跨域解决方案

最新推荐文章于 2024-08-14 09:59:10 发布
最新推荐文章于 2024-08-14 09:59:10 发布
阅读量175 收藏
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tour9566/article/details/103920816
版权

跨域及其解决方案

1. 跨域是什么

​ 跨域(cross domain request):是指一个域下的文档或脚本试图去请求另一个域下的资源,二者所在的请求地址不同,域名不同、端口号不同、请求协议不同

​ 举个栗子:

`http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非跨域)`
`http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域)`
`http://abc.123.com/index.html 调用 http://def.123.com/server.php (子域名不同:abc/def,跨域)`
`http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php (端口不同:8080/8081,跨域)`
`http://www.123.com/index.html 调用 https://www.123.com/server.php (协议不同:http/https,跨域)`

​ 请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。

​ 跨域是由前端浏览器的同源策略造成的,是浏览器对js施加的安全限制。浏览器不会阻止你向另一个域名发送请求,请求可以发出,但是你拿不到响应的结果。

2. 如果没有同源限制两点危险场景

2.1 没有同源策略限制的接口请求

​ cookie的存在的目的是让服务端知道谁发出的这次请求,如果你请求了接口进行登录,服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中,服务端就能知道这个用户已经登录过了。

若没有同源策略限制的接口请求,就会出现传说中的CSRF攻击,如下图所示:

在这里插入图片描述

2.2 没有同源策略限制的Dom查询

​ 1.有一天你刚睡醒,收到一封邮件,说是你的银行账号有风险,赶紧点进www.yinghang.com改密码。你吓尿了,赶紧点进去,还是熟悉的银行登录界面,你果断输入你的账号密码,登录进去看看钱有没有少了。
​ 2.睡眼朦胧的你没看清楚,平时访问的银行网站是www.yinhang.com,而现在访问的是www.yinghang.com,这个钓鱼网站做了什么呢?

// HTML
<iframe name="yinhang" src="www.yinhang.com"></iframe>
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
const iframe = window.frames['yinhang']
const node = iframe.document.getElementById('你输入账号密码的Input')
console.log(`拿到了这个${node},我还拿不到你刚刚输入的账号密码吗`)

3.同源策略限制

​ 同源策略限制以下几种行为:

		1.) Cookie、LocalStorage 和 IndexDB 无法读取 

​		2.) DOM 和 Js对象无法获得

​	 	3.) AJAX 请求不能发送

​ 这里要注意的是,只有访问类型为xhr(XMLHttpRequest)的才会出现跨域。

4.跨域解决方案有哪些

4.1 前端来处理跨域问题

4.1.1 JSONP

​ 在HTML标签里,一些标签比如script、img这样的获取资源的标签是没有跨域限制的,利用这一点,我们可以这样干:

 getJson () {
      let url = 'http://10.4.139.133:18080/crossDomain/hello'
      this.$jsonp(url, {
        params: {},
        jsonp: 'jsonpCallback'
      })
        .then((json) => {
          // 返回的jsonp数据不会放这里,而是在 window.jsonpCallback
          console.log(json)
        })
    }

jsonp的缺点:只能发送get一种请求。

2)http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建)(开发时配置)

devServer: {
        open: true,
        port: 8080,
        proxy: {
          '/api': {      
            target: 'http://10.4.139.133:18080',
            changeOrigin: true,
            pathRewrite: {
              '^/api': '/'
            }
          },
        }
    },

4.2 后端处理跨域问题

4.2.1 CORS(跨域资源共享)(cross-origin resourse sharing)

​ 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。通过服务器的response响应头里参数设置 Access-Control-Allow-Origin 就可以开启 CORS。前端无须设置,若要带cookie请求:前后端都需要设置

方法一:过滤器

response.setContentType("application/json; charset=utf-8");
        response.setCharacterEncoding("UTF-8");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET,PUT, OPTIONS, DELETE");
        response.setHeader("Access-Control-Allow-Origin","*");// 允许访问的域(协议+域名+端口)
        response.setHeader("Access-Control-Allow-Credentials", "true"); // 后端允许发送Cookie
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, token,access-control-allow-origin");

