Http跨域解决方案

最新推荐文章于 2024-03-10 15:41:33 发布
最新推荐文章于 2024-03-10 15:41:33 发布
阅读量482 收藏 1
点赞数
分类专栏: Web 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/summer_fish/article/details/113140385
版权

简单请求

满足发下条件会被视为简单请求:
1、使用下列请求方法之一:

  • GET
  • HEAD
  • POST

2、请求头信息不超出以下几种:

  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type 仅限于以下三者
    text/plain
    multipart/form-data
    application/x-www-form-urlencoded

简单请求会在请求头添加 Origin 字段,服务器根据这个值来决定是否同意这次请求。如果同请求,服务器响应会额外添加几个字段:

  • Access-Control-Allow-Origin(必须)
    指定了允许访问该资源的域,其值要么是请求时 Origin 的值,要么是 * 表示接受任意域名的请求;
    当指定的值不是 * 时,响应首部中的 Vary 字段的值必须包含 Origin;
  • Access-Control-Allow-Credentials(可选)
    当浏览器的credentials设置为true时,是否允许浏览器读取response的内容;
    返回true(唯一有效值,区分大小写)则可以,其他值均不可以。
    此字段返回true时,Access-Control-Allow-Origin 必须为请求 Origin 的值,不能是 *;
    此字段在预检请求的响应中时,它指定了实际的请求是否可以使用credentials;
    简单请求不会被预检,当浏览器的credentials设置为true时,其响应中如果不包含该字段,浏览器将无法读取response的内容。
  • Access-Control-Expose-Headers(可选):
    白名单,列出了服务器允许浏览器访问的头;
    默认情况下,XMLHttpRequest.getResponseHeader() 方法只能拿到六种简单响应首部,如果想要能拿到其它字段,就需要在Access-Control-Expose-Headers指定。

    六种简单响应首部是:
    Cache-Control
    Content-Language
    Content-Type
    Expires
    Last-Modified
    Pragma

非简单请求

非简单请求是那种对服务器有特殊要求的请求
比如请求方法是 PUT 或 DELETE;
比如包含了限定以外的请求头,如 Authorization 或 X-Custom-Header;
比如 Content-Type 字段值是 application/json;
对于非简单请求,浏览器会先发起一个预检请求,得到肯定答复后,才会发起正式请求。

预检请求

预检请求使用 OPTIONS 方法,包括以下字段:

  • Origin: 表明实际请求的源站;
  • Access-Control-Request-Method: 表明实际请求所使用的 HTTP 方法;
  • Access-Control-Request-Headers: 表明实际请求所额外携带的头部字段;

注:预检请求由浏览器自动发出,无须手动设置这些字段。

预检请求的响应

服务器收到预检请求后,检查了 Origin, Access-Control-Request-Method, Access-Control-Request-Headers 后,可以确认是否允许跨源请求,然后做出回应。

响应包括以下字段:

  • Access-Control-Allow-Origin 指定了允许访问该资源的域,含义同简单请求
  • Access-Control-Allow-Methods 指定了实际请求中允许使用的所有HTTP方法
  • Access-Control-Allow-Headers 指定了实际请求中允许携带的所有首部字段
  • Access-Control-Allow-Credentials 指定了实际的请求是否可以使用credentials,含义同简单请求
  • Access-Control-Max-Age 指定了预检请求的结果能够被缓存多久,单位秒

正常跨域请求

通过预检后,正常跨域请求跟简单请求一样,浏览器会在请求头添加 Origin 字段;
服务器的回应也跟简单请求一样,必须包含 Access-Control-Allow-Origin 字段。

SprinBoot中跨域的三种解决方法

CrossOrigin注解

//@CrossOrigin  表示所有的URL均可访问此资源
@CrossOrigin(origins = "http://127.0.0.1:8093")//表示只允许这一个url可以跨域访问这个controller
@RestController
@RequestMapping("/testCorss")
public class CorssOriginController {
    //可以对方法运用该注解
    //@CrossOrigin(origins = "http://127.0.0.1:8093")
    @GetMapping("/getString")
    public String getString(){
        return "跨域成功!";
    }
}

