JAVA跨域问题的出现原因和解决办法

最新推荐文章于 2024-05-17 00:36:13 发布
最新推荐文章于 2024-05-17 00:36:13 发布
阅读量9.9k 收藏 57
点赞数 7
分类专栏: 跨域 文章标签: java ajax 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42446156/article/details/109563427
版权

这里写目录标题

一.跨域出现原因

  跨域是指a页面想获取b页面资源如果a、b页面的协议、域名、端口、子域名不同或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。

  跨域问题的根本原因:因为浏览器收到同源策略的限制,当前域名的js只能读取同域下的窗口属性。什么叫做同源策略?就是不同的域名, 不同端口, 不同的协议不允许共享资源的,保障浏览器安全。同源策略是针对浏览器设置的门槛。如果绕过浏览就能实现跨域,所以说早期的跨域都是打着安全路数的擦边球,都可以认为是 hack 处理。

  这里要注意的是,只有访问类型为xhr(XMLHttpRequest)的才会出现跨域。

二.解决方案

目前我了解的解决跨域的几种方式:手写过滤器,cors,jsonnp,响应头添加Header,配置nginx反向代理,zuul组件,共五种解决方式。

1.手写过滤器实现,通过过滤器开放需要访问的接口

package com.ninesword.utils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;


@Component
public class CrossFilter implements Filter {
    private static Logger logger = LoggerFactory.getLogger(CrossFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void destroy() {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        logger.debug("跨域请求进来了。。。");
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        httpServletRequest.getSession();
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpResponse.setHeader("Access-Control-Allow-Methods", "*");
        httpResponse.setHeader("Access-Control-Max-Age", "3600");
        httpResponse.setHeader("Access-Control-Allow-Headers",
                "Origin, X-Requested-With, Content-Type, Accept, Connection, User-Agent, Cookie");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Content-type", "application/json");
        httpResponse.setHeader("Cache-Control", "no-cache, must-revalidate");
        chain.doFilter(request, httpResponse);
    }
}

在web.xml中配置过滤器和需要过滤的接口

<!-- 添加过滤器过滤跨域请求 -->
 <filter>
   <filter-name>cors</filter-name>
   <!-- 这里配置上面刚刚设置的java过滤器文件 -->
   <filter-class>com.ninesword.utils.CrossFilter</filter-class>
 </filter>
 <filter-mapping>
   <filter-name>cors</filter-name>
   <!-- 这里配置你需要进行跨域的接口,*代表jsForSdp当前路径下所子有路径 -->
   <url-pattern>/jsForSdp/*</url-pattern>
 </filter-mapping>
也可以在springboot项目中配置一个ResourcesConfig资源配置类来解决跨域问题 
@Configuration
public class ResourcesConfig implements WebMvcConfigurer
{
    /**
     * 跨域配置
     */
    @Bean
    public CorsFilter corsFilter()
    {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 设置访问源地址
        config.addAllowedOrigin("*");
        // 设置访问源请求头
        config.addAllowedHeader("*");
        // 设置访问源请求方法
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

2.CORS常用的三种解决跨域问题的方法

CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。

定义:CORS其实出现时间不短了,它在维基百科上的定义是:跨域资源共享(CORS)是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。而W3C的官方文档目前还是工作草案,但是正在朝着W3C推荐的方向前进。

简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。

以往的解决方案:
以前要实现跨域访问,可以通过JSONP、Flash或者服务器中转的方式来实现,但是现在我们有了CORS。
CORS与JSONP相比,无疑更为先进、方便和可靠。
1、 JSONP只能实现GET请求,而CORS支持所有类型的HTTP请求
2、 使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理。
3、 JSONP主要被老的浏览器支持,它们往往不支持CORS,而绝大多数现代浏览器都已经支持了CORS(这部分会在后文浏览器支持部分介绍)。

需要被跨域访问的方法:

package com.lemon.springboot.controller;
 
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
 
import java.util.HashMap;
import java.util.Map;
 
/**
 * @author lemon
 */
@RestController
@RequestMapping("/api")
public class ApiController {
    
    @RequestMapping("/get")
    public Map<String, Object> get(@RequestParam String name) {
        Map<String, Object> map = new HashMap<>();
        map.put("title", "hello world");
        map.put("name", name);
        return map;
    }
}

1)配置全局跨域访问解决方案

写一个配置类,指定可以被跨域访问的路径以及可以跨域的主机链接。这样,8081和8082端口的应用就可以访问/api后所有的方法或者资源。

package com.biomatch.qadm.util.interceptor;
 
