跨域问题

最新推荐文章于 2021-04-12 21:42:56 发布
最新推荐文章于 2021-04-12 21:42:56 发布
阅读量111 收藏
点赞数
分类专栏: j java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40003295/article/details/101272075
版权
java 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
j
4 篇文章 0 订阅
订阅专栏

跨域是什么:

    域名和端口不同的服务之间针对ajax访问限制即跨域问题;

解决办法

  • Jsonp

        利用script标签可以跨域原理实现,只支持get请求;

  • nginx反向代理

       利用反向代理把跨域为不跨域,支持各种请求方式!

  • CORS

       支持各种请求方式,在服务端进行控制,可自定义规则;但是会产生额外的请求;

CORE

跨域资源共享标准( cross-origin sharing standard )允许在下列场景中使用跨域 HTTP 请求:

 

因为出于安全的考虑, 浏览器不允许Ajax调用当前源之外的资源. 即浏览器的同源策略.
CORS需要浏览器和服务器同时支持。目前,所有主流浏览器都支持该功能,IE浏览器不能低于IE10。在浏览器端, 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,用户对这些都不会有感觉。因此,实现CORS通信的关键是服务器。

浏览器将跨域请求分为两大类: 简单请求和非简单请求.

简单请求

  • a. 请求方式为下列之一:
    • GET
    • POST
    • HEAD
  • b. 请求头信息不超出以下字段:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是同时满足以上两个条件的, 就是简单请求.

对于简单请求, 浏览器直接发出CORS请求, 即浏览器自动在请求header中加上Origin字段, 告诉服务器这个请求来自哪个源(请求协议+域名+端口). 服务器收到请求后, 会对比这个字段, 如果字段值不在服务器的许可范围内, 服务器会返回一个正常的HTTP响应, 但是其响应头中不会包含Access-Control-Allow-Origin字段, 浏览器发现后, 就会抛出一个异常提示响应头中没有这个字段. 如果这个源在服务器的许可范围内, 服务器的响应头会加上以下字段:

  • Access-Control-Allow-Origin:http://ip:port
    必需项, 值为请求头中的Origin的值.
  • Access-Control-Allow-Credentials:true
    可选项, 值为boolean, 表示是否允许浏览器发送cookie, 需要在服务器配置.
  • Access-Control-Expose-Headers:
    浏览器可以从跨域请求响应头中获取的字段值, 由服务器配置. 默认可以获取Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma这六个字段.

如果服务器允许跨域

    Access-Control-Allow-Origin: http://manage.leyou.com
    Access-Control-Allow-Credentials: true
    Content-Type: text/html; charset=utf-8

非简单请求

对于非简单请求, 浏览器的CORS请求分为两步, 首先是执行预检(preflight)请求, 询问服务器是否允许当前源访问, 如果允许, 才会执行实际请求, 预检请求可以缓存(缓存时间由服务器定义), 在缓存有效期内再执行CORS请求时无需进行预检请求.

预检请求

  • a. 预检请求的请求方式为OPTIONs, 表示这个请求是用来询问的。
  • b. 请求头信息包含以下字段:
    • Origin: 请求源.
    • Access-Control-Request-Method: cors请求会用到的请求方式.
    • Access-Control-Request-Headers: cors请求会额外发送的请求头字段.
  • c. 服务器收到预检请求后会检查上面的三个字段值以确定是否允许跨域请求, 如果任意一项不完全满足则都不允许进行跨域请求.
  • d. 预检请求的响应中会包含如下字段:
    • Access-Control-Allow-Origin:
      必需项, 值为请求头中的Origin的值.
    • Access-Control-Allow-Credentials:
      可选项, 值为boolean, 表示是否允许浏览器发送cookie, 需要在服务器配置.
    • Access-Control-Allow-Headers:
      可选项, 允许跨域请求额外发送的header字段, 需要在服务器配置.
    • Access-Control-Allow-Methods:
      必需项, 允许跨域请求的请求方式.
    • Access-Control-Max-Age:
      必需项, 预检请求的缓存时间.

如果预检请求正常返回, 接下来执行实际请求. 在预检请求缓存有效期内, 再执行跨域请求时无需进行预检请求.

===========================================================================================

Spring跨域请求配置

@CrossOrigin这个注解可以用于类上和方法上. 其属性有:

  • origins:
    允许跨域请求的源, 如果是*, 则表示允许所有的源进行跨域请求. 默认为所有.
  • allowedHeaders:
    允许跨域请求传入的header字段, 默认为所有.
  • exposedHeaders:
    浏览器可以从跨域请求响应头中获取的字段值.
  • methods:
    允许跨域请求的请求方式, 默认为所有.
  • allowedCredentials:
    允许跨域请求上传cookie或用户凭证等信息, 默认为false, 不启用.
  • maxAge:
    浏览器缓存预检请求的时间.

