服务端Filter解决跨域方法

最新推荐文章于 2023-04-20 22:40:22 发布
最新推荐文章于 2023-04-20 22:40:22 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 前端 文章标签: Filter解决跨域 服务器端跨域解决

问题一、浏览器是先执行请求还是先判断跨域?

浏览器请求–>判断响应中是否有允许跨域–>发现不允许跨域,阻止跨域

说明:当执行跨域请求时,浏览器会提示当前接口不被允许,这说明浏览器已发出了当前请求,但是它的的响应内容被拦截;如果在Response header中的Access-Control-Allow-Origin设置的允许访问源不包含当前源,则拒绝数据返回给当前源。

问题二、判断当前请求是否是跨域请求?

通过查看当前请求的Request Headers 中是否存在Origin属性,当前属性存储的是当前域的信息

问题三、什么是简单请求和非简单请求?

说明:浏览器在发送跨域请求时会先判断当前请求是不是简单请求,如果是简单请求浏览器则会先执行请求,再判断是否支持跨域;如果是非简单请求它会先发送一个预检命令(即OPTIONS请求),检查通过后再把当前请求发出去。

(1)简单请求:方法为GET、HEAD、POST的请求,并且请求头(header)里面没有自定义头;Content-Type为text/plain、multipart/form-data、application/x-www-form-urlencoded。

(2)非简单请求:方法为PUT、DELETE的请求,发送JSON格式的ajax请求、带自定义请求头的ajax请求。

例如:发送JSON格式数据的ajax请求

复制代码
$.ajax({
  type : “post”,
  url: url,
  contentType : “application/json;charset=utf-8”,
  data: JSON.stringify({name: “小明”}),
  success: function(json){
    var result = json;
  }
});
复制代码
问题四:Access-Control-Allow-Headers是什么?有什么作用?

响应头部 Access-Control-Allow-Headers 用于 preflight request (预检请求)中,列出了将会在正式请求的 Access-Control-Expose-Headers 字段中出现的首部信息。简单首部,如 simple headers、Accept、Accept-Language、Content-Language、Content-Type (只限于解析后的值为 application/x-www-form-urlencoded、multipart/form-data 或 text/plain 三种MIME类型(不包括参数)),它们始终是被支持的,不需要在这个首部特意列出。

问题五:Access-Control-Max-Age是什么?
  浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求(比如异步请求GET, POST, PUT, DELETE, OPTIONS等等),所以浏览器会向所请求的服务器发起两次请求,第一次是浏览器使用OPTIONS方法发起一个预检请求,第二次才是真正的异步请求,第一次的预检请求获知服务器是否允许该跨域请求:如果允许,才发起第二次真实的请求;如果不允许,则拦截第二次请求。Access-Control-Max-Age用来指定本次预检请求的有效期,单位为秒,,在此期间不用发出另一条预检请求。

例如:res.addHeader(“Access-Control-Max-Age”, “3600”),表示隔60分钟才发起预检请求

问题六:Access-Control-Allow-Origin:*是否满足所有跨域场景?

带Cookie值的跨域请求,此时Access-Control-Allow-Origin:*无法满足支持跨域请求。

复制代码
$.ajax({
  type : “get”,
  url: url,
  xhrFields:{
    withCredentials:true
  },
  success: function(json){
    var result = json;
  }
});
复制代码

说明:

(1)当请求带有Cookie信息时,Access-Control-Allow-Origin的值必须要跟请求域的信息完全相同,不能使用通配符"*";所以后台设置可以通过直接获取请求信息中Access-Control-Allow-Origin值作为响应信息中Access-Control-Allow-Origin的值

复制代码
HttpServletResponse res = (HttpServletResponse) response;
HttpServletRequest req = (HttpServletRequest) request;
String origin = req.getHeader(“Origin”);
if (!org.springframework.util.StringUtils.isEmpty(origin)) {
  //带cookie的时候,origin必须是全匹配,不能使用*
  res.addHeader(“Access-Control-Allow-Origin”, origin);
}
复制代码
  (2)当请求带有Cookie信息的跨域请求时,Access-Control-Allow-Credentials的值设置为true

// enable cookie
res.addHeader(“Access-Control-Allow-Credentials”, “true”);

注意:

(1)、带Cookie的跨域时,Access-Control-Allow-Origin不能写星号("*"),必须要写具体的域名

(2)、发送的Cookie必须是被调用方域名的Cookie,而不是调用方域名的Cookie

问题七、带自定请求头的跨域请求如何设置?

