跨域问题详解

最新推荐文章于 2024-04-04 08:21:11 发布
最新推荐文章于 2024-04-04 08:21:11 发布
阅读量341 收藏
点赞数
分类专栏: GeoServer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38670190/article/details/105034643
版权

       现在应用开发都朝着前后端分离、服务化的架构发展,所以会经常遇到跨域问题,就是当前端调用服务端接口时发送的请求不是同一个域的就会产生跨域问题。

一、同源策略(跨域原因)

        同源策略:为了保证浏览器安全,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。
        如果请求地址中的协议、域名、端口都相同,则为同源。
        同源策略是浏览器安全的基石。

        综上,当前端请求(XMLHttpRequest请求)后台接口时,浏览器会去校验该请求是否属于同源和是否有明确的的授权。

二、解决方案

        1、取消浏览器检验
        2、不使用XHR(XMLHttpRequest)请求类型(JSONP)
        3、被调用方在请求头里添加相关参数(CORS)支持跨域
        4、调用方使用反向代理,将请求在调用方的http服务器发送。或者在应用服务器中发生和接受并处理返回。

三、具体操作

  • 1、取消浏览器检验

        使用cmd命令行启动浏览器,切换到浏览器的exe文件所在的目录下:
在这里插入图片描述

  • 2、使用JSONP

        1)JSONP的原理:通过动态创建script标签(src属性)来发送请求,将后台返回的内容当做JavaScript解析和执行,完成后移除标签。例如:
在这里插入图片描述在这里插入图片描述
        可以看到JSONP请求发出去的时候会加一个callback参数。JSONP不是一种官方协议,但也是一种协议,即约定,前后端约定当请求中带有callback参数的请求为JSONP请求,后台则返回的是javascript代码(callback参数值为函数名,请求结果为参数的函数调用代码)
在这里插入图片描述
        所以使用JSONP需要改动后端服务器代码,springboot2.x之前的版本可以使用AbstractJsonpResponseBodyAdvice类实现对JSONP请求的支持,因为spring5.x的版本已经将该类删除了,因为JSONP存在安全问题,不建议使用JSONP的方式解决跨域问题。不过我们可以利用ResponseBodyAdvice类拦截响应结果,简单写个切面模拟JSONP的实现原理。

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.AbstractJsonpResponseBodyAdvice;

@ControllerAdvice
public class JsonpAdvice extends AbstractJsonpResponseBodyAdvice{
    public JsonpAdvice(){
        super("callback");
    }
}

import com.alibaba.druid.support.json.JSONUtils;
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.http.server.ServletServerHttpRequest;
import org.springframework.http.server.ServletServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.OutputStream;

@ControllerAdvice
public class JsonpAdvice implements ResponseBodyAdvice {
    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
        //如果为false则不会进入该切面
        return true;
    }
    @Override
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response){
        System.out.print("JsonpAdvice -->进入JsonpAdvice切面");
        HttpServletRequest servletRequest = ((ServletServerHttpRequest) request).getServletRequest();
        HttpServletResponse servletResponse = ((ServletServerHttpResponse) response).getServletResponse();
        String callback = servletRequest.getParameter("callback");
        if(callback != null&& !"".equals(callback)){
            servletResponse.setCharacterEncoding("UTF-8");
            servletResponse.setContentType("application/javascript");
            //用回调函数名称包裹返回数据,这样返回数据就作为回调函数的参数传回去
            String result = callback + "(" + JSONUtils.toJSONString(body) + ")";
            OutputStream out = null;
            try {
                out = servletResponse.getOutputStream();
                out.write(result.getBytes());
                out.flush();
                out.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return body;
    }
}

JSONP的弊端
        1)服务器需要改动
        2)只支持GET方法
        3)发送的不是XHR请求

  • 3、被调用方在请求头里添加相关参数(CORS)支持跨域

        CORS(Cross-Origin Resource Sharing):为了解决跨域问题W3C提出了跨域资源共享(CORS)方案,通过后端服务器实现CORS接口,来实现跨域通信。
        CORS将请求分为简单请求和非简单请求。
        简单请求满足:
                1)请求方法为GET、HEAD、POST其中一种;
                2)请求头中无自定义头;
                3)Content-Type仅限于text/plain、multipart/form-data、application/x-www-form-urlencoded

        非简单请求有
                1)求方式为put、delete的ajax请求;
                2)json格式的ajax请求
                3)带自定头的ajax请求

        执行过程:
                简单请求:先执行后判断(简单的跨域请求,判断跨域的域名和请求方法是否响应头中 Access-Control-Allow-Origin字段和 Access-Control-Allow-Method字段中)
                非简单请求:先发送一次OPTION请求(预检请求)包含真实的请求信息(请求方法、自定义头字段、源信息),询问服务器是否允许这样操作(校验)。通过后才将真实请求发送到服务器。

filter解决方案:

