高级java每日一道面试题-2024年8月10日-网络篇-你对跨域了解多少?

已于 2024-08-10 21:45:44 修改
阅读量407 收藏 2
点赞数 6
分类专栏: java每日一道面试题 文章标签: java 网络 tcp/ip 网络篇 网络协议 同源策略
于 2024-08-10 21:42:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43071699/article/details/141096560
版权

如果有遗漏,评论区告诉我进行补充

面试官: 你对跨域了解多少?

我回答:

跨域问题,即Cross-Origin Resource Sharing(CORS),是现代Web开发中一个非常重要的概念,涉及到浏览器的安全策略——同源策略(Same-origin policy)。下面我将详细介绍跨域的概念、原因、影响以及解决方法。

一、跨域的概念

跨域是指从一个域名的网页去请求另一个域名的资源时,浏览器出于安全考虑,会限制一些请求。具体来说,如果请求的URL的协议、域名、端口三者中任意一个与当前页面的URL不同,则被认为是跨域请求。
例如,http://example.com:8080https://example.com:8080 被认为是不同的源。

二、跨域问题的背景

跨域问题的本质是浏览器的同源策略(Same-Origin Policy)限制。同源策略是浏览器最核心也最基本的安全功能,用于保证用户信息的安全,防止恶意网站读取另一个网站的数据。

三、跨域问题的常见表现

  1. 无法读取非同源网页的Cookie、LocalStorage和IndexedDB
  2. 无法接触非同源网页的DOM
  3. 无法向非同源地址发送AJAX请求

四、Java后端解决跨域问题的方式

在Java后端,尤其是在使用Spring Boot等框架时,解决跨域问题主要有以下几种方式:

  1. 使用@CrossOrigin注解

    • 注解在方法上:允许特定方法跨域。
    • 注解在类上:允许整个类的所有方法跨域。
    • origins属性:指定允许跨域的源地址,可以使用“*”表示允许所有源。
    • 注意:@CrossOrigin注解只适用于Spring MVC的Controller层。

  2. 通过配置文件实现全局跨域

    • 实现WebMvcConfigurer接口,并重写addCorsMappings方法。
    • 在该方法中,通过CorsRegistry注册跨域映射,设置允许跨域的路径、源地址、HTTP方法等。

  3. 自定义CorsFilter

    • 创建一个CorsFilter的Bean,并在其中配置跨域信息。
    • 这种方式相对灵活,但需要更多的代码量。

  4. 手动设置响应头

    • 在Controller的方法中,通过HttpServletResponse对象手动设置响应头,如Access-Control-Allow-Origin等。
    • 这种方式较为原始,不推荐用于全局跨域配置。

  5. 使用Nginx反向代理

    • 当后端服务无法直接修改响应头时,可以在Nginx中配置反向代理,通过Nginx设置跨域相关的响应头。
    • 这种方式适用于前后端分离的场景,且Nginx作为静态资源服务器或反向代理服务器。
    • 在自己的服务器上设置一个代理,转发请求到目标服务器,这样请求就变成了同源请求。

  6. WebSocket

    • WebSocket协议本身不受同源策略的限制,可以用来绕过跨域问题。

  7. PostMessage API

    • 允许两个不同源的窗口之间进行通信,但实现较为复杂。

  8. JSONP(JSON with Padding)

    • 一种古老的解决方法,利用<script>标签没有跨域限制的特性,但仅限于GET请求,并且有安全风险。

五、CORS通信原理

CORS(Cross-Origin Resource Sharing)是一种基于HTTP的协议,它允许服务器明确表示哪些源站可以通过网页来访问其资源。CORS通过添加额外的HTTP头信息来允许或拒绝跨域请求。

  1. 预检请求(Preflight Request)
    如果请求方法不是GET、HEAD、POST,或者请求中包含了某些自定义的HTTP头部(如Content-Type以外的头部),浏览器会先发送一个OPTIONS方法的预检请求到目标服务器,询问服务器是否允许这样的跨域请求。

  2. 响应头
    服务器需要在响应中包含以下CORS相关的头部:

    • Access-Control-Allow-Origin:指定哪些源可以访问资源,可以是具体的域名或*(允许所有源)。
    • Access-Control-Allow-Methods:列出允许的HTTP方法。
    • Access-Control-Allow-Headers:列出允许的自定义请求头。
    • Access-Control-Max-Age:预检请求的有效期,单位是秒。

