跨域ajax post json 403,跨域请求403详解

最新推荐文章于 2024-06-19 15:30:29 发布
最新推荐文章于 2024-06-19 15:30:29 发布
阅读量2.6k 收藏 1
点赞数
文章标签: 跨域ajax post json 403

0、环境说明

1、下文中跨域实现为服务器域名 http://yaogy.jd.com 向本地项目 leo.com 发起跨域请求,本地进行debug。

2、本地项目 Spring 版本为 4.3.0。

跨域的实现方式有很多种,注解、过滤器、拦截器都能很好的实现跨域的功能,但在实际应用中却发现在同一个跨域实现、同一个 controller 类下,有的跨域请求成功,有的跨域请求返回 403,如图1 所示。

15eef2914e36

image

1、基于拦截器的跨域403响应

图1所示请求中,采取的是通过过滤器的方式实现跨域,ajax 请求方式为 GET请求,content-type 为 application/json,是一个复杂请求。初始过滤器代码如下:

public class CorsFilter extends OncePerRequestFilter {

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

String originUrl = request.getHeader("origin");

if(!StringUtils.isEmpty(originUrl)){

//自定义跨域域名检查

boolean isAllow = checkAllow(originUrl);

if (isAllow) {

response.setHeader("Access-Control-Allow-Origin", originUrl);

}

response.setHeader("Access-Control-Allow-Credentials", "true");

response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");

response.setHeader("Access-Control-Max-Age", "1800");//30分钟

response.setHeader("Access-Control-Allow-Headers", "x-requested-with, content-type");

}

filterChain.doFilter(request, response);

}

}

上述拦截器在拦截普通跨域请求时能够正常跨域,但遇到复杂跨域请求时,在发起预请求的时候预请求阶段就返回 403 ,跨域失败,结果如图1所示。

15eef2914e36

image

如图2所示,该方法的全限定名为 org.springframework.web.cors.DefaultCorsProcessor#processRequest,对于CorsConfiguration对象为空的预请求,将直接返回403,至于CorsConfiguration,可以参考另一篇文章

大致流程为:Spring 容器在启动的时候会扫描每一个添加了 @Controller 注解的类、@RequestMapping注解的方法,之后判断类或者方法上是否有 @CrossOrigin 注解,并将 @CrossOrigin 注解中的内容转换成 CorsConfiguration 对象,具体转换逻辑如图3所示:

15eef2914e36

image

而对于基于过滤器实现的跨域,没有 @CrossOrigin 注解的加持,CorsConfiguration 对象自然为空,而在Spring对跨域请求的处理逻辑中,对于CorsConfiguration 对象为空的预请求是会执行 rejectRequest 方法,也就是返回状态码 403。既然 Spring 对跨域请求的处理逻辑我们无法改变,所以我们可以在过滤器中添加对 预请求的单独处理或者采用注解的方式解决复杂请求的跨域403响应。修改后的过滤器如下:

public class CorsFilter extends OncePerRequestFilter {

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

String originUrl = request.getHeader("origin");//请求的地址

if(!StringUtils.isEmpty(originUrl)){

//自定义跨域域名检查

boolean isAllow = checkAllow(originUrl);

if (isAllow) {

response.setHeader("Access-Control-Allow-Origin", originUrl);

}

response.setHeader("Access-Control-Allow-Credentials", "true");

response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");

response.setHeader("Access-Control-Max-Age", "1800");//30分钟

response.setHeader("Access-Control-Allow-Headers", "x-requested-with, content-type");

//对预请求单独处理

String method = request.getMethod();

if (method.equalsIgnoreCase("OPTIONS")){

response.setStatus(HttpServletResponse.SC_OK);

return;

}

}

filterChain.doFilter(request, response);

}

}

2、基于注解的跨域403响应

基于注解的跨域实现能够解决 CorsConfiguration 对象为空的问题,进而解决了在拦截器的实现方式中预请求403的问题。但注解并不能解决所有问题,注解使用不当的时候仍然可能返回403响应。

问题产生场景:

1、方法上的注解未设置 methods 属性

2、ajax请求方法为 POST(或其他非HEAD、GET)方法。

问题产生原因:

15eef2914e36

image

如图4所示,当方法上的 @CrossOrigin 注解未进行任何配置时,获得的 allowMethods 对象为空导致返回 403 响应。checkMethods方法代码如下:

protected List checkMethods(CorsConfiguration config, HttpMethod requestMethod) {

//方法的具体逻辑见图5

return config.checkHttpMethod(requestMethod);