@WebFilter(urlPatterns = "/*")
public class CorsFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException { }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpServletResponse = (HttpServletResponse)response;
        HttpServletRequest httpServletRequest = (HttpServletRequest)request;
        String origin = httpServletRequest.getHeader("Origin");
        String headers = httpServletRequest.getHeader("Headers");
        if(origin != null && !"".equals(origin)){
            //Access-Control-Allow-Origin为* 不支持带cookie的请求,必须全匹配,cookies为被调用放的cookie,所以动态获取
            httpServletResponse.addHeader("Access-Control-Allow-Origin",origin);
        }
        if(headers != null && !"".equals(headers)){
            //支持带自定义头的请求
            httpServletResponse.addHeader("Access-Control-Allow-Headers",headers);
        }
        httpServletResponse.addHeader("Access-Control-Allow-Methods","*");
        httpServletResponse.addHeader("Access-Control-Max-Age","3600");
        httpServletResponse.addHeader("Access-Control-Allow-Credentials","true");

        chain.doFilter(request,response);
    }

    @Override
    public void destroy(){}
}

SpringBoot 中的解决方案:增加配置类

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") //允许跨域访问的路径
                .allowedHeaders("*")            //允许的请求头设置的字段
                .allowedOrigins("*")            //允许跨域的域名
                .allowedMethods("POST","GET","PUT","OPTIONS","DELETE")//允许的请求方法
                .maxAge(36000)                  //预检请求的缓存时间
                .allowCredentials(true);        //是否带cookie
    }
}
  • 4、调用方使用反向代理,将请求在调用方的http服务器(nginx)发送。或者在应用服务器中发生和接受并处理返回。

        使用nginx做请求转发,但代码里面的请求路径为nginx的配置的虚拟路径。

@柿子树
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解跨域问题
马小兜要努力呀
07-24 641
同源策略 在说跨域之前,先来了解一下“同源策略” 什么是源? 源=协议+域名+端口号。 如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。 我们可以通过window.origin或location.origin得到当前源。 什么是同源策略? 同源策略:不同源之间的页面不能互相访问数据。 浏览器规定:如果JS运行在源A里,那么就只能获取源A的数据,不能获取 源B的数据,即不允许跨域 假设 wang.com/index.html引用了ergou.com/1.js,那么就说1.js运行在源w
跨域超详解
皮卡丘的情绪
07-06 1193
尽管存在跨域请求的限制,但同源策略对于保护用户和维护网络安全至关重要。开发人员可以使用服务器端的代理或通过在服务器上配置 CORS 等方式来解决跨域问题。这样可以确保跨域请求只在受信任的环境下进行,并减少潜在的安全风险
JS跨域问题详解
10-25
本文结合实际,分两种情况讨论跨域技术:首先讨论不同子域的跨域技术,然后讨论完全不同域的跨域技术。有需要的小伙伴可要看仔细了。
Angular4开发解决跨域问题详解
08-29
Angular4解决跨域问题详解 Angular4开发解决跨域问题详解是指在Angular4项目中解决浏览器同源策略限制引起的跨域问题。同源策略是指浏览器对javascript的安全限制,要求请求的url地址必须与浏览器上的url地址处于同...
springboot整合mybatis,druid,cors跨域,mybatis-plugin脚手架
02-23
导入eclipse,修改resources下的mybatis-generator.xml,然后run as,输入 mvn:mybatis-generator:generate,就可以了
跨域详解(含解决方案)
小猴子的博客
06-08 404
跨域 一、介绍 1、什么是跨域?构成跨域的条件是什么? 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。 当前页面url 被请求页面url 是否跨域 原因 http://www.test.com/ http://www.test.com/index.html 否 同源(协议、域名、端口号相同) http://www.test.com/ https://www.test.com/index.html 跨域 协议不同..
9种常见的跨域解决方案(详解
qq_44741577的博客
03-07 1254
在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
九种常见的跨域解决方案(详解
qq_44741577的博客
03-07 7948
在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。
跨域的十种解决方案详解(总结)
MoXinXueWEB的博客
07-26 7998
小菜鸟在总结
什么是跨域?跨域详解
weixin_44091311的博客
12-17 4788
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、端口三
集成Druid数据源与跨域访问
esunny的专栏
09-17 667
1. 集成Druid数据源: 1.1. pom.xml 配置新增依赖: 1.2. application.yml添加druid的配置: 教训:一直报错,后来发现是不能用table键做缩进,只能用空格。 1.3. 在config包下新增类DruidConfig和类DruidDataSourceProperties。网上搜下,很多。上篇文章提到的书本附带的源码,不方便发出来。 1.4 在resources目录下新增log4j.properties文件,网上搜下,很多。上篇文章提到的书本附带的源
druid监控设置、AjaxDomainFilter允许跨域响应设置成commpon公共jar包 教程 火推
java火推阳光的博客
02-24 641
源码下载:https://gitee.com/qq1350048638/lj_common lj_common构成 别的工程在pom 引入, 相同重复的工作 就都通过lj_common 来操作,相当于把lj_common看成一个jar包 <dependency> <groupId>com.lj</groupId> <art...
一文详解最常见的六种跨域解决方案
最新发布
很多时候犯错都是在不知情的情况下发生的
04-04 1134
跨域就是当在页面上发送ajax请求时,由于浏览器同源策略的限制,要求当前页面和服务端必须同源,也就是协议、域名和端口号必须一致。如果协议、域名和端口号中有其中一个不一致,则浏览器视为跨域,进行拦截。jsonp的原理是利用了script标签不受浏览器同源策略的限制,img和link标签也是不受浏览器同源策略限制的。跨域是浏览器限制,服务端和服务端之间通信是不受浏览器同源策略限制的。所有跨域的解决方案都是需要服务端配合的。最常用的跨域解决方案是CORS、Node代理服务器和Nginx反向代理方式。
利用nginx反向代理解决iframe跨域问题详解
05-01
随着Web应用程序的不断发展,越来越多的Web开发者需要处理跨域访问的问题。尤其在网站开发中,标签存在一些跨域问题,需要得到解决。 解决这些问题的一种方案是使用反向代理服务器。Nginx是一个功能强大的开源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值