跨域问题,解决方案 - CORS方案

最新推荐文章于 2023-12-06 08:00:00 发布
最新推荐文章于 2023-12-06 08:00:00 发布
阅读量101 收藏 1
点赞数
文章标签: ui web.xml
原文链接:https://juejin.im/post/584eb0c8b123db0066245d58
版权

原文地址:跨域问题,解决方案 - CORS方案
博客地址:blog.720ui.com/

跨域问题,解决之道

链接文章:跨域问题,解决之道

解决思路

CORS 全称为 Cross Origin Resource Sharing(跨域资源共享)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,但用户不会有感觉。因此,实现CORS通信的关键是服务端。服务端只需添加相关响应头信息,即可实现客户端发出 AJAX 跨域请求。

值得注意的是,浏览器必须先以 OPTIONS 请求方式发送一个预请求,从而获知服务器端对跨源请求所支持 HTTP 方法。在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求。

CORS涉及的响应头

Access-Control-Allow-Origin

允许访问的客户端域名,例如:blog.720ui.com,若为星形标示号,则表示从任意域都能访问,即不做任何限制。值得注意的是,Access-Control-Allow-Origin 只允许两种取值,一个是星形标示号,一个是具体的域名,不支持同时配置多个域名。

Access-Control-Allow-Methods

允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS。

Access-Control-Allow-Credentials

是否允许请求带有验证信息,若要获取客户端域下的 cookie 时,需要将其设置为 true。

Access-Control-Max-Age

可以用于 CORS 相关配置的缓存。

Access-Control-Allow-Headers

允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type。

解决跨域问题

首先,我们需要编写一个 Filter,过滤所有的 HTTP 请求,将 CORS 响应头写入 response 对象中。

public class CORSFilter implements Filter {  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
        HttpServletResponse response = (HttpServletResponse) res;  
        response.setHeader("Access-Control-Allow-Origin", "*");  
        response.setHeader("Access-Control-Allow-Methods",
        "GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE, PATCH");  
        response.setHeader("Access-Control-Max-Age", "3600");  
        response.setHeader("Access-Control-Allow-Headers", 
        "Origin, Accept, X-Requested-With, Content-Type, 
        Access-Control-Request-Method, Access-Control-Request-Headers, 
        Authorization, Cache-control");  
        chain.doFilter(req, res);  
    }  

    public void init(FilterConfig filterConfig) {}  

    public void destroy() {}  

}复制代码

然后,在 web.xml 中配置 CorsFilter 的过滤器。

<filter>  
  <filter-name>corsFilter&lt;/filter-name>  
  <filter-class>com.lianggzone.core.filter.CorsFilter&lt;/filter-class>  
</filter>  
<filter-mapping>  
  <filter-name>corsFilter&lt;/filter-name>  
  <url-pattern>/*&lt;/url-pattern>  
</filter-mapping>复制代码

完成上面两个步骤,即可实现跨域功能。这样跨多个域的问题就轻松解决了。

存在问题

不幸的是,CORS不支持IE8、IE9,如果产品不再考虑兼容IE低版本的话,可以忽略,但是如果产品需要兼容目前国内还存在大量低版本的IE市场(百分之二十多),那么这个需要慎重考虑咯。

(完)

更多精彩文章,尽在「服务端思维」微信公众号!