方式二:@crossorigin跨域

    @ResponseBody
    @CrossOrigin
    @RequestMapping(value = "/hello",method = RequestMethod.GET)
    public String hello(HttpServletResponse rsp){
        return "jsonpCallback";
    }

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)可以写参数

4.2.2 服务器代理

​ 跨域是js的特性,服务端不受影响,所以可以用服务器来请求对应的数据,再返给前端.

nginx反向代理

    server {
            listen          80;
            server_name     10.4.139.32;
            
            location / {
                    root   /usr/share/nginx/html/dist;
                    index  index.html index.htm;
            }
            location /api/ {
                    proxy_pass http://10.4.139.133:18080/;
            }             
    }

总结:一般采用cors或nginx代理

tour9566
关注
专栏目录
TourJS:Tour.JS是一个JavaScript库,用于引导用户浏览您的应用
04-27
TourJS Tour.JS是一个JavaScript库,用于引导用户浏览您的应用程序。 转到文档,功能列表和演示到我的。 安装 要开始使用Tour.JS,您只需要在项目中包含Tour.JS,jQuery和一个游览主题即可。 < script src = "https://code.jquery.com/jquery-3.3.1.min.js" > < / script > < script src = "https://Bastiaan225.github.io/TourJS/frameworks/Tour/tour.js" > < / script > 主题 包含库之后,必须包含游览主题之一。 默认: < link rel =" stylesheet " href =" https://Bastiaan225.github.io/TourJS/frameworks/Tou
网页案例实现html5语音识别、tourjs引导krpano动态加载xml、js和图像文件实现全息虚拟实景购物、获取注册手机验证码、JQuery商品3D展示、等
WenRouDG的博客
08-01 2163
前言 今天向大家分享一项关于商城网页设计的案例。现如今大大小小的商城多如牛毛。如淘宝、京东、唯品会、聚美优品等各大应用平台的专属商城,实在是太多了。那么在众多的商城且大致功能服务都相同的情况下,如何让用户选择你的平台呢?那么在此次案例中我的收获点之一就是答案。用户体验。个人总结了以下四个方面: 1)有用:满足用户需求 2)易用:通俗易懂能让用户更容易上手和接受的产品 3)友好:界面友好、内容友好、适合用户浏览习惯 4)视觉:以新颖的方式呈现出产品的特性,同时释放出产品的吸引力,来吸引用户的眼球。 也就是说在
从0开始搭建vue + flask 旅游景点数据分析系统(九):旅游景点管理之增删改查
最新发布
roccreed的专栏
08-14 730
景点列表的增删改查+分页
krpano中新建一个网格场景(空场景)漫游
zhunju0089的博客
12-10 424
1.首先将tour.jstour.swf放入项目文件夹 2.新建一个vtour.html <!DOCTYPE html> <html> <head> <title>全景漫游</title> <meta name="viewport" content="width=device-width, initial...
tour:javascript应用程序的游览和入门
05-06
旅游 一个简单,极简的javascript游览和入门库 特征 支持单页应用程序和复杂的可滚动内容 React灵敏 自动定位 承诺驱动事件和挂钩 Tour不会以任何方式操纵或中继您的DOM元素 安装 通过npm安装 $ npm install tour --save 或CDN 导入JS和CSS // ES6+ import Tour from 'tour' // CommonJS const Tour = require ( 'tour' ) . default // Vanilla var Tour = window . Tour . default @import 'node_modules/tour/dist/tour.css' 简单用法 const myTour = { canExit : true , nextText : 'Proceed!' , steps : [
详解vue-cli3 中跨域解决方案
10-17
在Vue.js的开发环境中,Vue-cli3提供了一种优雅的跨域解决方案,主要通过配置代理来实现前后端分离的项目中前端调用后端API的需求。这一解决方案在开发环境中非常实用,但是出于安全考虑,在生产环境中建议设置同源...
前端开发跨域解决方案
08-06