}

15eef2914e36

image

由图5可知,当@CrossOrigin 注解未配置 methods 属性时,默认只允许 GET、HEAD 方法的访问,对于其他的请求方法都将返回403响应。

解决办法:

给方法添加跨域注解时增加需要支持的方法,比如:@CrossOrigin(methods = {RequestMethod.GET, RequestMethod.POST})

3、总结

a、使用过滤器、拦截器等的配置方式无法解决复杂请求的预请求的问题,但对于POST方法的简单请求不会出现问题。

b、使用注解的方式在不设置跨域方法的情况下对非 GET、HEAD 方法的请求会出现403的响应,但对于复杂请求无需做额外的逻辑处理。

曦小惟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决 Ajax 发送 post 请求出现 403 Forbidden 的三种方式
weixin_30699465的博客
06-10 6862
众所周知前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。使用 Django Form 表单可以直接在表单里面添加 {% csrf_token %} 即可,要是通过 Ajax 发送请求又该怎么办?下面提供三种解决办法: <ul id="ddd"> <li>1</li> <li>2</l...
ajax跨域 403,跨域ajax选项错误403(Django)
weixin_35011300的博客
08-06 1186
我正在使用django开发一些站点aaa.com,该站点发送跨域ajax“GET”请求以从bbb.com接收json数据,而bbb.com也在django上运行并且正在使用REST框架。此时,添加可以使一切正常crossDomain: true; withCredentials:true。当然,它是在aaa.com的服务器端配置的。...-Allow-Credentials: true; ...-...
403 Invalid CORS request 跨域问题解决
最新发布
firament的博客
06-19 739
403 跨域问题
ajax 调用服务器接口报403错误解决办法
_zjl的博客
10-13 6093
发现问题 在前端页面中远程调用服务器接口时报403错误,而直接在浏览器访问则不会报错。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20191013122505617.png) ![浏览器调用结果](https://img-blog.csdnimg.cn/20191013112909573.png) 报403原因 经过分析发现是因为前端和服务...
ajax json 403,解决 Ajax 发送 post 请求出现 403 Forbidden 的三种方式
weixin_28851659的博客
08-05 1634
众所周知前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。使用 Django Form 表单可以直接在表单里面添加 {% csrf_token %} 即可,要是通过 Ajax 发送请求又该怎么办?下面提供三种解决办法:123Ajax 发送1. 方式一$('#btn').click(function () {var li_content = [];$('#...
Spring 处理跨域请求
weixin_42683274的博客
06-02 644
Spring 处理跨域请求
使用ajax上传文件时候403解决策略
yixinluobo的博客
12-08 1184
使用ajax上传文件时候403解决策略:(本篇基于django框架) html代码: <form> {% csrf_token %} ... </form> js代码: var file = $('#report-upload-pdf')[0].files[0]; var csrf = $('input[name=csrfmiddlewaretoken]').val(); var pdfFormData = new FormData(); pdf
ajax403错,jQuery AJAX调用导致错误状态403
weixin_29269441的博客
08-05 779
我正在使用jQuery AJAX对Web服务进行查询。我的查询如下所示:var serviceEndpoint = 'http://example.com/object/details?version=1.1';$.ajax({type: 'GET',url: serviceEndpoint,dataType: 'jsonp',contentType: 'jsonp',headers: { 'ap...
django发送Ajax请求数据返回403
HHYZBC的博客
05-27 1393
在django中,使用Ajax直接发送数据返回403原因是django自带了一个防止跨站请求伪的功能,使用表单发送数据时在表单下面使用csrf_token标签即可,而使用Ajax发送post请求时,csrf_token标签是不会起作用的。其解决方法是:在处理改请求的函数前面加上叫做csrf_exempt的装饰器,作用是该url所发送的post请求不再防止跨站请求伪。 @csrf_exempt def task_ajax(request): print(request.POST) data
ajax报错403,AJAX HTTP error, Code 403
weixin_39788792的博客
08-06 756
I seem to have an unusual AJAX error, since mine is a code 403 and not 200 or 500 like I see in the reports.Tonight I updated my Drupal core to 7.14 and then tried to create a new view. Each time I t...
ajax跨域 403,SpringMvc+ajax跨域请求时,出现options类型的请求并返回403的解决方案...
weixin_28688791的博客
08-06 783
在使用$.ajax({url:'http://127.0.0.1:8081/rest/ccxxx/xxxx',type:'POST',dataType:"json",contentType:"application/json",data:JSON.stringify({wechatId:1}),crossDomain:true,async:false,cache:false,success:fun...