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
 
@Configuration
public class CrossDomainConfiguration {
	
	@Bean
    public WebMvcConfigurer corsConfigurer() {
 
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                // 设置了可以被跨域访问的路径和可以被哪些主机跨域访问
                registry.addMapping("/api/**").allowedOrigins("http://localhost:8082");
 
                /*  上面为简便写法
                registry.addMapping("/**")
                    .allowedMethods("*")
                    .allowedOrigins("*")
                    .allowedHeaders("*");
                super.addCorsMappings(registry);
                */
            }
        };
    }
}

配置的详细信息说明如下:

addMapping:配置可以被跨域的路径,可以任意配置,可以具体到直接请求路径。
allowedMethods:允许所有的请求方法访问该跨域资源服务器,如:POST、GET、PUT、DELETE等。
allowedOrigins:允许所有的请求域名访问我们的跨域资源,可以固定单条或者多条内容,如:”http://www.aaa.com“,只有该域名可以访问我们的跨域资源。
allowedHeaders:允许所有的请求header访问,可以自定义设置任意请求头信息。

2)第二种全局设置方法

package com.biomatch.qadm.util.interceptor;
 
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
 
@Configuration
public class CustomCorsConfiguration2 extends WebMvcConfigurerAdapter {
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 设置了可以被跨域访问的路径和可以被哪些主机跨域访问 -- 此处api与controller层对应
        registry.addMapping("/api/**").allowedOrigins("http://localhost:8081", "http://localhost:8082");
    }
}

3)使用@CrossOrigin注解实现细粒度控制(推荐使用),该方法至少JDK1.8

直接在需要被跨域访问的方法上加上@CrossOrigin注解就可以实现被跨域访问。

package com.biomatch.qadm.util.interceptor;
 
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
 
import java.util.HashMap;
import java.util.Map;
 
@RestController
@RequestMapping("/api")
public class ApiController {
 
    private static final Logger logger = LoggerFactory.getLogger(ApiController.class);
 
    @CrossOrigin({"http://localhost:8081", "http://localhost:8082"})
    @RequestMapping("/get")
    public Map<String, Object> get(@RequestParam String name) {
        Map<String, Object> map = new HashMap<>();
        map.put("title", "hello world");
        map.put("name", name);
        return map;
    }
}

3.响应头添加Header允许访问

这个跨域访问的解决方案的安全基础是基于"JavaScript无法控制该HTTP头"

它需要通过目标域返回的HTTP头来授权是否允许跨域访问。

response.addHeader(‘Access-Control-Allow-Origin:*);//允许所有来源访问 
response.addHeader(‘Access-Control-Allow-Method:POST,GET);//允许访问的方式

4.jsonp实现(仅适用GET请求,不推荐)

用法:①dataType改为jsonp ②jsonp : “jsonpCallback”————发送到后端实际为http://a.a.com/a/FromServlet?userName=644064&jsonpCallback=jQueryxxx ③后端获取get请求中的jsonpCallback ④构造回调结构

在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的,即一般的ajax是不能进行跨域请求的。但 img、iframe 、script等标签是个例外,这些标签可以通过src属性请求到其他服务器上的数据。利用== script== 标签的开放策略,我们可以实现跨域请求数据,当然这需要服务器端的配合。 Jquery中ajax的核心是通过 XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加script标签来调用服务器提供的 js脚本

当我们正常地请求一个JSON数据的时候,服务端返回的是一串JSON类型的数据,而我们使用 JSONP模式来请求数据的时候服务端返回的是一段可执行的JavaScript代码。因为jsonp 跨域的原理就是用的动态加载<script的src ,所以我们只能把参数通过url的方式传递,所以jsonp的 type类型只能是get

使用JSONP 模式来请求数据的整个流程:客户端发送一个请求,规定一个可执行的函数名(这里就是 jQuery做了封装的处理,自动帮你生成回调函数并把数据取出来供success属性方法来调用,而不是传递的一个回调句柄),服务器端接受了这个 jsonpCallback函数名,然后把数据通过实参的形式发送出去

$.ajax({
    url: 'http://192.168.10.46/demo/test.jsp',//不同的域
    type: 'GET',                                                              // jsonp模式只有GET 是合法的
    data: {
        'action': 'aaron'
    },
    dataType: 'jsonp',                                              // 数据类型
    jsonp: 'jsonpCallback',                                     // 指定回调函数名,与服务器端接收的一致,并回传回来

})

在jquery 源码中, jsonp的实现方式是动态添加<script标签来调用服务器提供的 js脚本。jquery 会在window对象中加载一个全局的函数,当 <script代码插入时函数执行,执行完毕后就 <script会被移除。同时jquery还对非跨域的请求进行了优化,如果这个请求是在同一个域名下那么他就会像正常的 Ajax请求一样工作。

