浅谈跨域问题,以及跨域问题如何处理

最新推荐文章于 2024-07-29 09:35:31 发布
最新推荐文章于 2024-07-29 09:35:31 发布
阅读量653 收藏 3
点赞数
文章标签: javascript html5 node.js spring boot ajax跨域问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43509535/article/details/120530238
版权

一、概述

我们在开发过程中经常会遇到前后端分离而导致的跨域问题,导致无法获取返回结果。跨域就像分离前端和后端的一道鸿沟,君在这边,她在那边,两两不能往来。

①、什么是跨域

跨域(CORS)是指不同域名之间相互访问。指的是浏览器不能执行其他网站的脚本,它是由浏览器的同源策略所造成的,是浏览器对于JavaScript所定义的安全限制策略。

②、什么情况会跨域

  • 同一协议, 如httphttps
  • 同一IP地址, 如127.0.0.1
  • 同一端口, 如8080

以上三个条件中有一个条件不同就会产生跨域问题。

③、为什么要设计同源策略

  • 其中一个重要原因就是对cookie的保护,cookie 中存着sessionID 。黑客一旦获取了sessionID 并且在有效期内 就可以登录,这里我们可以简单的认为sessionID 全等于 账户加密码,想想当我们访问了一个恶意网站,如果没有同源策略,那么这个网站就能通过js 访问document.cookie 得到用户关于的各个网站的sessionID 其中可能有银行网站等等
  • 通过已经建立好的session连接进行攻击的 这里有一个专有名词 美名曰 CSRF 攻击 ,需要注意的是同源策略无法完全防御CSRF 这里需要服务端配合

再举个例子,现在我扮演坏人,我通过一个iframe 加载某宝的登录页面,等傻傻的用户登录我的网站的时候,我就把这个页面弹出,用户一看,阿里唉大公司肯定安全,就屁颠屁颠的输入了密码注意如果没有同源策略,我这个恶意网站就能通过dom操作获取到用户输入的值,从而控制该账户所以同源策略是绝对必要的。

二、解决方案

①、准备工作

准备两个SpringBoot Module

image-20210928110855933

CrossDomainA中新增一个HTML页面,用于访问CrossDomainB下的user请求

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Tile</title>
</head>
<body>
<button id="button">访问CrossDomainB的/user</button>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
<script>
    $("#button").click(function () {
        $.get('http://localhost:8081/user', function (data) {
            console.log(data)
        })
    })
</script>
</body>
</html>

CrossDomainB中新增一个User实体类和UserController控制器

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 10:51
 */
@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    private String userName;
    private String password;
}

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 10:49
 */
@RestController
public class UserController {
    @RequestMapping("/user")
    public User getUser(HttpServletResponse response) {
        return new User("彭焕智", "666");
    }
}

其中CrossDomainB监听8081端口,CrossDomainA监听8080端口,启动项目,访问8081,正常访问

image-20210928110129593

通过CrossDomainA去访问CrossDomainB

image-20210928113958223

②、添加响应头解决跨域

IE10以下不支持

response新增一个header

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 10:49
 */
@RestController
public class UserController {
    @RequestMapping("/user")
    public User getUser(HttpServletResponse response) {
        //Access-Control-Allow-Origin允许跨域,*表示允许所有人都允许跨域,也可以指定主机
        response.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
        return new User("彭焕智", "666");
    }
}

image-20210928135609721

实际上CrossDomainA去访问CrossDomainB的时候发送的是两个请求,第一个是option类型的域检请求,询问CrossDomainB服务器是否支持跨域,如果支持,再发送一个get请求给userController,否则第二个请求就不发了

  • 对于域检请求,他是有一个时间控制的,不是每一次跨域请求都需要进行域检请求,我们可以设置一个时长,当上一次跨域请求到这一次跨域请求间隔时间超出了这个时长,那么再重新发送一个域检请求,否则就直接发送get而不发送域检请求
response.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
response.setHeader("Access-Control-Max-Age","10");

除了可以控制跨域请求和域检请求间隔时长,还可以设置允许的请求方法,携带的headers等等

Access-Control-Allow-Method
Access-Control-Allow-Headers
...

对于SpringBoot中,直接就提供了支持跨域的注解@CrossOrigin

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 10:49
 */
@RestController
public class UserController {
    @RequestMapping("/user")
    @CrossOrigin(origins = {"*"}, maxAge = 3600, methods = {RequestMethod.GET, RequestMethod.POST})
    public User getUser(HttpServletResponse response) {
        return new User("彭焕智", "666");
    }
}

③、手写Java反向代理

原理就是,我们通过CrossDomainA去访问CrossDomainB的时候,让CrossDomainA生成一个我们用户自己的一个代理,通过这个代理再去访问CrossDomainB,就好比我们自己去访问CrossDomainB一样,相当于是服务器和服务器之间去请求了,不再是通过浏览器访问,代理收到响应后,再把响应返回给用户

package com.phz.cross_domain.controller;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.client.RestTemplate;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 14:16
 */
@RestController
public class ProxyController {
    @Value("${proxy.address}")
    //proxy.address=http://127.0.0.1:8081
    private String proxyAddress;

