请求跨越问题三个解决方案

最新推荐文章于 2022-08-27 16:51:02 发布
最新推荐文章于 2022-08-27 16:51:02 发布
阅读量1.1k 收藏 2
点赞数 1

一.什么算跨域

我们先回顾一下域名地址的组成: 
http://www.baidu.com:80/script/ajax.js 
其中http://(协议号) 
www(子域名) 
google(主域名) 
80(端口) 
script/ajax.js (请求的地址) 
当协议、子域名、主域名、端口号中任意一各不相同时,都算不同的“域”。不同的域之间相互请求资源,就叫“跨域”。 (自参考自)

二.跨域出现的原因

这个是浏览器做得限制,因为如果用跨域访问会造成不安全,可以不进行CSRF攻击(有关介绍](https://www.zhihu.com/question/26379635))

三.解决办法

目前有三种解决办法:
  1. 用代理服务器代理
  2. 使用jsonp
  3. 服务端设置Request Header头中Access-Control-Allow-Origin为指定可获取数据的域名
详细用法:
1.使用代理服务器:

原理:可以先使用自己的服务器用http请求访问其他服务器的资源,前端用ajax来访自己的服务器。

2.使用JSONP

原理:在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的,但img、iframe、script等标签是个例外,这些标签可以通过src属性请求到其他服务器上的数据。利用script标签的开放策略,我们可以实现跨域请求数据,当然,也需要服务端的配合。当我们正常地请求一个JSON数据的时候,服务端返回的是一串JSON类型的数据,而我们使用JSONP模式来请求数据的时候,服务端返回的是一段可执行的JavaScript代码。 
举个例子假设从服务器(http://www.a.com/user?id=123)获取一个数据如下:

{"id": 123, "name" : 张三, "age": 17}
 
 
  • 1

 
 
  • 1

那么,使用JSONP方式请求(http://www.a.com/user?id=123&callback=foo)的数据将会是如下:

foo({"id": 123, "name" : 张三, "age": 17});
 
 
  • 1

 
 
  • 1

当然,如果服务端考虑得更加充分,返回的数据可能如下:

try{foo({"id": 123, "name" : 张三, "age": 17});}catch(e){}
 
 
  • 1

 
 
  • 1

这时候我们只要定义一个foo()函数,并动态地创建一个script标签,使其的src属性为http://www.a.com/user?id=123&callback=foo

做法:在jQuery中如何通过JSONP来跨域获取数据 : 
第一种方法是在ajax函数中设置dataType为’jsonp’:

$.ajax({
        dataType: 'jsonp',
        url: 'http://www.a.com/user?id=123',
        success: function(data){
                //处理data数据
        }
});
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

第二种方法是利用getJSON来实现,只要在地址中加上callback=?参数即可:

$.getJSON('http://www.a.com/user?id=123&callback=?', function(data){
        //处理data数据
});
或者
//此时也可以在函数外定义foo方法
function foo(data){
        //处理data数据
}
$.getJSON('http://www.a.com/user?id=123&callback=foo');
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

JSONP的应用 
JSONP在开放API中可以起到非常重要的作用,开放API是运用在开发者自己的应用上,而许多应用往往是在开发者的服务器上而不是在新浪微博的服务器上,因此跨域请求数据成为开发者们所需要解决的一大问题,广大开放平台应该实现对JSONP的支持,这一点新浪微博开放平台便做的非常好(虽然某些API里没有说明,但实际上是可以使用JSONP方式调用的)。 
参考自 
缺点:JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 
即使使用jQuery的jsonp方法,type设为POST,也会自动变为GET

3.服务端设置Response Header头中Access-Control-Allow-Origin为指定可获取数据的域名

原理:通过自己的服务器响应首部字段加上一下响应字段

一.方法:

  1. 服务端设置Respone Header头中Access-Control-Allow-Origin
  2. 配合前台使用jsonp
  3. 继承WebMvcConfigurerAdapter 添加配置类

