cors 跨域

最新推荐文章于 2021-11-02 17:32:02 发布
最新推荐文章于 2021-11-02 17:32:02 发布
阅读量717 收藏
点赞数 1
分类专栏: 前端 文章标签: CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobianjava/article/details/53906523
版权

使用场景

后端服务和前端服务不在同一台主机,且前后端通过接口形式传送数据。

eg:前端资源存在CDN上(awp项目),这样前后端无法公用一台服务主机,需要借助 CORS来解决跨域问题。

配置项

前端

和普通的ajax请求,没有太多区别。如果需要携带cookie,angularjs的可以这样配置,其他配置方式自行google

.config([ '$httpProvider' , function ($httpProvider) {
     $httpProvider.defaults.withCredentials =  true ;
}])

后端

CORS 更多的是需要后端支持,后端再返回数据时,需要设置 header。

public  void  doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)  throws  IOException, ServletException {
         HttpServletRequest request = (HttpServletRequest) servletRequest;
         String origin = request.getHeader( "Origin" );
         HttpServletResponse response = (HttpServletResponse) servletResponse;
         response.setHeader( "Access-Control-Allow-Origin" , origin);
         response.setHeader( "Access-Control-Allow-Credentials" "true" );
         response.setHeader( "Access-Control-Allow-Methods" "POST, GET, PUT, PATCH, DELETE, OPTIONS" );
         response.setHeader( "Access-Control-Allow-Headers" "Origin, Content-Type, Accept, __skcy, x-requested-with" );
         response.setHeader( "Access-Control-Max-Age" "1728000" );
         if  (!request.getMethod().equalsIgnoreCase( "options" )) {
             filterChain.doFilter(servletRequest, servletResponse);  //过滤OPTIONS请求
         }
     }

Preflighted Requests

Preflighted Requests是CORS中一种透明服务器验证机制。预检请求首先需要向另外一个域名的资源发送一个 HTTP OPTIONS 请求头,其目的就是为了判断实际发送的请求是否是安全的(GET 请求不会发送), 触发预检请求之后,这时候当后端配置的  Access-Control-Allow-Methods 属性中没有包含OPTIONS类型的请求,浏览器发送的OPTIONS试探请求没有被接受,请求就终止了。

OPTIONS 请求不会携带 cookie,如果需要根据cokie进行认证判断,需要对 OPTIONS 进行过滤。

if  (!request.getMethod().equalsIgnoreCase( "options" )) {
      filterChain.doFilter(servletRequest, servletResponse);  //过滤OPTIONS请求
}

缓存 OPTIONS

cors post 请求,一般会发两个请求,第一个请求是 OPTIONS,就是上面提到的预检请求,预检请求通过才会真正的发送POST请求

为了减少预检请求的次数,需要设置OPTIONS缓存时间,在规定的时间,不用再次发送 OPTIONS 请求。

response.setHeader( "Access-Control-Max-Age" "1728000" );
随后的 POST 请求,在设置的缓存时间内,不会重复发 OPTIONS,检索HTTP请求数据。

CORS 请求成功

document.domain

前后端资源所在的服务器的根域名一样,可以通过设置document.domain来实现跨越请求。

document.domain = 'meituan.com'

