CORS跨域问题解决

最新推荐文章于 2024-06-30 15:30:45 发布
最新推荐文章于 2024-06-30 15:30:45 发布
阅读量628 收藏
点赞数
分类专栏: java 文章标签: cors java 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011925641/article/details/82687013
版权
CORS跨域问题解决

简介

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

什么情况才算跨域?

一般来说,当一个请求url的协议、域名、端口三者之间任意一个与当前页面地址不同即为跨域。最常见的就是在一个域名下的网页中,调用另一个域名中的资源。

两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
只要同时满足以下两大条件,就属于简单请求

1、简单请求

(1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

同时满足以上两点的就是简单请求,其他就是非简单请求了。

(1)Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

(2)Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

(3)Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

withCredentials 属性

上面说到,CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。

另一方面,开发者必须在AJAX请求中打开withCredentials属性。
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

2、非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如需要在请求头head中设置自定义的token,请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)。

“预检”请求用的请求方法是OPTIONS,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

1)Access-Control-Allow-Methods

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求。

(2)Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在”预检”中请求的字段。

(3)Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

(4)Access-Control-Max-Age

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。

需要详细了解的请看原文跨域资源共享 CORS 详解

参数整理

把常用的参数汇总为下面的表格:

参数名参数含义
Access-Control-Allow-Origin*或指定的origin指定要接受的域名的值.,表示接受任意域名的请求(为了安全考虑不建议设置为)
Access-Control-Allow-MethodsPOST, GET, OPTIONS, DELETE,PUT表明服务器支持的所有头信息字段,逗号分隔
Access-Control-Allow-Headerstoken,DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Access-Control,x-access-token。其中token是自定义的表明服务器支持的所有跨域请求的方法,逗号分隔
Access-Control-Allow-Credentialstrue/false表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可
Access-Control-Max-Age3600用来指定本次预检请求的有效期,单位为秒
Access-Control-Expose-Headers自定义值,比如token指定自定义的响应头字段。XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段



服务端代码配置

1、xml配置

在web.xml上面添加配置:

    <!--配置过滤器-->
    <filter>
        <filter-name>OriginFilter</filter-name>
        <filter-class>com.zzh.filter.OriginFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>OriginFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2、Java配置

下面代码示例是一个比较综合的配置,
1、http请求头中自定义了token,
2、http请求允许发送Cookie
3、http响应头自定义token

在开发中,根据实际需求可以进行删减。

public class OriginFilter implements Filter {

    private final Logger logger = LoggerFactory.getLogger(getClass());

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        logger.debug("init......");
    }

    @Override
    public void destroy() {
        logger.debug("destroy......");


    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
            ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        String origin = request.getHeader("Origin");
        logger.debug("this is OriginFilter ,origin:" + origin + ", url: " + request.getRequestURI() + ",methods:" + request.getMethod());

        //指定要接受的域名的值.*,表示接受任意域名的请求(为了安全考虑不建议设置为*)
        response.setHeader("Access-Control-Allow-Origin", origin);
        //表明服务器支持的所有头信息字段,逗号分隔
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT");
        //用来指定本次预检请求的有效期,单位为秒
        response.setHeader("Access-Control-Max-Age", "3600");
        //表明服务器支持的所有跨域请求的方法,逗号分隔
        response.setHeader("Access-Control-Allow-Headers", "token,DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Access-Control,x-access-token");
        //表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可
        response.setHeader("Access-Control-Allow-Credentials", "true");
        //指定自定义的响应头字段。XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段
        response.setHeader("Access-Control-Expose-Headers", "token");

        chain.doFilter(req, res);

    }

参考原文

SpringMvc解决跨域
https://my.oschina.net/wangnian/blog/689020
跨域资源共享 CORS 详解
http://www.ruanyifeng.com/blog/2016/04/cors.html#comment-text