JQuery的ajax请求如何设置自定义请求头方法:

复制代码
$.ajax({
  type : “get”,
  url: url,
  headers:{
    “sessionId” : “123456”
  },
  beforeSend: function(xhr){
    xhr.setRequestHeader(“token”,“654321”)
  },
  success: function(json){
    var result = json;
  }
});
复制代码
 服务端可设置支持所有自定义请求头

String headers = req.getHeader(“Access-Control-Request-Headers”);
// 支持所有自定义头
if (!org.springframework.util.StringUtils.isEmpty(headers)) {
  res.addHeader(“Access-Control-Allow-Headers”, headers);
}

在被调用方解决跨域(支持跨域)通过自定义Filter来实现:

(1)在SpringBoot工程创建自定拦截器CrosFilter,如图:

复制代码
package *;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.tomcat.util.buf.StringUtils;

public class CrosFilter implements Filter {

@Override
public void init(FilterConfig filterConfig) throws ServletException {
    // TODO Auto-generated method stub
}

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
    // TODO Auto-generated method stub

    HttpServletResponse res = (HttpServletResponse) response;
    HttpServletRequest req = (HttpServletRequest) request;
    String origin = req.getHeader("Origin");
    if (!org.springframework.util.StringUtils.isEmpty(origin)) {
        //带cookie的时候,origin必须是全匹配,不能使用*
        res.addHeader("Access-Control-Allow-Origin", origin);            
    }
    res.addHeader("Access-Control-Allow-Methods", "*");
    String headers = req.getHeader("Access-Control-Request-Headers");
    // 支持所有自定义头
    if (!org.springframework.util.StringUtils.isEmpty(headers)) {
        res.addHeader("Access-Control-Allow-Headers", headers);            
    }
    res.addHeader("Access-Control-Max-Age", "3600");
    // enable cookie
    res.addHeader("Access-Control-Allow-Credentials", "true");
    chain.doFilter(request, response);
}

@Override
public void destroy() {
    // TODO Auto-generated method stub
}

}
复制代码
(2)注册自定拦截器CrosFilter,作用于全局:

复制代码
package *;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;

import com.fasterxml.jackson.databind.ser.impl.FilteredBeanPropertyWriter;

@SpringBootApplication
public class AjaxserverApplication {

public static void main(String[] args) {
    SpringApplication.run(AjaxserverApplication.class, args);
}

@Bean
public FilterRegistrationBean registerFilter() {
    FilterRegistrationBean bean = new FilterRegistrationBean();
    bean.addUrlPatterns("/*");
    bean.setFilter(new CrosFilter());
    return bean ;
}

}
复制代码
(3)、创建接口服务层

复制代码
package *;

import org.springframework.web.bind.annotation.CookieValue;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

@GetMapping("/get")
public ResultBean get() {
    System.out.println("TestController.get()");
    return new ResultBean("get ok");
}

@PostMapping("/postJson")
public ResultBean postJson(@RequestBody User user) {
    System.out.println("TestController.postJson()");

    return new ResultBean("postJson " + user.getName());
}

@GetMapping("/getCookie")
public ResultBean getCookie(@CookieValue(value = "cookie1") String cookie1) {
    System.out.println("TestController.getCookie()");
    return new ResultBean("getCookie " + cookie1);
}

@GetMapping("/getHeader")
public ResultBean getHeader(@RequestHeader("x-header1") String header1,
        @RequestHeader("x-header2") String header2) {
    System.out.println("TestController.getHeader()");
    
    return new ResultBean("getHeader " + header1 + " " + header2);
}

}
复制代码
(4)、前端接口调用测试

复制代码
jasmine.DEFAULT_TIMEOUT_INTERVAL = 1000;
// 请求的接口的前缀 // http://localhost:8080/test
var base = “/http://localhost:8080/test”;
//测试模块
describe(“ajax跨越完全讲解”, function() {
  // 测试方法
  it(“get请求”, function(done) {
  // 服务器返回的结果
var result;
$.getJSON(base + “/get”).then(function(jsonObj) {
  result = jsonObj;
});
// 由于是异步请求,需要使用setTimeout来校验
setTimeout(function() {
  expect(result).toEqual({
  “data” : “get ok”
});
// 校验完成,通知jasmine框架
done();
 }, 100);
  });
  
  //此处测试采用的是jasmine测试框架
   …

});

参考资料

[^1 ]跨域讲解学习二(服务端Filter解决跨域方法)