5.使用nginx搭建企业级接口网关方式

www.a.a.com不能直接请求www.b.b.com的内容,可以通过nginx,根据同域名,但项目名不同进行区分。什么意思呢?这么说可能有点抽象。假设我们公司域名叫www.nginxtest.com

当我们需要访问www.a.a.com通过www.nginxtest.com/A访问,并通过nginx转发到www.a.a.com

当我们需要访问www.b.b.com通过www.nginxtest.com/B访问,并通过nginx转发到www.a.a.com

我们访问公司的域名时,是"同源"的,只是项目名不同,此时项目名的作用只是为了区分,方便转发。如果你还不理解的话,先看看我是怎么进行配置的:

server {
        listen       80;
        server_name  www.nginxtest.com;
        location /A {
		    proxy_pass  http://a.a.com:81;
			index  index.html index.htm;
        }
		location /B {
		    proxy_pass  http://b.b.com:81;
			index  index.html index.htm;
        }
    }

我们访问以www.nginxtest.com开头且端口为80的网址,nginx将会进行拦截匹配,若项目名为A,则分发到a.a.com:81。实际上就是通过"同源"的域名,不同的项目名进行区分,通过nginx拦截匹配,转发到对应的网址。整个过程,两次请求,第一次请求nginx服务器,第二次nginx服务器通过拦截匹配分发到对应的网址

6.使用Spring Cloud zuul接口网关

zuul解决跨域问题.