其他方案

  1. jsonp
  2. nginx、node 转发
快乐的小小编
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORSOptions相关
csdn_girl的博客
06-26 719
关于跨域 跨域概念 同域(同源)策略:相同协议、域名、端口号的url属于同源的,反之属于跨源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。 所有不同域之间的访问都要解决跨域问题;无论简单请求还...
拦截器拦截options请求,导致无法获得自定义的请求头
qq_41835813的博客
01-31 2222
package com.qyc.interceptor; import com.qyc.cfg.SpringContextUtils; import com.qyc.service.Varifcation; import org.apache.ibatis.plugin.Intercepts; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Compo.
LiuShuaiDong:springboot跨域解决方案
YSZAYMT的博客
08-30 116
一、security的跨域解决方案 @Component public class WebSecurityCorsFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletRes.
Request Method: OPTIONS
树上骑个猴的博客
11-02 1万+
新接手的一个项目中,发现一些接口在请求时,会自动发送一个的请求,我查了一遍代码,不是代码中写明的。就上网搜了一下,网上给出的解释涉及到了两个关键词:简单请求和复杂请求。 Request Method: OPTIONS 简单请求 满足下面两个条件的请求是简单请求: 请求方式是以下三种之一: HEAD GET POST HTTP的头信息不超出以下几种字段 Accept Accept-Language Content-Language Last-Event-ID Content-Type 但是Conte
web应用实现跨域请求的两种常用方式(CORS、JSONP)
以码为梦
07-26 973
什么是跨域? 由于浏览器的同源策略,不允许跨域调用其他页面的对象。所谓跨域是指跨域名。同一域名是指协议、域名、端口三者均相同,任一不同都不属于同一域名,举例如下: 当网站http://www.domain.com/work.html文件中发起一个ajax请求时,若请求的URL为下列情况时,跨域结果如下: URL 说明 是否跨域 http://www.domai...
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
CORS跨域设置主要涉及到修改服务器配置,添加适当的HTTP响应头部,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。具体实现方法因服务器类型而异,但核心思想...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
cors跨域Tomcat文件
04-21
【标题】"cors跨域Tomcat文件"涉及的是在Web开发中解决跨域问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
SpringMvc支持跨域和自定义header
Flyer的后花园
11-16 1万+
  <!-- 支持options类型请求 --> <servlet> <servlet-name>application</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</se...
解决:vue 用 axios 发送请求,每次都会发送两次请求
愿我如星君如月 ... 夜夜流光相皎洁 ...
01-28 1万+
我的解决方法是后端加一个过滤器: package gentle.filter; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespons...
equalsIgnoreCase()方法-JAVA
脚踏实地,仰望星空
08-05 3722
What equalsIgnoreCase()方法用于将字符串与指定的对象比较,不考虑大小写。 语法 public boolean equalsIgnoreCase(String anotherString) 参数 anotherString–与字符串进行比较的对象 返回值 如果给定对象与字符串相等,则返回true,否则返回false. 实例 pu...
非简单请求中POST请求的Options预请求403异常的跨域处理
qq_36956015的博客
01-05 2万+
在http请求中,post请求的数据在请求体中,在spring MVC中通过@RequestBody接收。 post请求属于http请求中的复杂请求,http协议在浏览器中对复杂请求会先发起一次Options的预请求,发起Options请求常会报403错误: Failed to load https://one.xxx.com/abd : Response to preflight re...
Java常见HTTP请求方法RequestMethod
热门推荐
there_is_nothing的博客
08-31 2万+
大部分内容来源于此spring中常见的http请求访问方法:public enum RequestMethod { GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS, TRACE}如: @RequestMapping(value = “/new”, method = RequestMethod.GET)各个请求方法的使用场景 GET 平时网页的一些基本的
java 跨域解决(OPTIONS
meng8203的博客
07-26 1万+
一般跨域解决只需要在tomcat  conf下web.xml 里面设置 <filter> <filter-name>CorsFilter</filter-name> <filter-class>org.apache.catalina.filters.CorsFilter</filter-class> <init-param>...
http发送post请求,却报Reqest Method:OPTIONS的错误
慕容的博客
01-17 8578
原来代码如下,报图一的错误: function cpuTest() { $.ajax({ url: "http://127.0.0.1:1010/ICC_tsi_api_multi", type: 'post', dataType: "json", co...
javaweb之增强request的getparameter方法,结合过滤器,解决特定过滤器条件的请求(get和post)乱码问题,当然也可以过滤所有/*
逆水行舟,不进则退
01-18 1016
1.创建一个过滤器,在这里创建一个我们增强的myrequest方法,然后再把这个增强的传过去。 package mine.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im...
cors跨域漏洞概述
最新发布
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些响应头来明确指示哪些域被允许访问该资源。由于同源策略的限制,浏览器通常不允许从一个源加载另一个源的资源,但如果服务器明确指定了某些域可以访问该资源,浏览器就会允许跨域请求。 然而,CORS 也存在一些安全风险。其中最常见的是 CORS 跨域漏洞,攻击者可以利用这种漏洞来盗取用户数据或执行恶意脚本。攻击者可能会伪造一个跨域请求,然后向服务器发送一个 HTTP 请求,服务器在响应中添加了允许其它域名访问该资源的头部,攻击者就能够获取到服务器返回的数据。 为了防止 CORS 跨域漏洞,服务器需要对来自非法域名的跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值