跨域问题小记

原创 已于 2025-09-05 09:09:54 修改 · 831 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #服务器 #网络协议

于 2025-09-05 09:09:18 首次发布

一、简介

跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

跨源 HTTP 请求的一个例子:运行在 https://domain-a.com 的 JavaScript 代码使用 XMLHttpRequest 来发起一个到 https://domain-b.com/data.json 的请求。

出于安全性,浏览器限制脚本内发起的跨源 HTTP 请求。例如,XMLHttpRequestFetch API 遵循同源策略。这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源,除非响应报文包含了正确 CORS 响应头。

跨源资源共享(CORS)

二、CORS原理

浏览器将CORS请求分成两类:简单请求非简单请求

浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。

当我们发起跨域请求时,

    • 如果是非简单请求,浏览器会帮我们自动触发预检请求,也就是 OPTIONS 请求,从而获知服务端是否允许该跨域请求,服务器确认允许之后,才发起实际的 HTTP 请求。
    • 如果是简单请求,则不会触发预检,直接发出正常请求。

服务器收到浏览器跨域请求后,根据自身配置返回对应文件头。若未配置过任何允许跨域,则文件头里不包含 Access-Control-Allow-origin 字段,若配置过域名,则返回 Access-Control-Allow-origin + 对应配置规则里的域名的方式。浏览器根据接收到的响应头里的 Access-Control-Allow-origin 字段做匹配,若无该字段,说明不允许跨域,从而抛出一个错误;若有该字段,则对字段内容和当前域名做比对:

    • 如果同源,则说明可以跨域,浏览器接受该响应;
    • 若不同源,则说明该域名不可跨域,浏览器不接受该响应,并抛出一个错误。

三、简单请求与非简单请求

若请求满足所有下述条件,则该请求可视为简单请求

  • 使用下列方法之一:
  • 只包含简单HTTP请求头,即
      • text/plain
      • multipart/form-data
      • application/x-www-form-urlencoded

四、解决跨域请求

1、方案一:在Controller上添加@CrossOrigin注解

@RestController
@RequestMapping(value = "/admin")
@CrossOrigin(allowCredentials = "true" , originPatterns = "*" , allowedHeaders = "*") // maxAge默认值是30min
public class IndexController {

}

弊端:每一个controller类上都来添加这样的一个接口影响开发效率、维护性较差

2、方案二:添加一个配置类配置跨域请求

@Component
public class WebMvcConfiguration implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 添加路径规则
        registry.addMapping("/**")
                 // 是否允许在跨域的情况下传递Cookie
                .allowCredentials(true)               
                .allowedOriginPatterns("*")
                // 允许请求来源的域规则
                .allowedMethods("*")
                // 允许所有的请求头
                .allowedHeaders("*") ;                
    }
    
}

WebMvcConfigurer配置类其实是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式进行针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。基于java-based方式的spring mvc配置,需要创建一个配置类并实现WebMvcConfigurer 接口。

