关于跨域问题的思考

最新推荐文章于 2024-10-01 06:15:44 发布
最新推荐文章于 2024-10-01 06:15:44 发布
阅读量128 收藏
点赞数 1
文章标签: ajax html5 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43619459/article/details/120235745
版权
本文详细介绍了跨域问题的产生原因、浏览器的同源策略及其限制,并提供了三种解决跨域的方法:JSONP、代理服务器和CORS,包括各自的实现原理和应用场景。同时,文章探讨了在SpringBoot中处理CORS时可能遇到的问题及解决方案。
摘要由CSDN通过智能技术生成

文章目录

  • 这是一篇本应很久之前就该发布的博客,奈何我健忘(懒)

00 | 可恶!报错了!

  • 某天,我在写代码,但是报错了,如下图:
    在这里插入图片描述
    于是我进行debug,在出现异常的地方,我发现返回的 response 是 undefined 的,并且 message 消息中只有一个"Network Error"。 于是一番百度,发现是跨域问题。
  • 有个问题,浏览器是发不出请求,还是能发送请求,但是回来的请求被拦截了呢?
    可以用charles抓个包,发现charles不仅抓到了一个请求,甚至连返回内容都有了,所以对于普通的网络请求,浏览器会先发请求,待收到请求的返回之后,校验请求的response headers,再根据同源策略和response headers的内容判断能不能允许请求正常返回给js代码。

01 | 什么是跨域问题

  • 前端调用的后端接口不属于同一个域(域名或端口不同),就会产生跨域问题,也就是说你的应用访问了该应用域名或端口之外的域名或端口。
  • 为什么会出现response: undefined ?
    请求已经发出去了,服务端也接收到并处理了,但是返回的响应结果不是浏览器想要的结果,所以浏览器将响应结果给拦截了,所以会看到response是undefined。

02 | 为什么会发生跨域问题

那么问题来了,为什么浏览器端会将返回的结果给拦截掉?

  • 因为有浏览器的同源策略哦宝,服务器之间没有跨域的说法,所以跨域只存在于浏览器上

浏览器的同源策略是什么

  • 所谓“同源”就是指"协议+域名+端口"三者相同,如果没有同源策略的保护,就会产生CSRF攻击(跨站请求伪造),CSRF攻击就是说,比如我去 alinxi.top 上买了件衣服,并且输入了支付账号密码进行支付,浏览器在本地缓存了我银行卡的账号密码的cookid,但是我不小心,点了个钓鱼网站,他获取我的cookie,伪装成是我进行转账。

同源策略会限制什么行为呢

  1. Cookie 、LocalStorage 和 IndexDB无法读取
  2. 无法获取或操作另一个资源的DOM
  3. AJAX请求不能发送

03 | 跨域问题解决思路

哎呀,什么是CORS呢?

  • CORS是"跨域资源共享"(Cross Origin Resource Sharing),它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了只能发送同源请求的限制。

怎么解决跨域问题呢?

  • 法一:甩锅给前端,让他用JSONP啦
    原理就是利用浏览器对于script、img标签在跨域上的“特殊处理”,它们并没有跨域限制。因此,当我们需要用到跨域请求时,可以在浏览器中构建一个标签,设置他的src属性为要请求的地址,让这个标签去请求服务器。but,JSONP只能处理GET请求,如果想处理POST请求的话,可以用iframe+form来解决,用iframe发送数据,使用form执行表单提交。前端用jsonp,相应的后端也要进行变动,springboot1.5版本里,添加一个切面来支持JSONP请求,springboot2.多版本中废弃了一个类。

  • 法二:用个代理服务器吧
    比如说Nginx和webpack-dev-server,webpack-dev-serve的原理主要也是服务器之间的请求是没有跨域的,它会用express起一个服务,然后将所有请求传到指定的URI。这个时候我们可以使用Nginx来做转发,进行server{}配置一下就好了。
    代理服务器的曲线救国方式就是说,先让ajax请求同源地址,然后让同源的服务器再请求目标地址,得到目标地址响应后,再将响应转交给客户端。因为代理服务端用的是服务器技术比如php什么的,去请求目标服务器,不是用js,所以不会有同源策略的限制。因为发了两次请求,所以效率上会差一点。

  • 法三:那就后端辛苦一下吧:CORS
    通过增加一系列请求头和响应头来实现跨域,比如Access-Control-Request-HeadersAccess-Control-Allow-Origin是该字段表示,服务端接收哪些来源的域的请求。后端解决方式种类如下:

    1. 在 Java Web 中,可以添加一个拦截器来设置相应的参数,而如果用springboot的话直接在 Controller 类上加上 @CrossOrigin注解就可以了。