前后端分离H5 跨域解决方案 提供多种解决方法 详情请下载文件 自己看 100%可以解决你的问题
js跨域解决方案
06-25
1. **JSONP(JSON with Padding)**:JSONP是一种早期的跨域解决方案,它依赖于`<script>`标签不受同源策略限制的特点。通过动态创建`<script>`标签,设置其`src`属性为提供服务的服务器接口,并由服务器返回一个包裹...
前端跨域原理以及跨域解决方案.docx
10-26
#### 四、跨域解决方案 ##### 4.1 JSONP(JSON with Padding) **原理**: 利用`<script>`标签可以跨域加载外部JavaScript文件的特性来实现跨域请求。由于`<script>`标签没有同源策略限制,因此可以用来加载并执行...
tour.js:应用内演练教程库
07-01
旅游.js 应用内演练/教程库
Tourguide.js一个简单轻便干净且小巧的库用于为您的Web应用程序创建引导式产品导览
08-07
Tourguide.js 一个简单,轻便,干净且小巧的库,用于为您的Web应用程序创建引导式产品导览。
vue-tour-轻巧且可自定义的游览插件-Vue.js开发
05-27
Vue Tour Vue Tour是一个轻巧,简单且可自定义的Tour插件,可与Vue.js一起使用。 它提供了一种快速简便的方法来指导您的Vue Tour Vue Tour Vue Tour Vue Tour是一个轻巧,简单且可自定义的Tour插件,可与Vue.js一起使用。 它提供了一种快速简便的方法来指导您的用户浏览您的应用程序。 目录入门缺少什么? 入门您可以使用npm或通过在GitHub上下载缩小的版本来安装vue-tour。 npm install vue-tour然后将插件导入您的应用程序入口点(如果您使用vue-cli来支撑您的项目,则通常为main.js),并告诉Vue使用它
vue3.0集成krpano
atu1111的博客
05-25 1322
vue3.0集成krpano 1.将全景krpano静态资源文件vtour放入vue项目中   vue@cli3没有static,需要放在public目录下 2.修改index.html文件。在文件中引入tour.js   构建vtour组件。由于krpano没有提供npm包(当然也不会提供,你懂得),所以只能通过script引入相关文件。krpano最关键的是tour.js,所以需要修改index.html文件。在文件中引入tour.js。由于我们将vtour放在static中,所以路径改变了,添加如下
Krpano学习:krpano调用javascript方法并传参、在krpano中用javascript实现视频音频播放
韶光
06-13 9555
Krpano中的action可以调用javascript中写好的函数。 主要参考krpano360的资料和new720的资料。个人感觉前者没有后者讲的清楚,后者更适合初学者一些。 根据krpano调用js的方法,就可以用krpano调用js,然后用js写视频和音频。顺序是在js文件中写好要实现的功能(我的js文件名称为action.js),然后在krpano生成的tour.html中引
在Vue项目中加载krpano全景图
qq_42344946的博客
03-12 1417
全景krpano官方文档:https://krpano.com/docu/js/#top 全景krpano中文网站:http://www.krpano360.com/ 1、将krpano文件放到static文件下 并在index.htm里面引入tour.js 2、写vue组件,若不存在生成先后的问题,可以直接在date里面定义,或者在 embedpano({ onready(krpano_interface){ this.krpano = krpano_interface.
Krpano:打造全景漫游体验—基础(一)
m0_59281691的博客
04-16 1192
由于基础知识太多,篇幅太长,本文只讲解了krpano的运作机制、tour.js的讲解以及krpano各个元素的简单介绍,下一篇文章将详细讲解krpano中的动作也就是< action >元素的使用和用法。
一个简单的网页系统Tour(终结) 和效果展示图
lccla120712的博客
04-27 1244
一个简单的网页系统Tour(终结)  本篇文章将展示具体页面展示效果以及整体架构图。 一。 页面展示图 二。代码分析  此处主要是有了myFocus js库,由于官网上下载比较缓慢,因此可以在我的gitHub源码中下载。  注意代码结构
krpano全景之vtour文件夹和tour.xml文件详解
ZT的专栏
01-18 4277
maps="false" maps_type="bing" maps_bing_api_key="" maps_google_api_key="" maps_zoombuttons="false" gyro="true" webvr="true" webvr_gyro_keeplookingdirection="false" webvr_prev_next
JS跨域解决方案详解
在现代Web开发中,CORS是最常用也是最推荐的跨域解决方案,因为它提供了更安全且灵活的控制方式。同时,JSONP仍然是一个轻量级的选项,特别是在不支持CORS的旧版浏览器中。而当涉及到端口或协议问题时,后端代理是必...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值