  3. 实际请求
    如果预检请求得到服务器的正面响应,浏览器才会发送实际的请求。

六、跨域与JSONP的比较

  • JSONP:一种利用<script>标签不受同源策略限制的特性来实现跨域请求的方法。但JSONP只支持GET请求,且存在安全风险(如XSS攻击)。
  • CORS:比JSONP更强大,支持所有类型的HTTP请求,且更安全。CORS是现代Web开发中解决跨域问题的首选方案。

七、总结

跨域问题是Web开发中常见的问题之一,理解其背后的原理和解决方法对于提升Web应用的安全性和兼容性至关重要。在Java后端开发中,通过合理的配置和使用框架提供的跨域解决方案,可以有效地解决跨域问题。

java我跟你拼了
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
前端面试题
qq_41887655的博客
08-08 2万+
前端面试题汇总 一、HTML和CSS 21 你做的页面在哪些流览器测试过?这些浏览器的内核分别是什么? 21 每个HTML文件里开头都有个很重要的东西,Doctype,知道这是干什么的吗? 21 Quirks模式是什么?它和Standards模式有什么区别 21 div+css的布局较table布局有什么优点? 22 img的alt与title有何异同? strong与em的异同? 22 你能...
Tomcat解决跨域的两个jar包java-property-utils-1.9.jar和cors-filter-1.7.jar
10-13
将详细介绍如何利用java-property-utils-1.9.jar和cors-filter-1.7.jar这两个jar包解决Tomcat的跨域问题。 首先,让我们了解`java-property-utils-1.9.jar`。这个库是由Apache Commons项目提供的,主要用来处理...
2024-6次面试阿里,持续一个多,终于拿到offer了!,2024最新java技术栈面试题
2401_85407056的博客
07-05 544
学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯。所以:贵在坚持!最后再分享的一些BATJ等大厂20、21面试题,把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于幅有限,上面只是以图片的形式给大家展示一部分。Mybatis面试专题MySQL面试专题并发编程面试专题在坚持!
SpringBoot面试题2024最新网易java开发面试
2401_84418883的博客
04-18 564
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典Java核心知识整理Java核心知识Spring全家桶(实战系列)其他电子书资料Step3:刷题既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
七厂面经--应届小前端的破局之路,2024最新2024最新秋招Web前端岗面试清单
04-18 715
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。幅有限,仅展示部分截图:网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024c (备注前端)一个人可以走的很快,但一群人才能走的更远!
2024最强秋招八股文(精简、纯手打)
热门推荐
w20001118的博客
07-11 32万+
文章是博主对Java的学习进行的系统性的归纳总结,汇总了Java基础、JUC、JVM、MySQL、Redis、Linux、计算机网络、常用开发框架等常见的一些问题和解决方案,
2024最新2024网络安全入门面试必知必会_云安全面试,终于有人把网络安全程序员必学知识点全整理出来了
2401_84281720的博客
05-06 997
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!】93道网络安全面试题内容实在太多,不一一截图了最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说
华为OD机试真题 - 工号不够用了怎么办 (D卷,100分)
华鑫的专栏
06-21 1378
美团实习# #美团暑期实习# #美团2025届转正实习# #美团工作体验# #ATMD##在找工作求抱抱# #找工作中的意难平# 求求大佬看看我,给我点建议吧,我真的在深圳走投无路了(*꒦。前几天刚考完六级,感觉又寄了,题都没做完,做完的那些大部分也是乱蒙的,作文感觉也背题了。#实习与准备秋招该如何平衡# 投了半个多的实习,一个offer都没拿到,秋招会不会收到影响,好焦虑。汽车行业也来搞竞赛了,参加不过来了虽然参加也是陪跑,但是体验体验也还是不错的#极具前瞻性,现代汽车编。
腾讯春招内参:2024最全Spring Boot面试题解析,技术精英必备!
Von_016's Blog
03-19 1164
Spring Boot允许开发者通过在或文件中定义属性来自定义配置。这些属性可以被注入到Spring管理的bean中,使用@Value注解或通过配置属性类与注解。步骤定义属性:在或文件中定义你的自定义属性。例如:注解注入:可以使用@Value注解将配置文件中的值注入到bean的字段中。@Component// 使用message字段的getter和setter创建配置属性类:通过创建一个带有注解的类,可以将相关的配置属性组织到这个类中。@Component。