二.实例:

1.前端:因为我们用了前后端分离,前端用node服务器,node服务器再用了ajax反向代理请求到我的spring boot 服务器。其中node服务器也用了ajax发出请求所以也存在跨域的问题。具体代码:

 app.all(apiRoot + '/*', proxy('127.0.0.1:' + proxyPort, {
    forwardPath: function(req, res) {
      console.log('req: ', req, 'res; ', res);
      return require('url').parse(req.url).path;
    }
  }));
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

后台(用的是spring boot 1.3.7.RELEASE) :用了一个filter进行了身份验证同时进行了跨域处理,具体代码:

public class AuthFilter implements Filter {
    //    @Autowired
    //这个不能自动注入servlet和filter是被tomcat管理的
    private BaseUserService baseUserService;
    private String[] excludePaths;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("initFilter");
        //不能在初始化中通过Appliaction Context获取因为这时候还没初始化Application Context
        //baseUserService = SpringUtils.getBean("baseUserService", BaseUserService.class);
        excludePaths = new String[]{"/api/user/noLogin", "/api/user/tokenError", "/api/user/loginForeground",
                "/api/user/loginBackground", "/api/user/inCorrectUserId"};
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        //这里填写你允许进行跨域的主机ip
        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
        //允许的访问方法
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE, PATCH");
        //Access-Control-Max-Age 用于 CORS 相关配置的缓存
        httpServletResponse.setHeader("Access-Control-Max-Age", "3600");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        String userId = request.getParameter("userId");
        String token = request.getParameter("token");
        //有token的                                                     `
        if (userId != null && token != null) {
            try {
                Integer id = Integer.parseInt(userId);
                if (baseUserService == null)
                    baseUserService = SpringUtils.getBean("baseUserService", BaseUserService.class);
                int status = baseUserService.checkLogin(id, token);
                if (status == 1) {
                    chain.doFilter(request, response);
                } else if (status == 0) {
                    httpServletResponse.sendRedirect("/api/user/tokenError");
                } else if (status == -2) {
                    httpServletResponse.sendRedirect("/api/user/inCorrectUserId");
                } else {
                    httpServletResponse.sendRedirect("/api/user/noLogin");
                }
            } catch (NumberFormatException exception) {
                httpServletResponse.sendRedirect("/api/user/inCorrectUserId");
            }
        } else {
            String path = httpServletRequest.getServletPath();
            if (excludePath(path)) {
                chain.doFilter(request, response);
            } else {
                httpServletRequest.getRequestDispatcher("/api/user/noLogin").forward(request, response);
            }
        }
//        ((HttpServletResponse) response).addHeader("Access-Control-Allow-Origin", "*");
//        CorsFilter corsFilter=new CorsFilter();

    }

    private boolean excludePath(String path) {
        for (int i = 0; i < excludePaths.length; i++) {
            if (path.equals(excludePaths[i]))
                return true;
        }
        return false;
    }

    @Override
    public void destroy() {
        System.out.println("destroy method");
    }

}

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75

这种方法还适用于servlet中,特别注意的是一定要在filter动作之前加上这句话,也就是在代码的最前面加上这个话。 
跨域资源共享 CORS 详解(相关链接
2.详细请看(点开
3.具体代码:

package edu.ecnu.yjsy.conf;  

import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.CorsRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;  

@Configuration  
public class CorsConfig extends WebMvcConfigurerAdapter {  

    @Override  
    public void addCorsMappings(CorsRegistry registry) {  
        registry.addMapping("/**")  
                .allowedOrigins("*")  
                .allowCredentials(true)  
                .allowedMethods("GET", "POST", "DELETE", "PUT")  
                .maxAge(3600);  
    }  