不煽情阿浩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# WebApi CORS跨域问题解决方案
08-27
C# WebApi CORS跨域问题解决方案 在Web开发中,跨域问题是一个常见的挑战,尤其在使用C# WebApi构建后端服务时。为了解决这个问题,我们可以利用CORS跨域资源共享)机制。本文将深入探讨CORS的背景、工作原理以及...
GeoServer配置解决cors跨域问题的依赖jar包和配置说明.zip
05-12
geoserver跨域设置: 1、将cors-filter-2.4.jar和java-property-utils-1.9.1.jar,两个jar包文件放入geoserver目录下webapps\geoserver\web-inf\lib中。 2、打开geoserver目录下webapps\geoserver\web-inf中的web....
nginx静态资源服务配置了Access-Control-Allow-Origin等属性,部分请求还是会出现跨域的问题
一个人的价值取决于所在位置
12-26 2722
使用nginx做静态资源服务器(离线地图),我已经在nginx配置中加了Access-Control-Allow-Origin头部等配置,如下: # MapSources Server cesium服务 server { listen 9602; server_name 192.168.10.26; location / {...
前端发送请求,明明登录进去了,为什么获用户信息不行,后端总是识别不到token——跨域的问题
CXYCMY的博客
02-25 840
配置跨域,crosConfig版本
如何解决前后端分离开发中,前端携带token跨域问题?
m0_63464979的博客
05-10 820
前面自己在做项目的时候遇到了一个问题。 以前做项目的时候,前端也用的VSCODE,后端用的也是IDEA,因为没有用token,所以当时后端加了@CrossOrigin注解之后就再也没有没有出现跨域问题。前几天自己做项目的时候发现,尽管后端配置了跨域,但是前端如果携带token访问的话,还是会出现跨域不被运行的情况。
请求头添加自定义属性,实现token功能时,出现CORS跨域导致请求失败( has been blocked by CORS policy: ... No ‘Access-Control-All)
piglite的专栏
06-17 2738
场景:在使用 SpringBoot + Vue 进行前后端分离的开发过程中,部分功能是需要当用户登陆成功时后端(SpringBoot)向前端(Vue)返回一个token值,前端将这个token值放在以后每个请求请求头中,后端先从拦截器中验证token值的存在,再放行请求,以确保不会被别人恶意修改、删除数据,结果出现了CORS跨域导致请求失败的情况。非简单请求CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于在后端拦截器中拦截了所有的请求
请求时设置了Header请求token可是后台接收不到,然后一直报跨域错误
m0_55045698的博客
01-29 1232
最近项目出了一个疑难杂症,恶心死我。请求方法为 GET、POST、HEAD,请求头header中无自定义的请求头信息,请求类型Content-Type 为 text/plain、multipart/form-data、application/x-www-form-urlencoded 的请求都是简单请求。浏览器根据这些请求方法和请求类型将请求划分为简单请求和非简单请求请求方法为 PUT、DELETE 的 AJAX 请求、发送 JSON 格式的 AJAX 请求、带自定义头的 AJAX 请求都是非简单请求
为什么前端传了token,后端一直获不到?一直报跨域错误?
最新发布
a486368464的博客
06-30 241
这是我的前端代码这是我的后端拦截器那就需要了解一下对于非简单请求(如PUT、DELETE或包含自定义HTTP头的请求),浏览器会先发送一个OPTIONS请求到目标服务器,询问是否允许该跨域请求。这个过程称为预检请求。当options请求到达我服务器时,被拦截器拦住了,获不到跨域的规则。所以浏览器也不会发送实际的请求。那么一共有两种解决办法。
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
Spring boot 和Vue开发中CORS跨域问题解决
12-11
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。...这个问题是典型的CORS跨域问题。 所谓跨域跨域
Springboot 前后端分离项目中使用拦截器获不到token或者token为空的问题(OPTION请求被拦截问题)
weixin_45609613的博客
05-05 2514
目是前后端分离的,并且springboot也配置了跨域功能。但是配置了JWT功能、以及验证器验证之后却出现了获不到jwt的问题。获参数为 null。并且全局异常拦截失效,前端响应为cors跨域问题不到数据。使用postman可以正常请求并获数据,考虑到是不是因为自己header中的jwt字段不是标准的header字段,尝试放到Authorization中也是null,并且全局拦截也是失效的。
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 8万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
nginx 配置add_header 'Access-Control-Allow-Origin' '*' 依然存在跨域问题
热门推荐
xiojing的博客
10-25 8万+
1.问题描述: 前端域名A 在POST请求后端域名为B 的一个接口时候请求成功时不存在跨域问题请求失败时浏览器提示跨域解决: 当请求成功时,HTTP CODE 为200。而请求失败时HTTP CODE 为400, 此时add_header ‘Access-Control-Allow-Origin’ ‘*’ 配置无效!设置无论HTTP CODE 为何值时都生效需要加 always 。ngin...
2.1.5Nginx跨域访问:add_header
紫月7575的博客
09-01 1554
文章目录Nginx跨域访问跨域访问Nginx跨域操作:添加头:add_header测试准备开始测试 Nginx跨域访问 跨域访问 浏览器同时访问www.a.com和www.b.com,从安全角度讲是禁止这样的。 为什么浏览器禁止跨域访问 不安全,容易出现CSRF攻击! CSRF攻击就是跨站是攻击。 当客户访问网站A的时候,网站A返回给客户cookie,token等信息;当客户访问黑客控制的网站B的时候,网站B返回的不安全信息,会控制客户的浏览器访问网站A,并发送恶意请求,就形成跨站访问。 所以,一般
使用Nginx来解决跨域的问题
weixin_30500105的博客
04-24 206
使用Nginx来解决跨域的问题 nginx的版本:(查看nginx命令: /usr/local/nginx/sbin/nginx -v) nginx/1.4.3 问题是:前端项目域名是 a.xxxx.com, 后端的接口域名是 b.xxx.com,然后后端接口没有设置跨域相关的响应设置头,因此就接口和我们域名就会存在跨域的情况,因此我们可以使用 nginx服务器来配置一下; 网上很多资料将...
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 4960
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
跨域问题解决
小白成神路
03-05 332
1.nginx配置文件增加响应头在服务器端的nginx.conf中配置增加配置1234567http {  ......  add_header Access-Control-Allow-Origin *;  add_header Access-Control-Allow-Headers X-Requested-With;  add_header Access-Control-Allow-Meth...
Nginx 跨域
T的博客
05-17 164
#跨域配置 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; add_header Access-C...
Nginx解决跨域问题No ‘Access-Control-Allow-Origin‘
流氓兔的博客
12-17 6828
浏览器控制台报错 Access to XMLHttpRequest at ‘https://www.aaa.com’ from origin ‘https://www.bbb.com’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 解决办法 使用nginx在server块下或location块下为请求添加请求头都可以解决跨域问题
nodejs解决cors跨域问题
09-09
解决Node.js中的CORS跨域问题,可以使用以下方法: 在Node.js后台中,可以通过设置响应头来允许跨域访问。在示例代码中,可以看到使用了以下响应头的设置: - 'Access-Control-Allow-Credentials': 'true' :允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值