    2. 或者通过 CorsRegistry 设置全局跨域配置,如果你使用的是 Spring Boot,推荐的做法是只定义一个 WebMvcConfigurer 的Bean。

      对于第二种方式在没有定义 拦截器(Interceptor) 的时候,使用一切正常,但是如果你有一个全局的拦截器用来检测用户的登录态,当自定义拦截器返回true时,一切正常,但是当拦截器抛出异常(或者返回false)时,后续的CORS设置将不会生效。主要是因为,AbstractHandlerMapping在添加CorsInterceptor的时候,是将 Cors 的拦截器 加在拦截器链的最后,那就会造成上面说的问题,在自定义拦截器中抛出异常之后,CorsInterceptor 拦截器就没有机会执行向 response 中设置 CORS 相关响应头了。相应的解决方案,就是将用来处理 Cors 的拦截器 CorsInterceptor 加在拦截器链的第一个位置就ok了。这是一个国外的哥提的issue,感觉是一个可行的解决方案,但是 Spring Boot 的成员认为这不是 Spring Boot 的Bug,而是 Spring Framework 的 Bug,所以将这个issue关闭了。

    3. 通过CorsFilter 过滤器设置全局跨域配置,过滤器可以而拦截器不行的主要原因是:因为过滤器依赖于 Servlet 容器,基于函数回调,它可以对几乎所有请求进行过滤。而拦截器是依赖于 Web 框架(如Spring MVC框架),基于反射通过AOP的方式实现的。因为过滤器在触发上是先于拦截器的,但是如果有多个过滤器的话,也需要将 CorsFilter 设置为第一个过滤器才行