@CrossOrigin这个注解用起来很方便,这个可以用在方法上,也可以用在类上。如果你不设置他的value属性,或者是origins属性,就默认是可以允许所有的URL/域访问。

  • value属性可以设置多个URL。
  • origins属性也可以设置多个URL。
  • maxAge属性指定了准备响应前的缓存持续的最大时间。就是探测请求的有效期。
  • allowCredentials属性表示用户是否可以发送、处理 cookie。默认为false
  • allowedHeaders 属性表示允许的请求头部有哪些。
  • methods 属性表示允许请求的方法,默认get,post,head。

实现WebMvcConfigurer

public class MyWebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/testCross/**")
                .allowedHeaders("*")
                .allowedMethods("*")
                .allowCredentials(true)
                .allowedOrigins("http://localhost:8093")
                .maxAge(2000);
    }
}

重写addCorsMappings方法就行,配置好参数,参数和上面的注解的参数类似。这个配置属于全局配置,配置好了全部的接口都遵循此规则。上面的注解方式只对类或者方法生效。addMaping是设置对那种格式的URL生效,也就是跟在URL后面的路径。

过滤器配置

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class Filter {
    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://localhost:8093");//*表示允许所有
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config); // CORS 配置对所有接口都有效
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

利用过滤器配置实现跨域,还有另外一种方法

import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.FilterConfig;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Configuration
public class CorssFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "http://localhost:8093");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}
summer_west_fish
关注
专栏目录
HTTP跨域问题的解决方案
Star_CSU的博客
05-30 6511
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
http跨域解决方案
Shizukuu的博客
06-16 391
同源策略 「同源策略」是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 url 的组成部分 -「protocol(协议)、domain(域名)、port(端口)三者一致。」 在默认情况下 http 可以省略端口 80, https 省略 443。 跨域资源共享(CORS) 当一个资源从与该资源本身所在的服务器「不同的域、协议或端口」请求一个资源时,资源会发起一个「跨域 HTTP 请求」。 简单请求
HTTP----跨域解决方式
最新发布
m0_58794378的博客
03-10 2694
在说跨域之前,需要先了解一下什么是同源策略,跨域就是因为浏览器这个安全策略引起的。
Http--跨域请求
BtWangZhi的博客
06-07 8068
在浏览器中,与当前页面不同域名的url是不允许访问的,这是浏览器端的限制,后端设置Access-Control-Allow-Origin为发起发的URL即可,相当于开放给这个URL请求(注意,必须要和浏览器中的URl相同,如请求方为127.0.0.1,Access-Control-Allow-Origin设置为localhost是不行的) 如果是允许多个URL请求,可以在Request中获取URL...
Http跨域和处理方案
2th
10-17 636
跨域问题是由于浏览器的同源策略引起的。同源策略是一种安全机制,它限制了一个网页中的脚本只能访问与该网页具有相同协议、域名和端口的资源。如果一个请求的目标资源的协议、域名或端口与当前页面的不同,就会触发跨域请求。跨域问题的出现,一方面是为了保护用户的隐私和数据安全,防止恶意网站通过脚本获取或篡改用户在其他网站上的数据。另一方面,它也有助于确保各个网站之间的安全性,防止恶意网站利用其他网站的资源或执行恶意操作。
PHP Ajax跨域问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
jQuery跨域问题解决方案
10-23
在标题“jQuery跨域问题解决方案”中提到的JSONP(JSON with Padding)便是其中一种。JSONP允许跨域访问,其工作原理是允许用户传递一个回调函数名给服务器,然后服务器将返回一段JavaScript代码,其中包括了调用该...