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2239
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
CORS解决跨域问题(403问题)
weixin_30622181的博客
08-18 881
1、什么是跨域问题?   跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是用当前页同域名同端口的路径,这能有效的阻止跨站攻击。 2、跨域问题出现的条件:   1、跨域问题是ajax请求特有的问题。   2、前后端的域名、端口不一致。 3、CORS跨域解决原理简单分析:   CORS需要浏览器和服务器的同时支持。   浏...
配置了跨域仍旧报错403
m0_73493670的博客
11-12 2003
当你发现自己虽然正确的配置了跨域。比如说加了@CrossOrigin注解,但是仍旧前端跨域爆红的时候,也许并不是跨域本身的问题,而是传参类型错误。 这可能是一种误报,但是比如说前端给的数据是Params过来的一个数组,但是它实际上是以一个Map<格式过来的参数,所以你接数据的时候需要用键值对接。否则就会出现403错误,而实际上你的参数永远都没有正确的传入后端接口中,更别提回馈了,这种错误将会在预检时直接爆出,没有状态码,但是你的浏览器Console上面写的是403错误,跨域问题。
ajaxpost请求出现403错误,如何解决Django中ajax发送post请求报403错误CSRF验证失败的问题...
weixin_35735088的博客
08-05 1136
如何解决Django中ajax发送post请求报403错误CSRF验证失败的问题发布时间:2021-02-05 14:23:57来源:亿速云阅读:92作者:小新这篇文章主要介绍了如何解决Django中ajax发送post请求报403错误CSRF验证失败的问题,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。今天学习Django框架,用a...
ajaxpost请求出现403错误,django使用ajax post数据出现403错误如何解决
weixin_42500367的博客
08-05 741
在django中,使用jquery ajax post数据,会出现403的错误,该如何解决呢?下面由我帮大家解决django使用ajax post数据出现403错误,需要的朋友可以参考下本文通过两种方法给大家介绍在django中,使用jquery ajax post数据,会出现403的错误,具体内容请看下文。方法一:如果用jQuery来处理ajax的话,Django直接送了一段解决问题的代码。把它...
SpringBoot解决前后端分离跨域问题:状态码403拒绝访问
做技术人 · 产优质博客 · 找好工作
12-30 3882
前后端分离项目因为端口不一致造成状态码403异常,通过Spring Boot来解决此跨域问题
ajax get请求 403错误,ajax GET请求出现403禁止错误
weixin_30930625的博客
08-05 1628
403 forbidden每当我尝试GET从数据库中获取用户信息时,都会收到-error 消息。关于下面的代码,每当我尝试通过按Ajax测试按钮尝试请求时,它都无法运行并给我发出警报,但是在控制台中也给我一个403 Forbidden-error。我不确定是否与Spring安全性有关?用户JSP页面:User IdFull NameUsernameEmailDate of BirthUser Au...
ajax 错误编码解决403
ling_ling1997的博客
02-20 825
"Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrf’ or header ‘X-CSRF-TOKEN’." &lt;meta name="_csrf_parameter" content="_csrf" /&gt; &lt;meta name="_csrf_header" content="X-CSRF-TOK
我的一个maven项目部署到本地服务器,通过本地的postmen访问一个接口,请求方式为OPTIONS,结果返回403
05-26
HTTP 403 Forbidden 表示服务器理解了客户端的请求,但是拒绝执行该请求。这个错误通常是由于权限问题引起的,服务器可能没有正确地配置来接受 OPTIONS 请求。下面是一些可能导致这个问题的原因和解决方法: 1. 检查您的服务器配置是否允许 OPTIONS 请求。如果没有,请添加以下设置: ``` <bean id="corsFilter" class="org.springframework.web.filter.CorsFilter"> <constructor-arg> <bean class="org.springframework.web.cors.CorsConfiguration"> <property name="allowCredentials" value="true"/> <property name="allowedOrigins"> <list> <value>*</value> </list> </property> <property name="allowedMethods"> <list> <value>GET</value> <value>POST</value> <value>OPTIONS</value> </list> </property> <property name="allowedHeaders"> <list> <value>*</value> </list> </property> </bean> </constructor-arg> <property name="order" value="0"/> </bean> ``` 2. 如果您使用的是 Spring Security,请确保您已经配置了适当的权限。 3. 检查您的请求是否包含正确的身份验证信息。 4. 检查您的请求是否包含正确的 CSRF 令牌。 希望这些解决方法对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值