04 | 参考资料

完成。

aLinxi
关注
iframe跨域问题思考
wujimiao的专栏
11-03 1454
工作遇到一个bug,弹窗调整至顶层window.top.dialog,使用的artDialog弹窗插件,本来用的好好的,可是随着需求的增加,bug就出现。 需求:在一个弹窗基础上,再添加弹窗展示某项数据,后台接口请求数据 代码现状:那个弹窗是通过iframe引用一个新的页面展示,我要在那个iframe引用的页面添加另外弹窗 问题:1.那个弹窗若是保证正常展示,那个弹窗展示也是在ifr
跨域问题思考
a_l_f_的博客
11-28 99
跨域问题思考 什么是跨域? 首先我们需要知道什么是跨域,跨域指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器对JavaScript 施加的安全限制。协议,域名,端口,三者有一不一样,就是跨域 如何解决跨域问题 JSONP   JSONP是JSON with Padding的略称。它是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。 response 添加
关于web项目跨域问题详解
脑壳疼
12-07 985
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、
对于跨域问题的新认识
maoxin604的专栏
12-07 1152
无论是前端同学还是后端同学,可能都接触过跨域问题。网上已经有了很多介绍跨域问题和解决方案的博客文章,笔者之前也是看过很多关于跨域问题的文章,当时感觉已经了解得差不多了,不过最近又有了一些新的认识,所以写这篇文章记录一下,希望也能对读者有所帮助。当然,本文是笔者自己的认识和实践,如果有不准确的地方,还请不吝指教。 在正式介绍之前,大家可以先思考一下下面几个问题: 1、跨域问题是浏览器导致的还是服务端导致的? 2、为什么在服务端配置几个响应头就可以解决跨域问题? 3、发生跨域问题时,请求发送出去了.
关于跨域问题的记录
qq_22206899的博客
01-27 382
造成跨域的两种策略 浏览器的同源策略会导致跨域,这里同源策略又分为以下两种 1, DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。 2, XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。 只要协议、域名、端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作。...
AJAX跨域访问问题详解
欢迎。
11-01 1457
AJAX跨域访问进行了详细的概述;对实际开发中遇见的问题进行了深入的刨析和解决。
跨域问题的复现与整理
Sp4rkW的博客
08-01 3582
知乎:Sp4rkW GITHUB:Sp4rkW B站:一只技术君 博客:https://sp4rkw.blog.csdn.net/ 联系邮箱:getf_own@163.com 文章目录一、同源策略1、同源策略的定义2、什么是同源3、同源策略在保护什么二、环境搭建1、服务器配置2、宝塔站点安装配置三、同源策略限制js演示1、基于iframe引入页面的dom操作1.1、相同ip相同端口1.2、不同ip1.3、相同ip不同端口2、ajax跨域操作2.1、相同ip2.2、不同ip四、实际挖掘漏洞中可能遇到的跨域漏
跨域问题详解
热门推荐
qq_38571892的博客
03-11 1万+
什么是跨域 跨域的概念很简单,即当一个请求URL的协议、域名、端口三者之间任意一个与当前页面URL不同则视为跨域,而跨域问题产生的原因主要是由浏览器的“同源策略”限制导致的,是浏览器对JavaScript 施加的安全限制。 什么是同源策略 所谓同源是指协议、域名以及端口要相同。我们举例说明:假如有这么一个网站:http://www.example.com/zw/index.html,很容易知道,它的协议是http://,域名是www.example.com,端口号是80(默认端口可以省略),它的同源情况如下
跨域问题
u014297572的博客
08-24 787
问题引发思考思考提升学习 1:什么是跨域问题 2:为什么会有跨域问题 3:跨域是为了什么 4:如何跨域 5:不同跨域方式的优缺点,如何选择正确的跨域方式 6:实现跨域应当注意什么 跨域问题 由于浏览器同源策略,发送请求url的协议、域名、端口三个方面任意一与当前页面不相同即跨域。 为什么会有跨域问题 1:什么是源 源(origin)就是协议、域名和端口号 2:...
nginx解决跨域问题的实例方法
09-29
对于扩展思考中的问题: 1. **代理接口地址**:`proxy_pass`后面的URL只指定到端口号是因为Nginx默认会将后续的请求路径附加到代理服务器的URL上。所以,即使后端接口是`http://148.70.110.87:8080/项目名称/方法...
Ajax跨域问题及其解决方案.docx
10-26
### Ajax跨域问题及其解决方案 #### 一、Ajax跨域问题概述 在现代Web开发中,前后端分离架构越来越流行。这种模式下,前端页面与后端服务通常部署在不同的服务器上,甚至可能位于不同的域名下。当浏览器发起对不同...
Spark 中所有用到了Job对象的组件模块和关系
goTsHgo的博客
09-27 873
负责整个Job的生命周期管理,包括阶段划分、任务调度、任务失败重试等。StageJob被分解为多个Stage,每个Stage对应于一组可并行执行的Task。Task和TaskSetStage被分解为多个Task,并通过TaskSet提交执行。和负责将任务调度到集群中具体的节点,负责与集群管理器交互,启动执行器并分配任务。ActiveJob:代表正在运行的Job,并与一起跟踪其状态。:负责Shuffle操作中,数据的输出位置跟踪与管理。Job。
7.Javaweb-Ajax
QAZ412803的博客
09-28 1406
AJAX 全称为 Asynchronous JavaScript And XML,就是异步的 JS 和 XML。通过 AJAX 可以在浏览器中向服务器发送异步请求,最大的优势:无刷新获取数据。AJAX 不是新的编程语言,而是一种将现有的标准组合在一起使用的新方式。
【漏洞复现】孚盟云oa AjaxSendDingdingMessage接口 存在sql注入漏洞
qq_48368964的博客
09-28 1018
孚盟与阿里强强联手将最受青睐的经典C系列产品打造成全新的孚盟云产品,让用户可以用云模式实现信息化管理,让用户的异地办公更加流畅,大大降低中小企业在信息化上成本,用最小的投入享受大型企业级别的信息化服务,使中小企业在网络硬件环境、内部贸易过程管理与快速通关形成一套完整解决方案。Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
Ajax开发技术
Liuxu 的博客
09-29 686
【代码】Ajax开发技术。
AJAX(简介以及一些用法)
m0_63233901的博客
09-24 933
对象和服务器进行数据交互的方式就是。,它可以帮助我们轻松实现网页与服。)我们可以理解为:在网页中。务器之间的数据交互。
AJAX JSON 实例
最新发布
lly202406的博客
10-01 650
AJAX是一种用于创建快速动态网页的技术。通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新,这意味着可以在不重新加载整个页面的情况下,对网页的某部分进行更新。JSON是一种轻量级的数据交换格式。它基于JavaScript编程语言的一个子集,但由于其文本格式清晰,也常用于其他编程语言中。
Axios 和 Ajax的区别和联系
ning的博客
09-28 1148
Ajax,全称Asynchronous JavaScript and XML,即异步JavaScript和XML,是一种在无需重新加载整个页面的情况下,能够更新部分网页的技术。它的核心是对象,允许JavaScript在不重载页面的情况下与Web服务器交换数据。Axios是一个基于Promise的HTTP客户端,用于浏览器和node.js。它提供了一个简洁的API来处理HTTP请求和响应,自动处理了的创建和配置。Ajax和Axios都是为了实现Web页面的异步更新,但它们在实现方式和使用场景上有所不同。
SOA驱动的互联网跨域流程编排安全代理方法
它不仅解决了安全性和灵活性之间的平衡问题,还提升了企业业务流程的效率和稳定性,为分布式环境下的跨域集成提供了可靠的解决方案。 本文的研究成果对于理解和优化企业在互联网环境中进行服务整合与流程管理具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值