Cross-Origin跨域问题

最新推荐文章于 2023-10-05 15:00:00 发布
最新推荐文章于 2023-10-05 15:00:00 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/yangyongjie/p/10768614.html
版权

为什么会跨域,要先了解浏览器的同源策略SOP(Same Orign Policy)  https://segmentfault.com/a/1190000015597029

同源:

  如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。

  协议/主机/端口

 

跨源网络访问

  同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest时会受到同源策略的约束。即同源策略限制了从一个源加载的文档或者脚本如何与另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

  如果没有同源策略限制的接口请求则容易被CSRF攻击,下面是CSRF攻击的原理:

  

解决方案:

CORS

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。

  1. 所有浏览器都支持该功能,IE浏览器不能低于IE10。
    整个CORS通信过程,都是浏览器自动完成,不需要用户参与。 对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
  2. 实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

即CORS与普通请求代码一样。

CORS与JSONP相比

  1. JSONP只能实现GET请求,而CORS支持所有类型的HTTP请求。
  2. 使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理。
  3. JSONP主要被老的浏览器支持,它们往往不支持CORS,而绝大多数现代浏览器都已经支持了CORS。

@CrossOrigin注解

此注解既可用于方法也可用于类

示例如下:

@CrossOrigin(origins = "http://www.zhihu.com")
@RequestMapping(value = "/allProductions", method = RequestMethod.GET)
public Result getAllOldProductions() {

}

@CrossOrigin 注解既可注解在方法上,也可注解在类上。

 

XML全局配置

所有跨域请求都可以访问

<mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

更加细粒度的配置:

<mvc:cors>
    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />
</mvc:cors>

 

转载于:https://www.cnblogs.com/yangyongjie/p/10768614.html

weixin_33907511
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅出FE(三)Cross-Origin
前端产品工程师
02-17 762
目录 1. 是什么 2. 为什么有 2.1 防止csrf攻击 2.2 防止xss攻击 3. 解决方案? 3.1jsonp 3.2 "资源共享"(Cross-origin resource sharing)CROS 3.3 document.domain + iframe 3.4window.name + iframe 3.5 location.ha...
所谓的Cross-Origin),究竟是什么?——你所不知道浏览器的小知识
u011037503的博客
09-18 4万+
浏览器禁止访问的是浏览器对于JavaScript的一个安全策略。 jsonp的本质其实不是Ajax请求(XMLHttpRequest)。
Cross-Origin
LJH_java10086的博客
10-05 416
常见的头信息包括 Access-Control-Allow-Origin(指定允许访问的源)、Access-Control-Allow-Methods(指定允许的请求方法)、Access-Control-Allow-Headers(指定允许的请求头)等。Cross-Origin)是指在浏览器环境下,当一个网页的 JavaScript 代码尝试访问与当前页面不同源(名、协议或端口)的资源时,会受到同源策略的限制,导致请求被拒绝。以上是几种常见的解决问题的方法,每种方法都有其适用的场景和限制条件。
Cross-Origin Resource Sharing 资源共享研究心得
wildchase的专栏
04-11 511
现在的项目,要提供一个对外的接口给手机端浏览器访问,由于同安全策略,浏览器会默认禁止js ajax对该接口的访问,原本以为不能访问的。于是用chrome作为测试的浏览器,访问该接口,发现实际上发送了一个http method为 options的请求到服务端,而请求中没有带上发送的body内容,反而有几个特殊的报文头添加到了http header中, Request Method:OPTIO
Cross-Origin Resource Sharing
chonger_feifei的博客
03-09 522
Cross-Origin Resource Sharing
cross-origin
05-14
及用户验证 CommonServer 启动公共服务,其他几个项目都请求这个服务的接口,产生 npm run common JSONP 核心原理: 利用script请求后端数据,解析执行,通过传入浏览器端存在的函数名,后端使用改函数包裹...
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
前后端联调问题
SpringBootAccess-Control-Allow-Origin实现解析
08-25
主要介绍了SpringBootAccess-Control-Allow-Origin实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
@CrossOrigin解决问题
06-22
使用@CrossOrigin注解解决前后台分离中的问题
Cross-Origin Resource Sharing in ASP.NET WebForms
01-27
asp.net webforms 访问
Unable to get image data from canvas because the canvas has been tainted by cross-origin data.
_K500的博客
04-25 377
问题是因为用了Canvas GetImageData属性,兼容问题问题是在 IphoneXs机型 ios12 系统下复现 解决方案: 1. 抛出try catch 2. 将图片的地址加上时间戳,然后再设个属性 var img = new Image(); var url = 'http:/wwww.baidu.com.jpg'; img.src = url + '?' + new Date().getTime(); img.setAttribute('crossOrigin', ''); ..
什么是cross-origin)请求,如何解决问题
官方推荐
08-31 8938
什么是cross-origin)请求,如何解决问题
cocosjs显示图片的办法
9527的专栏
11-02 8353
在cocosjs中若要显示一张网络上的图片会遇到以下问题Uncaught SecurityError: Failed to execute 'texImage2D' on 'WebGLRenderingContext': the cross-origin image at https://www.baidu.com/img/baidu_jgylogo3.gif may not be loaded.虽
H5 Notes:PostMessage Cross-Origin Communication
weixin_34006965的博客
11-18 298
Javascript中要实现通信,主要有window.name,jsonp,document.domain,cors等方法。不过在H5中有一种新的方法postMessage可以安全实现通信,并且使用简单。 要使用postMessage,首先得检查浏览器是否支持该方法,postMessage属于window对象,检测方法如下: if('postMessage' in window){...
同源策略和资源共享(CROS)
anleng6817的博客
09-30 214
同源策略 Same-origin policy - Web security | MDN 站资源共享 Cross-Origin Resource Sharing (CORS) - HTTP | MDN 这四种资源受 CORS 机制影响: Invocations of the XMLHttpRequest or Fetch APIs in a cross-site manner, as...
springboot之访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9164
1.springboot之访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
CORS 专题
weixin_33843947的博客
05-16 291
CORS(资源共享,Cross-Origin Resource Sharing)CORS其实出现时间不短了,它在维基百科上的定义是:资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许请求。 它是一个妥协,有更大的灵活性,但比起简单地允...
注解@CrossOrigin详解
热门推荐
Java学习之道
12-06 4万+
文章目录注解@CrossOrigin一、(CORS)支持:二、使用方法:1、controller配置CORS1.1、controller方法的CORS配置1.2、为整个controller启用@CrossOrigin1.3、同时使用controller和方法级别的CORS配置1.4、如果正在使用Spring Security2、全局CORS配置3、XML命名空间a、如果整个项目所有方法都可以访...
资源共享 CORS(Cross-origin resource sharing)
u012125579的专栏
03-23 7981
资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附加的头信息,有时还会
Java中处理strict-origin-when-cross-origin问题
最新发布
01-08
在Java中处理strict-origin-when-cross-origin问题,可以通过以下方法解决: 1. 在Spring Cloud Gateway中设置全局配置,确保只设置一次。可以在Gateway的配置文件中添加以下配置: ```yaml spring: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值