跨域请求理解

已于 2024-02-23 16:21:23 修改
阅读量615 收藏
点赞数
文章标签: java 开发语言
于 2022-08-29 17:20:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41980255/article/details/126584002
版权

跨域

背景

http://localhost:8080
http://localhost:5000
http://localhost:6000
浏览器
VUE项目
用户
订单
结束

浏览器访问前端,前端访问后端不同的服务http://localhost:8080 -> http://localhost:5000
前端访问后端接口、两个请求不同源页面抛出跨域异常

同源策略

如果两个 URL 的 协议、主机、端口 都相同的话,则这两个 URL 是同源、反之则浏览器视为非同源(跨域:违背了同源策略

若请求为跨域请求浏览器会发送一个预请求验证服务器配置

预请求的目的是让服务器知道浏览器打算执行一个跨域请求,并询问服务器是否允许这样的请求。这个预请求是一个HTTP OPTIONS 请求,它包含了一些特殊的头部字段,如 Access-Control-Request-Method Access-Control-Request-Headers,这些字段告诉服务器实际请求将使用哪种HTTP方法和哪些自定义头部。

服务器收到预请求后,会根据其CORS配置来决定是否允许这个跨域请求。如果允许,服务器会在响应中包含适当的CORS头部,如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Allow-Headers。这些头部告诉浏览器服务器允许哪些源、哪些HTTP方法和哪些头部进行跨域请求。

如果服务器允许预请求,浏览器会发送实际的跨域请求。如果服务器不允许预请求,或者没有在响应中设置正确的CORS头部,浏览器将不会发送实际的跨域请求,并在控制台中显示一个错误消息,表明跨域请求被阻止。

跨域解决

1、cors

通过后端对增加响应的响应头信息、
如果你的应用是一个标准的 Java EE 应用,
确保你的 web.xml 文件没有定义与 @WebFilter 注解冲突的过滤器配置。
如果你使用的是 Spring Boot,可能需要额外的配置来启用 @WebFilter。

Spring Boot 默认不扫描 Servlet API 的注解,因此你可能需要添加 @ServletComponentScan 注解到你的主配置类



import org.springframework.util.StringUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.annotation.WebInitParam;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

@WebFilter(filterName = "corsFilter", urlPatterns = "/*",
        initParams = {@WebInitParam(name = "allowOrigin", value = "*"),
                @WebInitParam(name = "allowMethods", value = "GET,POST,PUT,DELETE,OPTIONS"),
                @WebInitParam(name = "allowCredentials", value = "true"),
                @WebInitParam(name = "allowHeaders", value = "*")})
public class CorsFilter implements Filter {

    private String allowOrigin;
    private String allowMethods;
    private String allowCredentials;
    private String allowHeaders;
    private String exposeHeaders;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        allowOrigin = filterConfig.getInitParameter("allowOrigin");
        allowMethods = filterConfig.getInitParameter("allowMethods");
        allowCredentials = filterConfig.getInitParameter("allowCredentials");
        allowHeaders = filterConfig.getInitParameter("allowHeaders");
        exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        if (!StringUtils.isEmpty(allowOrigin)) {
            if(allowOrigin.equals("*")){
                // 设置哪个源可以访问
                String origin = request.getHeader("Origin");
                System.out.println("Origin- > "+origin);
                response.setHeader("Access-Control-Allow-Origin", origin);
            }else{
                List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
                if (allowOriginList != null && allowOriginList.size() > 0) {
                    String currentOrigin = request.getHeader("Origin");
                    if (allowOriginList.contains(currentOrigin)) {
                        response.setHeader("Access-Control-Allow-Origin", currentOrigin);
                    }
                }
            }
        }
        if (!StringUtils.isEmpty(allowMethods)) {
            //设置哪个方法可以访问
            response.setHeader("Access-Control-Allow-Methods", allowMethods);
        }
        if (!StringUtils.isEmpty(allowCredentials)) {
            // 允许携带cookie
            response.setHeader("Access-Control-Allow-Credentials", allowCredentials);
        }
        if (!StringUtils.isEmpty(allowHeaders)) {
            // 允许携带哪个头
            if(allowOrigin.equals("*")){
                String header = request.getHeader("Access-Control-Request-Headers");
                System.out.println("Allow-Headers- > "+header);
                response.setHeader("Access-Control-Allow-Headers", header);
            }else {
                response.setHeader("Access-Control-Allow-Headers", allowHeaders);
            }

        }
        if (!StringUtils.isEmpty(exposeHeaders)) {
            // 允许携带哪个头
            response.setHeader("Access-Control-Expose-Headers", exposeHeaders);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}
常见问题
1、‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’

Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.
XMLHttpRequest对象的withCredentials属性是一个布尔值,用于指示跨站访问控制(Cross-Site Access Control)请求是否应该携带跨站点的访问控制凭据(credentials)。当withCredentials属性设置为true时,XMLHttpRequest会发送包括cookies、HTTP认证或客户端SSL证明等凭据的请求。

const axiosInstance = axios.create({  
  baseURL: 'https://api.example.com',  
  withCredentials: false, // 设置为false,不发送cookies  
  timeout: 1000,  
  headers: {  
    'Content-Type': 'application/json'  
  }  
});

这个属性对于跨域请求(CORS)特别重要,因为它允许开发者控制是否将用户的身份验证信息(如cookies)发送给其他域。默认情况下,withCredentials是false,这意味着请求不会包含凭据。

在CORS请求中,如果withCredentials被设置为true,那么服务器必须在响应头中包含Access-Control-Allow-Origin和Access-Control-Allow-Credentials两个头部,并且Access-Control-Allow-Origin不能设置为通配符*。这是因为包含凭据的请求可能会暴露用户的敏感信息,因此服务器需要明确知道它信任哪些来源

动态获取来源并设置Access-Control-Allow-Origin
if(allowOrigin.equals("*")){
                // 设置哪个源可以访问
                String origin = request.getHeader("Origin");
                System.out.println("Origin- > "+origin);
                response.setHeader("Access-Control-Allow-Origin", origin);
            }
2、Request header field xxxx is not allowed by Access-Control-Allow-Headers

在CORS预检请求中,浏览器会发送一个带有 Access-Control-Request-Headers 头部的请求,列出实际请求将包含的所有头部字段。服务器必须检查这个头部,并在预检响应的 Access-Control-Allow-Headers 头部中包含所有这些头部字段,以表明它允许这些头部。

请确保您的服务器正确处理了 Access-Control-Request-Headers,并且在预检响应中包含了所有必需的头部。如果您不确定实际请求将包含哪些头部,您可以尝试暂时将 Access-Control-Allow-Headers 设置为 *,以允许所有头部,然后逐步缩小允许的范围,直到找到引起问题的特定头部。

动态获取相关允许的头部信息
// 允许携带哪个头
            if(allowOrigin.equals("*")){
                String header = request.getHeader("Access-Control-Request-Headers");
                System.out.println("Allow-Headers- > "+header);
                response.setHeader("Access-Control-Allow-Headers", header);
            }

2、jsonp

利用 script 标签的src属性没有跨域限制的漏洞,需要服务器响应数据为json格式,缺点是仅支持get方法具有局限性

3、代理服务器(vue-cli/nginx/Node)

vue.config.js 是一个可选的配置文件,下面使用vue-cli的配置完成代理服务器。如果项目的 (和 package.json 同级的) 根目录中存在这个文件,那么它会被 @vue/cli-service 自动加载。

module.exports = {
  devServer: {
    proxy: {
      '/api': {
     	//真实地址
        target: '<url>',
        //默认为true
        ws: true,
        //默认为true,是否伪装初始路径(true: 8080->5000 false: 8080->8080)
        changeOrigin: true
        //正则匹配路径重写 http://localhost:8080/api/list -> http://localhost:8080/list
        pathRewrite: {'^/api':''}
      },
      '/foo': {
        target: '<other_url>'
      }
    }
  }
}

知识衍生

跨域实际浏览器已经拿到了服务器响应的数据,受同源策略影响不能正常给浏览器使用、
访问请求的核心是封装 XMLHttpRequest.send(),JQuery的$.get(),Axios等都是对XMLHttpRequest进一步封装