weixin_34153893
关注
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2311
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
uni-app H5跨域问题解决方案CORS、Cross-Origin)
dcloudio的博客
11-10 1万+
什么是跨域 跨域是浏览器的专用概念,指js代码访问自己来源站点之外的站点。比如A站点网页中的js代码,请求了B站点的数据,就是跨域。 A和B要想被认为是同域,则必须有相同的协议(比如http和https就不行)、相同域名、和相同端口号(port)。 如果你是做App、小程序等非H5平台,是不涉及跨域问题的。 稍微例外的是iOS的wkWebview,在5+App,或uni-app的web-view组件及renderjs中,由于WKWebview限制也会产生跨域,这方面另见专题文章:https://ask.dc
跨域请求携带cookie需配置Access-Control-Allow-Credentials为true
时清云的博客
05-04 1万+
一、跨域请求携带cookie,需要配置以下三方面: 1.前端请求时在request对象中配置"withCredentials": true; axios({ withCredentials: true, // ++ method: "get", url: "http://localhost:8080/crosslist", }).then((res) => { console.log(res); }); 2.后端要在跨域服务端在res
Access-Control-Allow-Credentials:true 和 预检请求
qq_46302247的博客
04-19 1万+
当跨域请求需要携带cookie时,请求头中需要设置Access-Control-Allow-Credentials:true。 Access-Control-Allow-Credentials值为true时,Access-Control-Allow-Origin必须有明确的值,不能是通配符(*) 另:如果出现下图,接口调两次的情况,第一次是Preflight (预检请求)时,可以检查代码中是否有’Access-Control-Allow-Credentials’: true,注释掉该行,则可以避免预检请求
HTTP之跨域
最新发布
weixin_45364386的博客
12-06 2222
简单理解http的跨域(Cors
SpringBoot 实现前后端分离的跨域访问(CORS
choufo20091108的博客
11-14 4148
社区原文链接:http://www.spring4all.com/article/177 序言:跨域资源共享向来都是热门的需求,使用CORS可以帮助我们快速实现跨域访问,只需在服务端进行授权即可,无需在前端添加额外设置,比传统的JSONP跨域更安全和便捷。 #一、基本介绍 简单来说,COR...
DRF跨域后端解决之django-cors-headers的使用
09-19
### DRF跨域问题与django-cors-headers的解决方案 #### 跨域问题概述 在Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单...
WebApi 跨域问题解决方案CORS
07-23
1. 创建一个包含MVC项目(Web)和Web API项目(WebApiCORS)的解决方案。 2. 在MVC项目中,如Home控制器的Index视图,使用Ajax向WebApiCORS发起跨域请求。 3. 在WebApiCORS项目中,创建一个如ChargingController的...
前端解决跨域问题---CORS
sak1sm的笔记
10-12 2207
CORS能做什么: 正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题解决方案,如JSONP、flash、ifame、xhr2等等。 CORS的原理: CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。 一个使用CORS实现跨域请求的...
Access-Control-Allow-Credentials为true时Access-Control-Allow-Origin必须指定一个确定的域名
当个码农写bug
07-19 2万+
如果服务器端开启了Access-Control-Allow-Credentials为true,假设服务器端设置了Access-Control-Allow-Origin为* 那意味这将cookie开放给了所有的网站, 假设当前是A网站,并且在cookie里写入了身份凭证 用户同时打开了B网站, 那么B网站给A网站的服务器发的所有请求都是以A用户的身份进行的, 这将导致CSRF问题 那为啥只能指定一个呢??? ...
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 3092
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
跨域请求解决方法----不允许有多个 'Access-Control-Allow-Origin' CORS
csdn952762369的博客
07-10 1万+
跨域解决方案有很多种网上都能找到,但是一不小心多个解决方案一起使用了,也会出现问题,浏览器里面出现多个Access-Control-Allow-Origin就得注意下,是不是解决方案用多了,我这个问题出现的原因是: 1.代码上用了过滤器解决跨域 public class CrossFilter extends OncePerRequestFilter { @Override ...
Multiple CORS header ‘Access-Control-Allow-Origin‘ not allowed
沐雨橙风ιε的博客
10-03 3101
点击右边的问号,原因找到了,服务端返回了两个Access-Control-Allow-Origin响应头,因为网关配置了跨域,后台系统也配置了跨域,所以是gateway和fresheverday的响应头一起返回给了前端。因为博主用的springcloud版本为2.2.6.RELEASE,所以在Spring官网打开的spring cloud gateway的文档页面地址对应的版本处改成2.2.6.RELEASE。但是,其实网关里是有配置跨域的,只是忘了把前端项目的IP和端口号添加到设置里。
解决Spring Cloud Zuul跨域时出现重复Access-Control-Allow-Origin或者Access-Control-Allow-Credentials
yang_yzl11的博客
10-31 4139
前端报错: XMLHttpRequest cannot load http://localhost:8080/serviceA/api/serviceA/1337?cacheBuster=1470925389167. The Access-Control-Allow-Origin header contains multiple values 'http://localhost:3000, http://localhost:3000', but only one is allowed. Origin
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 6533
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
【HTTP header】【Access-Control-Allow-Credentials】跨域Ajax请求时是否带Cookie的设置
热门推荐
行成于思毁于随
06-13 2万+
1. 无关Cookie跨域Ajax请求 客户端 以 jQuery 的 ajax 为例: $.ajax({ url : 'http://remote.domain.com/corsrequest', data : data, dataType: 'json', type : 'POST', crossDomain...
Ajax跨域解决方案:JSONP、CORS与代理请求
JSONP是一种早期的跨域解决方案,适用于支持GET请求的API。它是通过动态插入`<script>`标签来实现的,因为`<script>`标签不受同源策略限制。服务端提供一个可被调用的JavaScript函数,前端通过指定该函数名作为回调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值