    @Resource
    private RestTemplate restTemplate;

    @RequestMapping("/api/**")
    @ResponseBody
    public Object proxy(HttpServletRequest request) {
        System.out.println(proxyAddress);
        return restTemplate.getForObject(proxyAddress + request.getRequestURI().replace("/api", ""), Object.class);
    }
}

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Tile</title>
</head>
<body>
<button id="button">访问CrossDomainB的/user</button>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
<script>
    $("#button").click(function () {
        $.get('http://localhost:8080/api/user', function (data) {
            console.log(data)
        })
    })
</script>
</body>
</html>

image-20210928143136575

④、Nginx反向代理

没有安装Nginx的童鞋戳这里下载,速度较快,安装完毕后进入解压目录双击启动nginx.exe即可

image-20210928143728057

访问127.0.0.1:80验证是否启动成功

image-20210928143816063

Nginx是一个静态服务器,所以把我们刚才写的静态Html页面放在里面再适合不过了,进入Nginx/html目录,可以将里面的文件删掉,将刚才那个静态Html页面粘贴进去

image-20210928144009039

然后刷新一个127.0.0.1:80就可以看到生效了

image-20210928144129893

修改访问路径,将8080改为80

image-20210928144235315

进入Nginx/conf目录,修改nginx.conf文件

location /api {
	proxy_pass http://127.0.0.1:8081;
}

image-20210928145128375

然后重启一下项目

image-20210928144953402

最后还有一步就是CrossDomainB的访问路径保持和配置文件配置的路径一直,也就是访问路径加上一个api

@RequestMapping("/api/user")

最后访问测试就成功啦

image-20210928145740195

⑤、JsonP

这种方式就是利用了浏览器中某些标签天然支持跨域,比如Script

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Tile</title>
</head>
<body>
<button id="button">访问CrossDomainB的/user</button>
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/2.2.4/jquery.min.js"></script>
<script>
    $("#button").click(function () {
        $.get('http://localhost:8080/api/user', function (data) {
            console.log(data)
        })
    })

    function cross(data) {
        console.log(data);
    }
</script>
<script src="http://127.0.0.1:8081/cross"></script>
</body>
</html>

/**
 * @author PengHuAnZhi
 * @ProjectName CrossDomain
 * @Description TODO
 * @time 2021/9/28 10:49
 */
@RestController
public class UserController {
    @RequestMapping("/api/user")
    @CrossOrigin(origins = {"*"}, maxAge = 3600, methods = {RequestMethod.GET, RequestMethod.POST})
    public User getUser(HttpServletResponse response) {
        return new User("彭焕智", "666");
    }

    @RequestMapping("/cross")
    public String cross() {
        return "cross('hello')";
    }
}