}
转自http://blog.csdn.net/hanghangde/article/details/53946207
code farmer mqp
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CORBA企业解决方案
01-25
也许这种复杂性是由于用户的应用程序/企业必须运行在分布式硬件系统上而产生的,因此必须解决网络带来的边界问题。又或许用户不得不处理由于不同的组件用不同的语言编写所引起的问题;又或许这些组件需要运行在不同...
什么是跨域?浏览器为何禁止跨越请求?如何解决浏览器跨越问题
m0_37217612的博客
08-11 3769
1、什么是跨域? 跨越是产生于浏览器的"同源策略",所谓同源策略是指: 1)协议:http、https 2)域名:www.baidu.com、uland.taobao.com … 3)端口:80,8080… 上面四点均一样的情况下,才允许访问相同的cookie、localStorage 和 发送Ajax 请求。如果上面其中一点不同都会出现跨越问题。 2、浏览器为何禁止跨越请求? 1)如果跨域可以请求的话,很多的服务器都会受到额外的攻击; 2)黑客可以在别人的网站代码里面去恶意的攻击其他公司的服务器; 3)因
跨越的几种解决方式
weixin_43575002的博客
07-21 1057
1、CORS跨越-服务端调用 (1)CORS请求默认不‘发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段: Access-Control-Allow-Credentials: true (2)另一方面,开发者必须在AJAX请求中打开withCredentials属性: var xhr = new XMLHttpRequest(); xhr.withCredentials = ..
跨越问题最全面解决方案以及解析,包含各种情况
zhangxiaoxiao9527的博客
12-03 1425
前言 从刚接触前端开发起,跨域这个词就一直以很高的频率在身边重复出现,一直到现在,已经调试过N个跨域相关的问题了,16年时也整理过一篇相关文章,但是感觉还是差了点什么,于是现在重新梳理了一下。 个人见识有限,如有差错,请多多见谅,欢迎提出issue,另外看到这个标题,请勿喷~ 题纲 关于跨域,有N种类型,本文只专注于ajax请求跨域(,ajax跨域只是属于浏览器"同源策略"中的一部分,其它的还有Cookie跨域iframe跨域,LocalStorage跨域等这里不做介绍),内容大概如下: 什么
端口号跨域请求
zzvar的博客
07-01 2172
跨域请求内容一、跨域请求总结 内容 一、跨域请求 Tomcat 从一个端口号跨域请求其他端口号,需要进行如下操作。 package com.yy.mp.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.
请求跨域问题详解
weixin_41262631的博客
08-22 4405
什么是跨域 跨越是浏览器进行安全限制的一种方法,如果浏览器禁用了这种安全限制就不会出现跨域问题 产生跨域的原因(以下三者都满足) 只要调用方访问被调用方的域名、端口、IP不一样 浏览器没有禁用安全限制 采用了XMLHttpRequest的请求 解决跨域的思路 被调用方解决: 被调用方解决-支持跨域(根据http协议关于跨域方面的要求,增加响应头信息,告诉浏览器允许被跨域调用)(因为在发生...
快递无人机方案设计.doc
12-25
当前,如何解决因快递无人机数量多,空域使 用频繁而带来的飞行信息需求量大的问题是制约无人机配送行业发展的重要瓶颈。因此 ,国内无人机配送要实现其推广,低空空域的开放、法规政策的完善、无人机动力、导 航、...
深入分析Java Web技术内幕 修订版
07-26
宝在无线端的应用实践,包括:CDN 动态加速、多终端化改造、 多终端Session 统一 ,以及在大流量的情况下,如何跨越性能、网络和一个地区的电力瓶颈等内容,并提供了比较完整的解决方案。 《深入分析Java Web技术...
服务器配置课程学习小结.docx
06-08
在网络服务器中的软件是用来接收来自第三方的请求,并提供某种特定形式的信息来应答这些请求。 6.在部署服务器时,可以面向内网部署,也可以面向Internet部署。 在Windows server2008 R2的安装中,需了解server 2008...