shangrila_kun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务端解决跨域方法
05-24
服务端解决跨域方法服务端解决跨域方法服务端解决跨域方法
过滤器(Filter解决跨域问题
wender的专栏
03-23 2731
最近在做一个项目,前端资源与服务端单独部署。遇到一个跨域问题,常见的跨域问题可以通过jsonp方式解决。下面介绍另一种解决方式: 服务端环境:spring + dubbo + tomcat 第一步:在WEB-INF目录下添加一个crossdomain.xml文件,内容如下: <cross-domain-policy> <allow-access-from domain=...
filter导致跨域失效_利用Filter解决跨域请求的问题
weixin_39533896的博客
12-19 694
1、为什么出现跨域。很简单的一句解释,A系统中使用ajax调用B系统中的接口,此时就是一个典型的跨域问题,此时浏览器会出现以下错误信息,此处使用的是chrome浏览器。错误信息如下:jquery-1.8.0.min.js:3 Failed to load http://localhost:8081/authz/openapi/v1/token: No 'Access-Control-Allow-O...
Spring Boot 2.5.4 过滤器(Filter) 跨域设置
Ghost130的专栏
10-05 2078
1.背景 起初我程序是配置了跨域设置的 如下 @Component public class WebConfig implements WebMvcConfigurer { private static final Logger logger = LogManager.getLogger(WebConfig.class); @Override public void addCorsMappings(CorsRegistry registry) { regis
通过Filter解决跨域问题,可以跨多个域,域可以通过@Value注解取
热门推荐
luenxin的博客
11-30 1万+
跨域中不同的域指的是“协议+IP+端口”,只要其中一个不相同就要跨域访问,为了安全,浏览器对于跨域默认是禁止访问的。现在很多应用的客户端和服务端是分开的,那么如何来让处于不同域的客户端和服务端实现跨域访问呢,而且客户端还可能不止一个,那么又如何实现多客户端跨域访问一个服务端呢? 本文的项目默认使用Maven构建,并使用Spring Security实现安全,首先在src/main/resou
Filter跨域
kfepiza的博客
09-05 576
import java.io.IOException; import javax.servlet.*; import javax.servlet.http.*; /** * 用于跨域Filter * 在启动方法添加 @org.springframework.boot.web.servlet.ServletComponentScan */ @javax.servlet.annotation.WebFilter(urlPatterns="/*") public class 跨域 extends Ht
Filter过滤器解决跨域问题
微微~
08-17 795
java后端如何解决前后端对接时的跨域问题
filter实现跨域
a391557355的博客
05-18 1579
代码如下:import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletR...
filter导致跨域失效_Filter解决跨域问题
weixin_39968995的博客
12-19 494
比如http://serverIp:8051/test/index.html页面需要需要访问本地启动的Server,http://localhost:8089/api/heren-plugin/event,这时会存在跨域的问题,解决方案有jsonp和iframe等,但jsonp只能使用get方法调用,没有post,在大数据传输时get方法显然不适合。最好的办法就是在目标域的项目中写一个Filter...
跨域系】为何配置了corsFilter还是出现跨域问题
run_boy_2022的博客
04-20 1930
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter来处理的。为了本地容易测试这个跨域问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,跨域问题应该就可以解决了,但是当我访问的时候还是会出现跨域的问题。虽然添加了跨域的配置,这里我的控制台竟然是跨域的问题。
vue跨域解决方法
08-29
主要介绍了vue跨域解决方法 ,需要的朋友可以参考下
服务端配置实现AJAX跨域请求
12-12
一直以为AJAX跨域是无法逾越的鸿沟,最近发现原来在服务端可以通过发送header信息来允许AJAX跨域请求。 PHP代码示例: 代码如下: header(‘Access-Control-Allow-Origin:*’); header(‘Access-Control-Allow-...
nginx解决跨域问题的实例方法
09-29
在本篇文章里小编给各位分享了关于nginx怎么解决跨域问题的方法和实例代码,需要的朋友们参考下。
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
jsonp 方法解决跨域
05-18
JSONP 是一种解决跨域问题的常用方法,它利用了 script 标签不受同源策略限制的特性。具体实现方法如下: 1. 服务器端需要提供一个回调函数,该函数的名称由客户端通过 URL 参数传递。 2. 客户端通过动态创建 script 标签的方式向服务器发送请求,并传递回调函数名称作为 URL 参数。 3. 服务器端将返回的数据包装在回调函数中,并将其作为 JavaScript 代码返回给客户端。 4. 客户端接收到响应后,会自动执行回调函数,从而获取到服务器返回的数据。 以下是一个使用 JSONP 解决跨域问题的示例: 服务端代码(假设回调函数名称为callback): ```python import json def jsonp(request): data = { 'name': '张三', 'age': 20, 'gender': '男' } callback = request.GET.get('callback') response_data = json.dumps(data) response = f"{callback}({response_data})" return HttpResponse(response, content_type='application/javascript') ``` 客户端代码: ```javascript function jsonp(url, callback) { const script = document.createElement('script'); script.src = `${url}&callback=${callback}`; document.body.appendChild(script); } function callback(data) { console.log(data); } jsonp('http://example.com/jsonp', 'callback'); ``` 在上面的示例中,客户端调用 jsonp 函数时,会向 http://example.com/jsonp 发送一个跨域请求,并指定回调函数名称为 callback。服务端返回的数据会被包裹在 callback 函数中,并以 JavaScript 代码的形式返回给客户端。客户端接收到响应后,会自动执行 callback 函数,从而获取到服务器返回的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值