此剑之势丶愈斩愈烈
关注
利用Access-Control-Allow-Origin响应头解决跨域请求原理
weixin_38859651的博客
03-22 2023
使用 H5 开发了一个本地应用,通过 ajax 请求远程服务器(后台是 JAVA )上的数据时报错。如下:Error:XMLHttpRequest cannot load http://www.test.com:8080/login. No 'Access-Control-Allow-Origin' header is present on the requested resource. Or...
跨域通配符*与include报错,The value of the 'Access-Control-Allow-Origin' header '*'
海贼8023的博客
11-08 3万+
网上的答案,有道理,但不太对, response.headers['Access-Control-Allow-Credentials'] = 'true' response.headers['Access-Control-Allow-Origin'] = '*' response.headers['Access-Control-Allow-Methods'] = 'POST' response...
已解决:前后端跨域问题No ‘Access-Control-Allow-Originheader is present on the requested resource
最新发布
屿小夏.的知识博客
08-27 1600
解决跨域问题有多种方法,本文介绍了两种常见的方法:后端配置CORS和前端设置代理。具体使用哪种方法,取决于项目的实际需求和架构设计。在实际开发中,建议综合考虑安全性、性能和维护成本,选择最合适的解决方案。
ajax 设置Access-Control-Allow-Origin实现跨域访问
06-06
ajax跨域访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 即使使用jquery的jsonp方法,type设为POST,也会自动变为GET。如果跨域使用POST方式,可以使用创建一个隐藏的iframe来实现,与ajax上传图片原理一样,但这样会比较麻烦。因此,通过设置Access-Control-Allow-Origin来实现跨域访问比较简单。
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
解决方案 ‘Access-Control-Allow-Originheader in the response must not be the wildcard ‘*’
12-20
以下的问题由我斌哥提供解决方案 https://me.csdn.net/Duktig19 他的 个人站点. 文中内容由本人测试和整理 环境 文中使用的环境是 "name": "vue-admin-template", "version": "3.8.0" using npm@6.4.1 using node@v10.14.2 先看三张图,正常都是服务器返回session,然后浏览器每次发请求都会带上这个sessino 原创文章 24获赞 1访问量 1200
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 6210
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
Springboot解决ajax+自定义headers的跨域请求问题
10-16
这导致了在处理跨域请求时的一些挑战,尤其是在使用AJAX和自定义headers时。Spring Boot作为流行的Java后端框架,提供了优雅的解决方案来处理这类问题。 首先,我们来理解什么是跨域。跨域是指一个域下的文档或脚本...
深入理解jquery跨域请求方法
10-22
在深入理解jquery跨域请求方法之前,需要了解几个关键的概念: 1. 同源策略(Same-origin policy):这是浏览器安全策略的一部分,它限制了不同源之间的文档或脚本如何交互。一个源被定义为由URI的协议、域名和端口...
解决ajax跨域请求数据cookie丢失问题
10-24
开发中,当我们使用Ajax技术发起跨域请求时,可能会遇到一个问题:由于浏览器同源策略的限制,跨域请求默认不携带cookie信息。这给需要在不同域之间进行身份验证和状态跟踪的Web应用带来了挑战。本文将通过前端...
JAVA通过Filter实现允许服务跨域请求的方法
08-26
Java通过Filter实现允许服务跨域请求的方法】 在Web开发中,浏览器的同源策略是一项安全机制,限制了JavaScript只能发起与当前页面同源(协议、域名和端口相同)的HTTP请求。然而,随着前后端分离的发展,跨域...
layui-table-cros:layui表格跨域请求
02-21
layui表格跨域请求是网页应用中常见的需求,尤其是在前后端分离的开发模式下。layui是一款优秀的前端组件库,它的表格组件...通过这样的实践,你将能够更好地理解和处理前后端跨域请求的问题,提升你的Web开发技能。
浏览器报`The value of the ‘Access-Control-Allow-Originheader in the response must not be the wildcard
墨抒颖
11-16 1823
欢迎访问moshuying.top查看更多信息 详细错误信息 Access to XMLHttpRequest at 'http://localhost:7894/Login' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: The value of the 'Access-Control-
The value of the ‘Access-Control-Allow-Originheader in the response 关于后端配置允许跨域后前端请求依然失败得不到响应的问题
2301_79108772的博客
06-02 1104
作者在进行联系session分布式登录的时候,遇到了一个问题,就是明明我的后端进行配置了允许跨域,但是前端依然请求失败,无法收到请求,并报出如下错误。
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2296
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的域名地址,记
响应标头Allow-Headers和Expose-Headers的区别和用法
神zhi殇的博客
02-01 2902
和,简单的说,这两者都是前端和后端之间通过header传递数据的,主要的区别就是方向。
HTTP 头部字段 Access-Control-Allow-Origin
choubiao0107的博客
03-02 1816
前后端分离的协作开发方式,已经被很多公司采用。若前后端部署在不同的域名下,就会碰到跨域的问题。对于跨域的问题,W3C 有标准的解决方案,即跨域资源共享(Cross-origin resource sharing),缩写为 CORS。详细了解 CORS,可以参考阮一峰的博文:跨域资源共享 COR...
nodejs 跨域请求接口
07-30
Node.js可以通过中间层来实现跨域请求接口。一种常见的做法是使用Node.js的代理功能,将前端的请求转发到真实的请求地址。这样可以绕过浏览器的同源策略限制。具体实现方式有多种,可以使用Nginx反向代理,也可以使用Node.js自带的http模块或者一些第三方库来实现。 在前后端分离的项目中,可以通过配置webpack-dev-server来解决跨域问题。webpack-dev-server可以作为一个本地开发服务器,同时也可以配置代理来转发请求。这样前端在本地开发时,可以通过代理将请求发送到真实的接口地址,解决跨域问题。[2] 另外,要理解Node层为什么能实现跨域,需要明白跨域问题是浏览器的同源策略引起的,而服务器之间是不存在跨域问题的。Node中间层可以将前端资源请求转发到真实的请求地址,绕过同源策略的限制。通过将静态文件和Node中间层放在同一个域下,前端资源和Node层的通信不会受同源策略影响。然后,通过中间层将请求转发到真实的接口地址,并将返回的数据传递给前端,实现跨域请求接口的操作。[3] 总结起来,Node.js可以通过中间层来实现跨域请求接口,可以使用代理功能或者其他方式将前端的请求转发到真实的接口地址,绕过浏览器的同源策略限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值