24届科大讯飞软件研发岗笔试(Java&amp;安卓)-春招
2301_78234743的博客
07-13 865
9:00~9:20 起床刷牙洗脸9:20~9:40出门找自行车,路上顺便来份麦麦早餐。请问有家人们了解过这些训练营什么的嘛?今天才看到福特的训练营,感觉要求什么的好笼统,时间也还短感觉,公司逐渐在缩减成本,各种福利都取消了,想看机会好久没有写简历开投了,最近更新了一波简历各位铁汁们指点。双9科班26届选手,之前一直侧重人工智能,但现在对研究的方向不感兴趣,导师也不可能放实习,打算专攻j。#嵌入式笔面经分享#科大讯飞公司嵌入式硬件面经(第1面)时间:71-71时长:30分钟面试内。
解决ajax跨域cors-filter-1.7.1 和 java-property-utils-1.9.1 包带源码
04-01
积分多的大佬打赏下,缺积分用;积分不够得移步https://www.cnblogs.com/BambooLamp/p/12603299.html 原文:https://segmentfault.com/a/1190000012469713
高级java笔试题-php-interview-2018:面试总结
06-03
高级java笔试题 最近面试了不少公司,正好把记得的问题做个总结。 本文 会持续更新 本文 欢迎关注公众号:苏生不惑 每周更新文章,一个有趣又有用的公众号 简历 关于简历怎么写,知乎上有很多对应问题,可以自行搜索...
arcgis server10.2跨域(cors-filter-1.7,java-property-utils-1.9)
12-03
安装和配置CORS-filter可以让ArcGIS Server服务对跨域请求开放,使得开发者能够更自由地从任何地方调用这些服务,而不仅仅局限于同一源。 另一方面,java-property-utils-1.9是一个Java库,用于处理和操作Java属性...
java-property-utils-1.9.1等.zip
05-15
跨域请求时,页面报错“Access-Control-Allow-Origin”, 因为浏览器只允许请求当前域的资源,而对其他域的资源表示不信任。需要配置cors全称是"跨域资源共享"(Cross-origin resource sharing)。以tomcat为例子在 ...
C++ - 函数重载
jiaowenjie的专栏
08-06 309
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
时光不等人:java每日一练
m0_67187271的博客
08-05 1070
时光悄然流逝,不等人。技术亦不会自来门前,唯有勤奋学习,方能抓住时代的脉搏。
Spring事务
最新发布
c1tenj2的博客
08-07 416
以银行转账为例,一次转账操作伴随着一个账户的扣钱和另一个账户的加钱,这个流程是一个原子操作,要么同时发生,一气呵成,要么都不做。AccountServiceImpl实现AccountService接口,里面只有一个转账方法AccountMapper以及其映射文件account数据库测试代码用1/0模拟程序运行时出现异常的情况由于没有开启事务,出现了莫名其妙少了100块钱的情况,说明这个事务不是连续的。
【SpringBoot】数据验证之分组校验
Jacker
08-05 381
下面通过示例演示分组校验。在上面的示例中,在@Validated注解中增加了{GroupA.class,Default.class}参数,表示对于定义了分组校验的字段使用GroupA校验规则,其他字段使用默认规则。@Length(min=20,max=30,message="必须在[20,30]"),groups={GroupA.class};@Length(min=30,max=40,message="必须在[30,40]",groups={GroupB.class})/**用户id**/
Java中处理strict-origin-when-cross-origin跨域问题
01-08
Java中处理strict-origin-when-cross-origin跨域问题,可以通过以下方法解决: 1. 在Spring Cloud Gateway中设置全局跨域配置,确保只设置一次跨域。可以在Gateway的配置文件中添加以下配置: ```yaml spring: cloud: gateway: globalcors: corsConfigurations: '[/**]': allowedOrigins: "*" allowedMethods: "*" allowedHeaders: "*" allowCredentials: true ``` 2. 在被调用的微服务项目中,移除额外的跨域设置,确保只有Gateway进行跨域配置。可以在被调用的微服务项目的配置文件中移除跨域配置,或者在代码中注释掉跨域相关的配置。 这样做可以避免服务器端设置了两次跨域,解决strict-origin-when-cross-origin跨域报错的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java我跟你拼了

您的鼓励是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值