axios问题小记
HELLO WORD
12-16 303
更多文章可关注我的个人博客:https://seven777777.github.io/myblog/ 问题描述: 后端设置了允许,前端访问接口时依旧提示 原因: 设置axios实例时,设置了withCredentials:true. let myHttp = axios.create({ baseURL: env.apiPath, timeout: 30000, headers: { 'Content-Type': `application/json.
Android webview问题解决小记
热门推荐
qq_28026283的博客
08-28 1万+
android开发中,webview常用于显示网页或h5页面,一个遇到方面的坑。 但是在android上在api 23之前,是可以读取cookie的,比如A写入一个userId的cookie,B可以读取该值。但是在23时,系统将该值设置成了false,不再让读取了。如果你的应用有读取需求,怎么办?可以采用如下方式进行开启: /*** 设置cookie读取*/ public final void setAcceptThirdPartyCookies() { //target 23 de
问题小记以及jsonp简谈
12-12 399
去年,在给导师做项目时需要解决一个问题,当时没弄过,就从网上找了资料给解决了,时至今日让我再提怎么做的,早已忘掉。再有就是以前听过jsonp,但是对此概念全然不知,只觉得跟json只差一个p。直到前几天带我的师傅跟我说了下jsonp,然后又自己查看了jsonp的原理后,才知道jsonp是怎么一回事。为了以后自己可以快速拾起这些知识,在这里粗略记录一下。 iframe 1.遇到的
小记相关问题
qq_42946963的博客
11-12 1万+
注解@CrossOrigin//支持 //: //不同的名A 访问 名B 的数据就是 // 端口不同 也是 loalhost:18081----->localhost:18082 // 协议不同 也是 http://www.jd.com —> https://www.jd.com // 名不同 也是 http://www.jd.com —> http://www.taobao.com //协议一直,端口一致,名一致就不是 http://ww
——小记
kinding的博客
12-04 249
:由浏览器的同源策略引起的 -------------------------------------------- 的情况: 协议不同(http/https)、名不同、端口不同 http:www.a.com   https:www.a.com www.a.com    b.a.com(子名) www.a.com   wwww.b.com www.a.com:8080  www...
threejs加载glb 小记
york_饭的博客
08-17 1598
threejs 读取 oss 路径的glb 文件 一直报错误 解决方案: 上传到oss 的时候 给 Header 添加 2条属性 objectMetadata.setHeader("Access-Control-Allow-Origin","*"); objectMetadata.setHeader("Access-Control-Allow-Credentials","true"); ...
浏览器小记
也许是前端的博客
03-28 378
同源政策规定,AJAX请求只能发给同源的网址,否则就报错。 * 1. 问题只存在浏览器中,服务器请求是不存在问题的 * 2. JSONP只支持GET请求 * 3. CORS支持所有类型的HTTP请求,需要在服务器的白名单 * 4. x-requested-with XMLHttpRequest //表明是AJax异步 * 5. 关键,请求头Origin,谷歌插件可测...
小记:Vue3调用高德天气问题的解决
weixin_40169609的博客
09-21 1889
关于如何申请高德API我就不多说了 下面主要说一下代理的配置和访问 值得注意的是,端口号一定要设置成8080,否则会报错。 '/weather':{ port:8080, target: 'https://restapi.amap.com/v3/weather', secure: false, // 如果是https接口,需要配置这个参数 changeOrigin: true, //是否 pathRewrite: { '^/weathe.
js 加载文件 权限问题
薛秋艳的博客
09-14 2165
是我在今天加载html时遇到的的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同下的内容),因为我们在日常的项目开发时会不可避免的需要进行操作,所以能力也算是前端工程师的基本功之一。  和大多数的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,G
Vue动态加载图片在时无法显示的问题及解决方法
11-21
小记,就简单写了 。问题:VUE开发时因为要访问后端的接口所以要配置请求转发,如果直接转发全部请求,那么VUE动态绑定的src也会转发到后端,因为图片在前端,所以会收到404 NOT FOUND的报错。 常规的请求转发 在vue...
JS解决方案之使用CORS实现
11-24