小老弟偶
关注
  • 7
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java后端跨域问题解决办法
qq_56554321的博客
04-25 1221
Access-Control-Allow-Origin: 允许访问的域名Access-Control-Allow-Methods: 允许访问的请求方式Access-Control-Allow-Headers: 允许使用的 HeaderAccess-Control-Allow-Credentials: 是否允许用户发送、处理 CookieAccess-Control-Max-Age: 预检有效期,单位为秒。有效期内,不需要重复发送预检请求。
跨域问题分析及解决方案(方案在文末)
weixin_39433171的博客
01-30 391
一、什么是跨域跨域:浏览器对于javascript的同源策略的限制 。 以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请...
Java解决跨域的几种方法
最新发布
weixin_58216062的博客
05-17 477
如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源1,用户在浏览器输入的URL中包含的协议、域名、端口都完全相同。如果有一项不同,浏览器会觉得有安全问题,从而产生跨域问题。2,如果使用Postman等开发工具进行交互是不会出现跨域问题,这是浏览器特有的限制。在后端服务添加CORS策略的配置就可以解决跨域问题
Java 跨域产生以及Java中的常用处理方法
ty154542607的博客
02-29 504
跨域,或者称为跨源资源共享(CORS),是Web开发中经常遇到的一个概念。它涉及到浏览器安全策略和不同源之间的资源共享问题。当一个Web页面(源A)尝试去请求另一个不同源的Web资源(源B)时,由于浏览器的同源策略限制,这种请求通常会被阻止,这就是跨域
Java实现后端跨域的常见解决方式
嘉禾嘉宁papa
12-08 9408
后端跨域解决方案, 通过 @CrossOrigin 注解 通过配置类 通过 CorsFilter 对象 通过 Response 对象 通过实现 ResponseBodyAdvice 对象 通过 jsonp 方式jsonp
JAVA Java 解决跨域问题
热门推荐
lidongkui123的博客
03-24 1万+
JAVA | Java 解决跨域问题 引言 什么是跨域(CORS) 什么情况会跨域 解决方案 前端解决方案 后端解决方案 具体方式 一、使用Filter方式进行设置 二、继承 HandlerInterceptorAdapter 三、实现 WebMvcConfigurer 四、使用Nginx配置 五、使用 @CrossOrgin 注解 Spring Cloud Gateway 跨域配置 引言 我们在开发过程中经常会遇到前后端分离而导致的跨域问题,导致无法获取返回结果。跨域就像分离前端和
什么是跨域解决egret图片跨域报错
Sclifftop - 保安大队长
09-07 1641
什么是跨域解决egret图片跨域报错 解决图片请求跨域 egret Access to image at ‘.jpeg’ from origin ‘http://****’ has been blocked by CORS policy: The ‘Access-Control-Allow-Origin’ header has a value ‘https://****’ that is not equal to the supplied origin.
JAVA跨域问题出现原因解决办法,springboot
LZD30的博客
06-05 2352
跨域问题出现原因: 1.当使用http 时,不同的端口访问会出现跨域问题。如:前端的端口为8080,而后端的端口为8081,在前端向后台获取数据时会出现跨域问题,如下 OPTIONS http://192.168.1.100:8081/queue-admin/callMachine/managerment/searchAddress 403 Failed to load http://...
java 请求跨域问题解决方法实例详解
08-30
主要介绍了java 请求跨域问题解决方法实例详解的相关资料,需要的朋友可以参考下
Java服务器端跨域问题解决方案
08-25
Java服务器端跨域问题解决方案 Java 服务器端跨域问题解决方案是指在 Java 服务器端如何解决跨域问题解决方案。...解决跨域问题需要在服务器端和客户端同时进行处理,使用相应的技术和方法来实现跨域请求。
Java跨域问题的处理详解
08-31
Java 跨域问题的处理详解 在 Java 中处理跨域问题是一个常见的问题,究其根源是由于浏览器的同源策略限制。所谓的同源策略是指三个...这些解决方法可以帮助开发者更好地处理跨域问题,提高应用程序的安全性和可靠性。
java解决请求跨域的两种方法
08-25
主要为大家详细介绍了java解决请求跨域的两种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
解决java项目跨域问题
05-29
开发项目遇到了前端跨域问题,在网上试了很多的方法都不行,springboot的注解跨域解决也不行,在网上看来很多解决问题的办法,都很繁琐,最后从spring根源去寻找问题,最后从后台解决了前端的跨域问题,只需将此java文件粘贴到项目中,便可以解决跨域问题。前端无需修改,便可以将跨域问题解决
java跨域原理_跨域的实现
weixin_31001313的博客
02-26 422
跨域访问测试同域测试分析结论当浏览器地址与ajax请求的地址(协议://域名:端口)相同时可以实现正常的义务调用.跨域测试分析结论如果请求地址(协议://域名:端口)不相同则导致请求调用失败浏览器-同源策略说明说明:浏览器规定发起ajax请求时如果请求协议/域名/端口号如果三种中有一个与当前浏览器的地址不相同时,则违反了同源策略的规定,则浏览器不予以解析返回值.跨域问题:违反同源策略的规定就是跨域...
跨域解决方式(java后端)
从基础到源码解析的学习记录
12-14 1783
同源策略(Sameoriginpolicy)是浏览器最核心也最基本的安全功能一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号。
跨域系】为何配置了corsFilter还是出现跨域问题
run_boy_2022的博客
04-20 2084
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter来处理的。为了本地容易测试这个跨域问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,跨域问题应该就可以解决了,但是当我访问的时候还是会出现跨域的问题。虽然添加了跨域的配置,这里我的控制台竟然是跨域的问题。
java redirect 跨域_[转] 重定向 CORS 跨域请求
weixin_39832628的博客
02-13 2936
非简单请求不可重定向,包括第一个preflight请求和第二个真正的请求都不行。简单请求可以重定向任意多次,但如需兼容多数浏览器,只可进行一次重定向。中间服务器应当同样配置相关CORS响应头。中间服务器设置当跨域请求被重定向时,中间服务器返回的 CORS 相关的响应头应当与最终服务器保持一致。 任何一级的 CORS 失败都会导致 CORS 失败。这些头字段包括Access-Control-Al...
javaWeb文档预览之PDF.js实现PDF文件跨域预览(附测试实例)
Coding13的博客
08-08 2023
PDF.js实现PDF文件跨域预览(附测试实例) 1、项目结构(测试使用的是springboot的工程) 2、核心代码 (1)前台代码<body><div tabindex="-1" class="modal fade in" id="my-showpdf"> <div class="modal-dialog info"> <div class="modal-c
java跨域问题解决办法
10-11
Java跨域问题解决办法可以通过以下几种方式来实现: 1. 使用代理服务器:在客户端请求发送到服务器之前,将请求发送到代理服务器,然后由代理服务器将请求发送到目标服务器。这样可以绕过浏览器的同源策略限制。 2. JSONP:通过在客户端动态创建一个<script>标签,将请求发送到目标服务器,并指定一个回调函数来处理响应。目标服务器返回的响应会被包裹在回调函数中,从而实现跨域请求。 3. CORS(跨域资源共享):在服务端设置响应头部信息,允许特定的源或所有来源访问该资源。通过设置 "Access-Control-Allow-Origin" 头部字段来指定允许的源,或者设置为 "*" 来允许所有来源访问。 4. 代理转发:在服务端设置一个代理接口,客户端通过请求该接口来实现跨域访问。服务端将接收到的请求转发到目标服务器,并将目标服务器返回的响应返回给客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值