java跨域攻击_Java跨域问题的处理详解

最新推荐文章于 2023-06-02 18:33:15 发布
最新推荐文章于 2023-06-02 18:33:15 发布
阅读量171 收藏
点赞数
文章标签: java跨域攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39677203/article/details/114073316
版权

1,JavaScript由于安全性方面的考虑,不允许页面跨域调用其他页面的对象,那么问题来了,什么是跨域问题?

答:这是由于浏览器同源策略的限制,现在所有支持JavaScript的浏览器都使用了这个策略。那么什么是同源呢?所谓的同源是指三个方面“相同”:

1,域名相同

2,协议相同

3,端口相同

2,下面就举几个例子来帮助更好的理解同源策略。

URL 说明 是否允许通信

http://www.a.com/a.js

http://www.a.com/b.js 同一域名 允许

http://www.a.com/a.js

http://www.b.com/a.js 不同域名 不允许

http://www.a.com:8000/a.js

http://www.a.com/b.js 同一域名不同端口 不允许

https://www.a.com/a.js

http://www.a.com/b.js 同一域名不同协议 不允许

3,在JAVA中处理跨域问题,通常有以下两种常用的解决方法。

1,第一种解决方法

后台代码在被请求的Servlet中添加Header设置:

response.setHeader("Access-Control-Allow-Origin", "*");

PrintWriter out =null;

try

{

out = response.getWriter();

} catch (IOException e)

{

// TODO Auto-generated catch block

e.printStackTrace();

}

out.print("{'status':'ok'}");

out.flush();

out.close();

Access-Control-Allow-Origin这个Header在W3C标准里用来检查该跨域请求是否可以被通过,如果值为*则表明当前页面可以跨域访问。默认的情况下是不允许的。

在前端JS中需要向Servlet发出请求,请求代码如下所示:

$.ajax({

url: "your url",

type:"get or post",

dataType:"json",

data:{

....

},

success:function(data){

...

}

第二种解决方法

通过jsonp跨域请求的方式。JSONP和JSON虽然只有一个字母的区别,但是他们完全就是两回事,很多人很容易把他们搞混。JSON是一种数据交换的格式,而JSONP则是一种非官方跨域数据交互协议。

首先来说一下前端JS是怎么发送请求。代码如下所示:

$.ajax({

url:"your url",

type:"get or post",

async:false,

dataType : "jsonp",

//服务端用于接收callback调用的function名的参数

jsonp:"callbackparam",

//callback的function名称

jsonpCallback:"success_jsonpCallback",

success:function(data){

console.log(data);

},

error:function(data){

console.log(data);

}

});

这里的callbackparam和success_jsonpCallback可以理解为发送的data数据的键值对,可以自定义,但是callbackparam需要和后台约定好参数名称,因为后台需要获取到这个参数里面的值(即success_jsonpCallback)。

4,下面,最重要的来了,后台怎么样获取和返回数据呢。代码如下所示:

PrintWriter out =null;

String callback=req.getParameter("callbackparam");

String json=callback+"({'status':'ok'})";

try

{

out = resp.getWriter();

} catch (IOException e)

{

// TODO Auto-generated catch block

e.printStackTrace();

}

out.print(json);

out.flush();

out.close();

首先需要获取参数名为callbackparam的值,这里获取到的值就是“success_jsonpCallback”。然后将这个值加上一对小括号。小括号里放入你需要返回的数据内容,比如这里我返回一个JSON对象。当然你也可以返回其他对象,比如只返回一个字符串类型数据也可以。最后前端JS返回的数据就是这样的:

success_jsonpCallback({'status':'ok'})