 是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同下的内容),因为我们在日常的项目开发时会不可避免的需要进行...
工作小记:企业微信 嵌H5页面 用户权限获取匹配.doc
07-13
- 正式环境中,则可以通过部署Nginx或其他反向代理服务器来解决问题。 4. **最重要的安全措施** - 获取`access_token`和用户信息的操作应当由H5应用请求后端API来完成。 - 后端API负责调用企业微信的API获取...
vue在微信里面的兼容问题_Vue单页面应用+微信网页开发·填坑小记
weixin_39693662的博客
12-22 740
上两个星期做了一个公司用于推广的小活动,选择了Vue的单页面应用。【Vue单页面应用+微信网页开发】套餐赠送了超值大坑,在这里给大家分享一下我的辛酸,啊不,填坑记录。主要是前端填坑的实现,后台方面没有太多涉猎,小白所记,不正确、不准确的还请多多指教。坑的方位:1、微信网页授权登录(前后端分离导致的问题)2、接入JS-SDK实现分享等功能(history模式副带的页面刷新问题和iOS、Andro...
HTTP SSE 流式响应处理:调用腾讯 智能应用开发平台ADP智能体的 API
LY的博客
12-16 363
本文介绍了处理腾讯ADP大模型SSE流式接口的通用方案。通过HTTPSSE协议获取分批次数据流,重点识别reply事件类型,精准提取is_final=true标识的最终结果。方案采用requests库实现流式请求,强制UTF-8编码避免乱码,并兼容is_final字段的两种格式(带/不带空格)。核心流程包括:配置流式参数、逐行解析SSE数据、筛选最终结果并保存至文件。该方案高效可靠,适用于需要提取大模型流式响应最终结果的场景。
HTTP的数据报格式
2402_82938245的博客
12-16 1033
根据需求确定需要传输什么信息约定好信息组织的格式行文本,冗余度高,可读性高,消耗带宽最多Xml:可读性也高,冗余度也高,消耗带宽多Json:可读性高,冗余度适中,消耗带宽中(最主流的写法)Protobuf:可读性低,冗余度低,消耗带宽低浏览器允许网页在本地硬盘存储数据的一种机制,不让网页代码直接访问文件,而是浏览器的cookie提供了键值对的存储机制。
如何使用http-server --cors启动页面?
qq_45089709的博客
12-16 1061
摘要:本文详细介绍如何使用 http-server --cors 启动本地静态页面服务并解决问题。首先需安装 Node.js 环境,然后通过 npm 全局安装 http-server 工具。启动时添加 --cors 参数开启支持,并可通过 -p 指定端口、-c-1 禁用缓存。文章包含完整安装步骤、验证方法、常见问题解决方案,并对比了该方法与浏览器禁用的区别,推荐作为纯前端开发的解决方案。适用于 Windows/Mac/Linux 系统,适配所有主流浏览器。
SAP中BASE64编码的HTTP传输:二进制与字符串的抉择
Pegasus666的博客
12-20 434
摘要:本文通过一个SAP接口开发案例,揭示了BASE64数据传输中的技术陷阱。当客户使用SET_CDATA发送BASE64编码的JSON数据时,因字符集转换导致接收方解析失败。研究发现,BASE64编码本质是二进制数据的文本表示,使用SET_DATA直接传输二进制XSTRING才能确保数据完整性。文章详细对比了SET_CDATA(字符集转换)与SET_DATA(原始字节流)的区别,并提供了优化方案:先JSON转XSTRING,再BASE64编码为XSTRING,最后用SET_DATA发送。最佳实践建议始终确
HttpURLConnection 与其他客户端关系
C18298182575的博客
12-16 565
java // JDK原生HTTP客户端 URL url = new URL("https://api.example.com/data"); HttpURLConnection connection = (HttpURLConnection) url.openConnection(); connection.setRequestMethod("GET"); connection.setConnectTimeout(5000); connection.setReadT
⚡️编排的艺术:BFF 的核心职能——数据聚合与 HTTP 请求
最新发布
scqgcy521的博客
12-21 425
本文介绍了BFF(Backend for Frontend)模式中Node.js服务的核心作用,重点讲解了业务逻辑分层和HTTP请求聚合的实现方法。主要内容包括:1) 采用MVC架构分离Controller和Service层,通过依赖注入实现解耦;2) 使用axios发起并行HTTP请求,聚合多个微服务数据;3) 利用Promise.all实现异步并发,提升I/O效率。文章通过商品详情页的案例,展示了如何将分散在三个微服务中的数据高效整合,充分发挥Node.js非阻塞I/O的优势,为前端提供定制化数据服务。
Geoserver问题快速解决指南
Geoserver是开源的地理空间...综合上述知识点,开发者在实施Geoserver问题解决方案时,应确保充分理解资源共享的工作原理,以及Geoserver的具体配置方法,从而在保证安全的前提下,有效地解决请求问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值