心最基本的安全策略。它对来之不同远的文档或脚本对当前文档的读写操作做了限制。同源,即协议相同,域名相同,端口相同 3.跨域问题的产生 域问题的源头在于浏览器的同源策略,当违反了浏览器同源策略时,可能就会产...
http中解决跨域的几种方法(代码实测)
码农小默
06-01 6885
一、概念 1.什么是跨域跨域是浏览器安全机制,其实就是说你请求访问的域名与ajax请求地址不一致,浏览器会直接无法返回请求结果。 二、跨域的例子展示 1.项目demotesta 1.1.目录结构 1.2.pom.xml <dependency> <groupId>javax.servlet</groupId> <artifa...
详解HTTP跨域
summer_fish的专栏
08-06 6042
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
HTTP----跨域解决方式
最新发布
m0_58794378的博客
03-10 2285
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
Http访问跨域解决
热门推荐
程序员深夜写bug
03-23 1万+
一、跨域科普跨域,即跨站HTTP请求(Cross-site HTTP request),指发起请求的资源所在域不同于请求指向资源所在域的HTTP请求。二、如何产生跨域当使用前后端分离,后端主导的开发方式进行前后端协作开发时,常常有如下情景:    a、后端开发完毕在服务器上进行部署并给前端API文档。    b、前端在本地进行开发并向远程服务器上部署的后端发送请求。    c、在这种开发过程中,如...
HTTP中的跨域请求、HTTP报文结构、状态码
qq_44886213的博客
01-13 7457
对这篇博客的理解及记录:HTTP跨域的原因及解决方法(CORS 和 JSONP) - 简书 一、前驱知识学习 要理解跨区请求的话,需要对HTTP的报文结构、状态码有所了解。 HTTP 有两类报文: (1)请求报文——从客户向服务器发送请求报文。 (2)响应报文——从服务器到客户的回答。 (1)请求报文 命令/方法:常见的有GET、POST、HEAD (2)响应报文 状态码: (1)状态码都是三位数字 1xx 表示通知信息的,如请求收到了或正在进行处理。 2xx 表示成功
HTTP请求跨域问题
qq_42765662的博客
07-28 1300
前端开发中经常出现跨域问题,了解跨域的原理及其解决方法
Springboot跨域CORS处理实现原理
08-19
本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
springmvc跨域处理和过滤器方式跨域处理主要代码
04-08
Spring MVC提供了多种解决跨域问题的方法,其中两种常见的策略是使用CORS(Cross-Origin Resource Sharing)配置和Filter过滤器。 ### CORS配置 CORS是一种标准的W3C规范,它允许服务器放宽同源策略的限制。在...
关于python 跨域处理方式详解
09-17
Python跨域处理主要涉及到Web开发中的同源策略(Same-Origin Policy),这是浏览器实施的一种安全机制,旨在防止恶意脚本从不同源获取敏感信息。当一个Web应用试图通过HTTP请求访问不同源的资源时,浏览器会根据同源...
springboot跨域CORS处理代码解析
08-25
Spring Boot 跨域 CORS 处理代码解析 Spring Boot 跨域 CORS 处理是指在不同源之间共享资源时,如何解决浏览器的同源策略限制的问题。同源策略是浏览器的一种安全机制,禁止非同源访问,以防止恶意脚本攻击。为了...
webapi跨域处理
02-11
JSONP适用于简单的GET请求,而CORS提供更强大、更安全的跨域解决方案,支持所有HTTP方法和自定义请求头。在实际开发中,应根据项目需求和安全性考虑选择合适的方式。同时,理解并正确实现这些跨域机制,对于提升Web...
http跨域详解
weixin_34151004的博客
12-25 661
跨域 为什么会有跨域??由于浏览器的同源策略限制,浏览器会拒绝跨域请求,那么什么是同源呢?如果两个页面的协议,端口,和域名都相同,则两个页面具有相同的源。如果3者有一个不同,则为跨域。 域的更改 页面可能会因某些限制而改变他的源。脚本可以将document.domain的值设置为其当前域或者当前域的超级域。如果将其设置为其当前域的超级域...
http协议(一)CORS跨域请求的限制与解决
Niall_Tonshall的博客
03-17 3005
1. 什么是跨域? 要了解什么是跨域,首先需要知道什么是同源策略。同源策略是由Netscape公司提出的一个注明的安全策略,所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当页面执行一个脚本时会检查访问的资源是否同源,如果非同源,那么在请求数据时,浏览器就会在控制台中抱一个异常,提示拒绝访问。 同源策略一般又分为两种: DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的; XmlHttpReq
C# 后端WebApi实现跨域
glmushroom的专栏
11-06 1059
之前写过以dll为宿主的WebApi实现,参照: https://blog.csdn.net/glmushroom/article/details/107538919 现在遇到前端跨域问题。 在NuGet中引入 在配置中进行设置 : config.EnableCors(); config.EnableCors(new EnableCorsAttribute("*", "*", "*")); public static bool isHostStart = false;
跨域超详解
皮卡丘的情绪
07-06 1191
尽管存在跨域请求的限制,但同源策略对于保护用户和维护网络安全至关重要。开发人员可以使用服务器端的代理或通过在服务器上配置 CORS 等方式来解决跨域问题。这样可以确保跨域请求只在受信任的环境下进行,并减少潜在的安全风险
HTTP跨域问题的解决方案
Star_CSU的博客
05-30 6430
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
Http请求跨域(一)什么是跨域请求
chihejin3005的博客
11-02 1539
跨域问题,是web开发常见的一个问题。自以为工作多年,解决跨域这种“小问题”自是不在话下。但是朋友的一次求助让我发现自己只知其然而不知其所以然。 下面是事情经过,可以直接跳过本段 事情的的经过是:某天A自己设计了一个网站,请B帮忙开发部署。一切都比较顺...
HTTP跨域方法
思维小刀
04-29 999
1.简述 1.1协议端口主机不同就是跨域 1.2跨域时报错 Failed to load http://bb.bb.bb/data.php?aaaa=1111: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://aa.aa.aa' is therefor...
https和http跨域问题处理
07-14
https和http之间的跨域问题是由于浏览器的同源策略引起的。同源策略要求网页只能访问同源(协议、域名、端口号相同)的资源,而访问不同源的资源会受到限制。 为了处理https和http之间的跨域问题,可以考虑以下几种方法: 1. 使用代理:可以在服务器端设置一个代理,将http请求转发到https上。这种方法可以通过后端实现,将请求发送到同源的https服务器上,再将结果返回给前端。 2. CORS(跨域资源共享):可以在https服务器上配置CORS,允许来自http的请求访问资源。通过设置响应头中的Access-Control-Allow-Origin字段,指定允许访问的域名。 3. JSONP:JSONP是一种跨域请求的方法,通过动态创建<script>标签,将请求结果作为回调函数的参数返回。需要后端配合,将数据包装成JavaScript函数的调用,返回给前端。 4. Nginx反向代理:可以使用Nginx作为反向代理服务器,将http请求转发到https上。通过配置Nginx的代理规则,将http请求转发到https服务器。 以上是一些常见的处理https和http跨域问题的方法,具体选择哪种方法可以根据实际情况和需求来决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值