浏览器会自动解析为json对象,这时候你只需要在success回调函数中直接用data.status就可以了。

weixin_39677203
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java跨域问题处理详解
08-31
Java 跨域问题处理详解Java处理跨域问题是一个常见的问题,究其根源是由于浏览器的同源策略限制。所谓的同源策略是指三个方面的“相同”:域名相同、协议相同、端口相同。如果不满足这三个条件,浏览器将...
跨域问题
不起眼的小学生
11-26 139
浏览器对于js的同源策略的限制,例如a.cn下面的js不能调用b.cn下的js数据 同源的概念又是什么呢:简单解释:相同域名,端口相同,协议也相同。 同源策略:必须与浏览器上的url地址处于同域上,也就是域名,端口协议都相同 比如我位于study.cn 去请求www.baidu.com上的资源,就不行。 同源策略的保护,若没有,那么一些重要的机密网站就会很危险。 jsonp 全称是j...
SpringCloudGateWay跨域配置
suodod的博客
02-22 1335
@Bean public CorsWebFilter corsWebFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); // 配置跨域 CorsConfiguration corsConfiguration = new CorsConfiguration(); // 允许哪个请求头 cors.
java跨域问题
weixin_65837469的博客
03-29 5430
WebSocket 是一种双向通信协议,可以通过建立连接来实现跨域访问。可以通过在同一页面中使用 iframe 元素来实现跨域访问,从而避免了浏览器安全限制。Java 中的跨域问题指的是在使用 AJAX 技术进行跨域访问时,由于浏览器的安全限制,导致请求被拒绝或者无法获取到正确的响应结果。在 Java 中可以通过设置响应头信息来支持跨域访问,例如在 Spring MVC 中可以使用。3、使用 WebSocket 来解决跨域问题。2、使用 iframe 来实现跨域访问。1、通过设置响应头信息来支持跨域访问
跨域介绍及Java中常见的跨域解决方案
akaiyijian001的博客
06-02 4518
跨域(Cross-Origin)指的是在浏览器中,由于安全策略的限制,当前网页的 JavaScript 代码无法直接访问不同源(协议、域名、端口)的资源。这意味着如果网页尝试通过 AJAX、Fetch 或 WebSocket 等方式向不同源的服务器发送请求,浏览器会阻止这些请求,从而避免潜在的安全风险。
java跨域解析json数据_关于Java跨域Json字符转类对象的方法示例
weixin_34443284的博客
02-16 92
前言JSON是JavaScript Object Notation的缩写,是一种轻量级的数据交换形式,是一种XML的替代方案,而且比XML更小,更快而且更易于解析。因为JSON描述对象的时候使用的是JavaScript语法,它是语言和平台独立的,并且这些年许多JSON的解析器和类库被开发出来。JSON具有以下这些形式:对象是一个无序的“‘名称/值'对”集合。一个对象以“{”(左括号)开始,“}”(...
java 请求跨域问题解决方法实例详解
08-30
Java中,处理跨域问题通常涉及修改响应头,以允许特定的跨域请求。在提供的代码实例中,我们可以看到一个简单的实现方法: 1. 首先,创建一个名为Util的工具类,其中包含一个静态方法`SetHttpServletResponse`。...
详解Java Ajax jsonp 跨域请求
10-19
JSONP虽然解决跨域问题,但也存在一些安全风险,因为它允许服务器返回任意的JavaScript代码,可能导致XSS(跨站脚本攻击)。此外,JSONP只支持GET请求,不能处理POST等其他HTTP方法,也不支持HTTP头部,因此在...
详解Ajax跨域(jsonp) 调用JAVA后台
10-19
本篇文章主要介绍了详解Ajax跨域(jsonp) 调用JAVA后台 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解WebSocket跨域问题解决
01-19
项目中遇到javascript跨域问题,父页面和子页面要通信,并且父子页面跨域,怎么办? 项目中要保证父子页面通信是点对点,需要在服务端建立对父子页面WebSocket的对应关系,即父页面发的消息只被子页面收到,子页面的...
Java跨域问题
weixin_43709291的博客
10-07 3494
跨域是指a页面想获取b页面资源,如果a,b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是说不允许跨域请求资源。跨域问题的根本原因:因为浏览器收到同源策略的限制,当前域名的js只能读取同域名下的窗口属性。就是不同的域名,不同端口,不同协议不允许共享资源的,保障浏览器安全。preHandle:预处理,在业务处理处理请求之前被调用,可以进行登录拦截,编码处理、安全控制、权限校验等处理
Java_常瑞鹏 Java Web HttpServletRequest
ddmkmbdq307072的博客
10-26 198
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,开发人员通过这个对象的方法,可以获得客户这些信息。 request常用方法 获得客户机信息 •getRequestURL方法返回客户端发出请求时的完整URL。 •getRequestURI方法返回请求行...
Java跨域攻击解决方案
懒虫一个V
06-15 4476
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是跨域攻击的,否则不是 /** * 验证请求的合法性,防止跨域攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServletReques
js跨域脚本攻击java解决方案
rocgege的专栏
01-12 1781
StringEscapeUtils.escapeHtml4(ResourcePropUtil.valueOf(aprove.getfName(), ""))
Java跨域攻击 解决方案
Allen_qin的博客
11-23 358
利用css漏洞进行跨域攻击 #header{ width:72px;background:url("javascript:document.body.onload = function() { 攻击javascript代码}) } 太变态了, 看到没,只要调用了header样式就能实现跨域攻击了。 其实他是利用在设置background图像的时候,会请求给出的图像地址,这里...
java防止跨域攻击
hongwei3344661的博客
02-14 807
/**   * 验证请求的合法性,防止跨域攻击   *   * @param request   * @return   */   @SuppressWarnings("rawtypes")   publicstatic boolean validateRequest(HttpServletRequest request) {       String referer = ...
java跨域 解决的几种方法
热门推荐
风再起时
04-27 3万+
一、全部接口解决跨域问题要想解决测试人员的跨域问题,在请求访问解决跨域问题 过滤器filter public class SimpleCORSFilter implements Filter{ @Override public void destroy() { } @Override public void doFilter(ServletRe
java-拦截器实现跨域支持
zpf0918的专栏
09-22 9133
package com.test.test.conf; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.lang.ann
java单点登录流程及其他
最新发布
10-10
实现Java单点登录不仅需要处理基础的身份验证和授权,还要考虑如何利用JWT简化API之间的身份验证,同时处理跨域和异常情况,以确保系统的安全性和用户体验。通过Spring Security的灵活配置,开发者可以根据具体需求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值