配置服务器服务允许跨域

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();

        //1) 允许的域,不要写*,否则cookie就无法使用了
        config.addAllowedOrigin("http://manage.leyou.com");
        config.addAllowedOrigin("http://www.leyou.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允许的头信息
        config.addAllowedHeader("*");
        // 5)有效时长
        config.setMaxAge(3600L);

        //2.添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

 

 

 

 

 

仰望月亮一刻钟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js试题及答案(四)
陈乾的博客
08-19 1万+
一、单选题(共30题,每题2分) 1.闭包的好处说法不对的 A 缓存变量 B 防止命名冲突 C 可能造成内存泄露 D 减少内存使用率 解析: 无 2.不能进行强制类型转化的为 A parseInt B parseFloat C Number D Math.floor 正确答案: D 3.alert(username);var username=“leson”;结果为 A undefined B leson C null D 报错 正确答案: A 解析: 变量提升,预解析 4.不属于常
跨域问题 什么时候出现跨域问题 如何解决跨域问题
LionHearthz的博客
08-06 485
跨域问题? 什么出现跨域问题? 什么时候出现跨域问题? 如何解决跨域?
CORS解决跨越问题
蔡茂的博客
06-26 3813
解决跨越问题 1、什么是跨域(域名) url: http://www.baidu.com/xxx.jsp url:协议://域名:port/uri url:协议://域名:port定位服务器 uri :定义资源 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 : 域名不同 www.jd.com 与 www.taobao.com 域名相同,...
JS 跨域访问的几种方式
zlc7758的博客
06-15 257
最近公司项目涉及到了跨域访问,以前都是用jsonp解决该问题,但是jsonp的局限性在与只能使用get方式,导致对请求参数的长度有很大限制,且安全性不是很好,网上逛了逛,发现跨域解决的方案还是蛮多的      jsonp           1: 只能为GET方式.(所有参数明文且参数长度不能大于255)   2: 请求数据有大小限制.(chrome为8k,firefox为7k,
Cors解决跨域问题
weixin_42030357的博客
07-01 248
1.跨域问题跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击,当发起的请求域当前域名不同时,即产生跨域问题。 由下面两张图,可判定跨域: 解决方法: * @auther Mr.wu * @date 2019/5/5 19:04 * * 跨域配置 */ @Configuration public cla...
GeoServer跨域问题.zip
10-21
GeoServer跨域问题 jetty-servlets-9.4.44.v20210927.jar jetty-util-9.4.44.v20210927.jar
iframe跨域问题
03-07
iframe跨域问题:Uncaught DOMException Blocked a frame with origin解决方法
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
解决Nuxt使用axios跨域问题
01-19
而在使用时,就会遇到前后端分离情况下的域名或端口不一致导致的跨域问题。本文将介绍如何通过设置代理解决 Nuxt 与 axios 集成的跨域问题。 解决跨域 Nuxt 使用 axios 为避免出现前端页面跨域问题,需要安装 @nuxt...
springboot跨域问题解决方案
08-25
主要介绍了springboot跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nexus环境搭建及使用
weixin_40003295的博客
01-21 5074
一、安装步骤如下: 1、首先下载安装包:https://www.sonatype.com/download-oss-sonatype ,就下载最新的就可以; 2、解压到一个目录下 tar -xvf  nexus-3.14.0-04-unix.tar.gz -o /data/nexus-3.14.0-04-unix.tar.gz 3、配置环境变量,我是直接在root下的/root/.bas...
ConcurrentMap、ConcurrentSkipListMap(支持并发排序功能,弥补ConcurrentHashMap)
weixin_40003295的博客
09-26 4071
                                       并发类容器 第一步:介绍下ConcurrentMap及其两个实现ConcurrentHashMap和ConcurrentSkipListMap 一、ConcurrentMap接口下有两个重要的实现:     ConcurrentHashMap——可以理解为hashTable或者hashMap     Concur...
线程组和线程池的区别
weixin_40003295的博客
08-10 2186
经过网上一些资料查找,初步理解如下: 1、线程组和线程池都是管理线程的策略; 2、线程组中的线程之间可以跨线程修改数据,而线程组与线程组之间不可以跨线程组修改数据; 3、线程池开始就创建一定量的线程,批量处理一类任务,等待任务的到来。任务执行完毕后,线程又可以执行其他的任务。等不再需要线程的时候,就销毁。...
静态资源cdn服务是什么
weixin_40003295的博客
09-18 2022
CDN 的全称是 Content Delivery Network,即内容分发网络。CDN 系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上;其目的是使用户可就近取得所需内容,解决 Internet 网络拥挤的状况,提高用户访问网站的响应速度。 应该就是一个路由功能,能根据访问地址,进行负载均衡分...
ResponseEntity
weixin_40003295的博客
09-19 1548
ResponseEntity可以标识整个http相应,包括状态码、头部信息以及响应体内容: 可以使用任意类型作为响应体; 可以通过编程方式指明响应状态,根据不同场景返回不同状态; 设置http响应头; ResponseEntity提供了两个内嵌的构建器接口: HeadersBuilder 和其子接口 BodyBuilder。因此我们能通过ResponseEntity的静态方法直接访问。也可以...
validate实现登录验证码验证前后端实现
weixin_40003295的博客
04-12 1069
首先从前端说起: js端引用<script src="../static/ajax/libs/validate/jquery.validate.min.js" 和<script src="../static/ajax/libs/validate/messages_zh.min.js" html内容: <div class="row m-t" th:if="${captchaEnabled==true}"> <div class="col-xs-6"> ..
NIO大概流程
weixin_40003295的博客
08-09 993
1、多个Client同时注册到多路复用器selector上; 2、selector遍历所有注册的通道; 3、查看通道状态(包括Connect、Accept、Read、Write); 4、根据状态执行相应状态的操作;...
axios 跨域问题
最新发布
09-29
跨域问题是指当一个请求的协议、域名、端口与当前页面的URL不同,就会发生跨域。在Vue中使用Axios解决跨域问题可以通过设置代理来实现。在Nuxt中使用Axios解决跨域问题需要安装 @nuxtjs/axios 和 @nuxtjs/proxy 两个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值