image-20210928150853260

三、SpringBoot处理跨域问题

不难,注入一个WebMvcConfigure的实现类,重写一个addCorsMappings方法即可,具体配置理解不难

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("*")
            .allowCredentials(true)
            .allowedMethods("GET", "POST", "DELETE", "PUT","OPTIONS")
            .maxAge(3600);
    }
}
两米以下皆凡人
关注
Fecth 跨域问题
Qiaer的博客
04-23 834
CORS协议和凭据 当请求的凭据模式为“ include”时,它对CORS协议的功能有影响,但不包括抓取中的凭据。 在过去,XMLHttpRequest可以将请求的凭据模式设置为“ include”: var client = new XMLHttpRequest() client.open(“GET”,“./”) client.withCredentials = true / *
微信支付 - 向支付中心发送商户订单
Leon_Jinhai_Sun的博客
10-07 269
@Autowired private RestTemplate restTemplate; @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Bean public RestTemplate restTemplate(RestTemplateBuilder builder) { return builder.build(); } } public void s.
跨域问题分析以及解决方案
最新发布
new9232的博客
07-29 787
文章主要介绍了什么是跨域问题以及跨域问题的解决方案
RestTemplate实现跨域调用接口
genghongsheng的博客
05-30 2040
本文主要针对post方式,发送请求。import com.alibaba.fastjson.JSONObject;import org.springframework.beans.factory.annotation.Value;import org.springframework.http.HttpEntity;import org.springframework.http.HttpHeader...
RestTemplate的exchange方法,post请求实现跨域操作
weixin_41876987的博客
08-26 7583
问题描述: 前台页面访问第三方接口,http的post请求,实现跨域。浏览器控制台报错如下: 处理方法: (1)前台js: (2)contoller处理: 代码详情: @RequestMapping(value = "/sjtb", method = RequestMethod.POST) @ResponseBody public JsonObject sjtb(String ywlsh,String ywfldm,Ht...
别再说不会解决 “跨域“ 问题啦
灵熙云工作室
01-10 235
什么是“跨源”JSONPCORSPostMessageWebsocketNginx 反向代理Node 中间件代理document.domain总结 什么是“跨源” 其实我们平常说的跨域是一种狭义的请求场景,简单来说就是“跨“过浏览器的同源策略去请求资“源”,所以我们叫它“跨源”也没啥问题。那么“跨源”,源是什么? 浏览器的同源策略什么是同源? const url = 'https://www.google.com:3000' 比如上面的这个 URL,协议是:https,域名是 www.goog
浅谈django rest jwt vue 跨域问题
12-25
如请求 /api/login/ 报302 ,需要去掉后面的反斜杠,正确写法 /api/login 请求跨域: 跨域: 简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。这显然是不安全的。为此,浏览器的...
浅谈Ajax跨域Session和跨域访问
10-25
总结一下,Ajax跨域请求和跨域Session处理都是Web开发中较为复杂的问题,开发者需要理解浏览器同源策略、JSONP和CORS的工作原理,以及Session的存储和管理机制。在实际开发中,建议使用CORS来实现更安全、功能更全面...
浅谈jquery中ajax跨域提交的时候会有2次请求的问题
10-19
跨域请求是Web开发中经常遇到的一个问题,它涉及到不同的域之间进行HTTP请求交互。所谓域,通常指的是URL中的域名...在实现跨域请求时,开发者应当仔细考虑安全性和兼容性问题,并合理地使用CORS策略来处理跨域请求。
RestTemplate后台跨域请求简明例子
XHChen的博客
08-05 2188
某度一分钟,问群吹逼一小时。不巴拉巴拉了,直接来吧。。。 这里的跨域请求方法可以做为一个工具类 @Component("httpUtils"),给controller提供方法调用。 上码: 添加注入 RestTemplate 到 bean @Autowired private RestTemplate restTemplate; 为了方便查看和分析控制台结果输出,这里加了一个日志...
springboot】【若依(ruoyi)】@RestController 接口跨域请求
sayyy的专栏
09-04 7780
前言 springboot 2.1.1.RELEASE 360极速浏览器 12.0.1476.0 (正式版本) (32 位) jquery 3.5.0 接口跨域请求有两者方式: jsonp CORS JSONP JSONP(JSON with Padding)是利用浏览器对script的资源引用没有同源限制,通过动态插入一个script标签,当资源加载到页面后会立即执行的原理实现跨域的。 JSONP是一种非正式传输协议,具体做法是:用户传递一个callback参数给服务端。服务端返回数据时用cal
spring ajax跨域,Spring RestController的跨域ajax请求问题
weixin_33879932的博客
08-06 331
我遇到了Ajax跨域请求的问题。以下是我的弹簧控制器的代码:@RestController@RequestMapping(value = "/help")public class MYController {@Autowiredprivate MyService myService;private static final int SUCCESS = 1;private static final ...
Spring 3.1 MVC REST 支持之跨域访问(Cross-origin resource sharing)
热门推荐
hyman.xie的专栏
08-01 3万+
关于跨域资源访问请参考 http://en.wikipedia.org/wiki/Cross-origin_resource_sharing ,基本原理是在Spring Controller的每一个请求返回的时候都加上Access-Control-...header,需要注意的是并不是所有的浏览器都支持这些header,使用之前要先了解清楚。 实现起来也很简单那就是Interceptor,代码如
解决跨域问题
ytitsjh的博客
03-22 3758
后端代码解决 @RestController @RequestMapping("/admin") @CrossOrigin //增加注解 public class TestController { @GetMapping("/user") public User test(){ return new User("tom",12); } } 前端代码解决 module.exports = { devServer:{ // 代理的网址,这里写的是本地的ip(相
session的安全问题
m0_55306747的博客
05-16 2800
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
什么是跨域? 出现原因及解决方法
Andrew_Chenwq的博客
04-29 983
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。XMLHttpRequest:Ajax的核心对象CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。浏览器端:不用考虑目前,所有浏览器都支持该功能(IE10以下不行)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。
CORS简单请求和预检请求
weixin_49115633的博客
01-11 1491
只要符合以下任何一个条件的请求,都需要进行预检请求:请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
浏览器:跨域及解决方法
snowball的博客
05-03 2万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同源网页的 DOM。
Springboot 使用restTemplate 进行跨域请求 response reqeust中首字母大写的问题
weixin_44522336的博客
04-15 1180
请求第三方系统,调用第三方API时可能会遇到双方协商定义的响应体中某个字段的首字母为大写的情况: 响应体: { "PlannerId": test123, "Name": "testName", "operation": null, } 使用大写字母的字段去接收响应体时,其实API请求的每一个返回值都是小写的。所以映射关系找不到导致该值为null。 原因:spring使用HttpMessageConverter将返回实体转换为json 解决方法: @Js.
Mashup应用安全:浏览器端的跨域通信与安全因素
"浅谈Mashup应用的安全分析" 本文主要探讨了Mashup应用的安全问题,这是一种在Web2.0时代迅速崛起的数据集成应用程序。Mashup允许用户从多个不同的在线资源中抽取数据,结合成一个全新的服务或应用,为用户提供独特...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值