spring cloud gateway请求跨域问题解决方案
08-25
Spring Cloud Gateway 请求跨域问题解决方案 Spring Cloud Gateway 作为一种基于微服务架构的API Gateway,提供了许多有用的特性,如路由、负载均衡、熔断器等。但是,在使用 Spring Cloud Gateway 时,经常会遇到...
详解SpringMVC解决跨域的两种方案
08-29
SpringMVC 跨域解决方案是指在 SpringMVC 框架中解决跨站 HTTP 请求(Cross-site HTTP request)的两种方案。跨域是指发起请求的资源所在域不同于请求指向资源所在域的 HTTP 请求。在前后端分离的开发方式中,跨域...
http跨域详解
weixin_34151004的博客
12-25 672
跨域 为什么会有跨域??由于浏览器的同源策略限制,浏览器会拒绝跨域请求,那么什么是同源呢?如果两个页面的协议,端口,和域名都相同,则两个页面具有相同的源。如果3者有一个不同,则为跨域。 域的更改 页面可能会因某些限制而改变他的源。脚本可以将document.domain的值设置为其当前域或者当前域的超级域。如果将其设置为其当前域的超级域...
http接口跨域解决方法
T-MacFBMa的博客
12-11 3764
方法一: JQuery+jsnop 跨域的例子 使用原因:JavaScript是一种在Web开发中经常使用的前端动态脚本技术。 在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。 这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制, 即JavaScript只能访问与包含它的文档在同一域下的内容。 方法
跨域http协议
Almee211的博客
09-10 271
HTTP的请求只能是客户端向服务器发起。33 第一步:建立连接(三次握手) 第二步:开始通信 通信中又分为客户端对服务器请求 请求要遵循请求报文的要求 请求报文: 请求行:请求方式/请求路径/协议版本 POST /user HTTP/1.1 # POST 请求方式 # /user 请求URL(不包含域名) # HTTP/1.1 请求协议版本 请求头:键值对 user-agent: Mozilla/5.0 # 产生请求的浏览器信息 accept: application/json # 表
HTTP请求跨域问题
qq_42765662的博客
07-28 1435
前端开发中经常出现跨域问题,了解跨域的原理及其解决方法
关于HTTP跨域请求的预请求和更多配置
Wang的专栏
02-10 922
关于跨域请求的其他限制 并不是所有情况的跨域都可以设置Access-Control-Allow-Origin头 我们还是通过例子来说明 自定义的头信息 1 ) 准备程序 server1.js const http = require('http'); const fs = require('fs'); http.createServer((req, res) => { console.log('req come: ', req.url); const html = fs.re
C# 后端WebApi实现跨域
glmushroom的专栏
11-06 1094
之前过以dll为宿主的WebApi实现,参照: https://blog.csdn.net/glmushroom/article/details/107538919 现在遇到前端跨域问题。 在NuGet中引入 在配置中进行设置 : config.EnableCors(); config.EnableCors(new EnableCorsAttribute("*", "*", "*")); public static bool isHostStart = false;
http中解决跨域的几种方法(代码实测)
码农小默
06-01 6920
一、概念 1.什么是跨域跨域是浏览器安全机制,其实就是说你请求访问的域名与ajax请求地址不一致,浏览器会直接无法返回请求结果。 二、跨域的例子展示 1.项目demotesta 1.1.目录结构 1.2.pom.xml <dependency> <groupId>javax.servlet</groupId> <artifa...
详解HTTP跨域
summer_fish的专栏
08-06 6096
什么是跨域 所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。 举个例子 运行在domain-a.com的 JavaScript 代码使用XMLHttpRequest分别发起两个请求: 请求A: https://domain-a.com/query 请求B: https://do...
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 5957
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
Vue $http跨域解决方案:proxyTable配置详解
在使用`emulateJSON: true`时,Vue将自动将发送的数据转换为JSON格式,这有助于解决跨域时可能遇到的问题。 需要注意的是,虽然你在浏览器中看到的请求地址仍然是`http://localhost:8080`(Vue应用的初始地址),但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值