Vue-cli 配置代理服务
li_aoqi的博客
10-27 2034
Vue-cli 配置代理服务 方法一: 在vue.config.js中添加如下配置: devServer:{ proxy: "http://localhost:5000" } 说明: 优点:配置简单,请求资源时直接发给前端(8080)即可。 缺点:不能配置多个代理,不能灵活的控制请求是否走代理。 工作方式:若按照上述配置代理,当请求了前端不存在的资源时,那么该请求会转发给服务器 (优先匹配前端资源) 方法二: 编写vue.config.js配置具体代理规则: module.exports = {
java后端解决跨域问题
晓宇博客
06-22 9万+
1.java过滤器过滤 允许整个项目跨域访问,可通过filter来进行过虑: public class SimpleCORSFilter implements Filter{ @Override public void destroy() { } @Override public void doFilte...
如何解决跨域问题
zthtt的博客
01-09 5734
如何解决跨域问题 一、什么是跨域? 跨域,全称是跨域资源共享(Cross-Origin Resources Sharing ,CORS),是浏览器的保护机制,只允许浏览器请求同一域名下的服务,同一域名的要求是协议、域名、 端口都要保持一致,只要有一项不同,都是跨域请求 简单来说,在baidu网站不能请求taobao服务器的资源,一个域到另一个域发送请求,这就造成了跨域的资源共享的问题,这个问题就是cors 二、解决方法:配置后端、配置前端、配置服务器 1.配置后端 浏览器是否开启跨域保护机制是根据后端的响应
最常见的六种跨域解决方案
m0_37873510的博客
08-27 3万+
常见的跨域解决方案
跨域的十种解决方案详解(总结)
MoXinXueWEB的博客
07-26 7856
小菜鸟在总结
前端常见跨域解决方案
my_web012的博客
03-17 742
什么是跨域? 跨域是指一个域下的文档或脚本去请求另一个域下的资源文档,根据浏览器同源策略,同源是指 协议+域名+端口都相同,有一个不同都会产生跨域行为。 同源策略限制一下行为: localstorage,cookie和IndexDB无法读取 Dom 和 js 对象无法获取 Ajax请求不能发送 常见的跨域场景 跨域解决方案 JSONP 通常为了减轻web服务器的负载,我们把js,css,im...
解决跨域的四种方式
jhfvuyhgui的博客
06-04 9790
跨域的概念以及解决跨域的三种方法
什么是跨域?怎么解决跨域问题
热门推荐
L瑜
06-15 27万+
什么是跨域? 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com
跨越请求及实现跨域的方案
kevin的博客
03-13 783
跨域请求概念 什么是域? 当两个应用的协议,主机地址(或域名),端口号(默认80)其中一项不同,则认为他们的域是不同的。 什么是 js 跨域? 两个不同的域 a,b,在a的js脚本中用ajax调用了b的后端地址,跨越是浏览器进行安全限制的一种方法,如果浏览器禁用了这种安全限制就不会出现跨域问题 跨域请求过程 浏览器 -------&gt; 服务器 (预请求) ---- 判断返回的头信息是否...
JS跨越问题解决方法
hsd2012的专栏
10-17 3499
一.同源策略的限制 首先,我们需要知道跨域就是在不同的域之间进行数据传输或通信。只要协议、域名、端口有任何一个不同,都被当作是不同的域。当要想跨域,就得理解浏览器的同源策略限制。 其限制之一就是我们说的不能通过ajax的方法去请求不同源中的文档。 它的第二个限制是浏览器中不同域的框架之间是不能进行js的交互操作的。 关于第二个限制,比如,有一个页面,它的地址是http://www.findm
springboot请求跨越问题
最新发布
09-05
在这种情况下,跨域请求就会成为一个常见的问题。 跨域请求是指浏览器发起的AJAX请求访问不同域名、不同端口或不同协议的资源。默认情况下,浏览器出于安全考虑,会阻止这类请求,以防止恶意攻击或跨站点请求伪造...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值