跨域问题的分析

已于 2022-08-02 09:09:38 修改
阅读量228 收藏
点赞数
分类专栏: 杂谈 文章标签: 前端 json 跨域
于 2022-08-01 17:51:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40803011/article/details/126103299
版权

前言

  在发布数据埋点工程后,前端访问时发生了跨域错误。经过问题分析排查发现,Kong网关里没有允许OPTIONS请求导致跨域错误。通过这个问题再对CORS原理梳理一下,知其所以然。
在这里插入图片描述
在这里插入图片描述

CORS原理分析

  1. 浏览器同源策略阻止跨域请求(请求1和请求2不一致)
    在这里插入图片描述
  2. 浏览器和服务器使用HTTP头传递跨域请求的行为方式(下图来自cors-in-cation)
    在这里插入图片描述
    2.1 XMLHttpRequest对象将包含一个withCredentials属性,是否为true检查浏览器是否支持CORS
    在这里插入图片描述
    2.2 浏览器收到响应后,检查响应头Access-Control-Allow-Origin,判断服务器是否允许跨域请求。如果请求无效,浏览器将记录错误到控制台,然后触发XMLHttpRequest’onerror事件(找前端搞个页面验证一下)

prefligt request(预检请求)

  1. 在某些情况下,仅Access-Control-Allow-Origin 响应头是不够的,对服务器有特殊要求的非简单请求(比如PUT或DELETE方法,或者Content-Type字段的类型是application/json),需要在正式请求前增加一次预检请求

  2. 同时满足以下两个条件,就是简单请求(否则为非简单请求)
    2.1 请求方法是以下三种方法之一:HEAD、GET、POST
    2.2 HTTP的头信息不超出以下几种字段:
    (1)Accept
    (2)Accept-Language
    (3)Content-Language
    (4)Last-Event-ID
    (5)Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

  3. 浏览器通过预检请求请求权限,预检请求是浏览器在实际请求之前发送的一个小请求。包含使用哪种HTTP方法以及是否存在任何自定义HTTP头信息
    在这里插入图片描述

项目跨域配置

  1. springboot后台配置跨域过滤器:CorsFilter
    @Bean
public CorsFilter corsFilter() {
	final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
	final CorsConfiguration corsConfiguration = new CorsConfiguration();
	corsConfiguration.setAllowCredentials(true);
	corsConfiguration.addAllowedOrigin("*");
	corsConfiguration.addAllowedHeader("*");
	corsConfiguration.addAllowedMethod("*");
	urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
	return new CorsFilter(urlBasedCorsConfigurationSource);
}
  2. 因为对于非简单请求会发预检请求,所以网关路由要允许OPTIONS方法通过(自己因为没配,导致一直报跨域错误)
    在这里插入图片描述

束语

  留意日常工作中的每一个bug,问题驱动在调式代码时会更有方向感,在排查问题时多反思,可以有很多收获。这里因为时间问题(还要好多需求没写),只问了自己既然有Access-Control-Allow-Origin响应头,为什么还要发送预检请求?其实可以接着问问自己为什么非简单请求就要发送预检请求呢?等等,有时间继续学习

snail-jie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS(跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
KONG (API网关) 用CORS处理跨域,针对:非简单请求
debug一生的博客
05-21 4857
研究了挺久的,从不知道什么是跨域到最终解决问题。 简单说,会产生跨域的异常主要是当前页面域名与页面内直接请求的域名不是同一个域,浏览器就是拦截这种它认为不安全的操作 首先必须明确一点:跨域有两种(1、简单请求,2非简单请求) 这里怎么判定,我直接引用阮老师的分析了: 这里在我的请求中是GET,但是定义了自定义的请求头,Authorization,这里浏览器就会判定为非简单请求。 简单请求按照常规处理就好了。 重点是非简单请求 浏览器会先发送一个method为OPTIONS的请求,这里称之为
使用kong网关的跨域插件遇到的跨域问题
RMB7722的专栏
02-08 448
使用kong网关的跨域插件遇到的跨域问题
Kong处理web服务跨域
最新发布
程序员劝退师的博客
11-29 942
好久没写文章了,大概有半年多了,这半年故事太多,本文写不下,就写写文章标题问题!
kong笔记——kong/konga的搭建
罗伯特是疯子丶
09-19 6403
经过上篇的介绍,大家可能对kong有一个简单的了解,如果不了解的同学,可以看看这篇kong笔记——认识kong(一) 本篇及以后的此系列文章皆为实战篇 版本介绍(重点,重点,一定要观察版本,防止不兼容情况!!): kong 2.5.0 konga 0.14.9 pgsql 9.6 linux centos 7 简述 对于kong的搭建,官网提供的方式有很多,感兴趣的自己可以看看: [kong官方文档](Install Kong Gateway (Enterprise) - v2.5.x | Kong D
kong或nginx配置前端请求跨域
qq_42150559的博客
07-02 2087
我们目前使用的是kong作为一个总的api网关 而今天出了一个问题 kong的设置默认是不支持前端跨域的 而前后端分离的项目大量的使用了跨域 前端报错:response to preflight request doesn’t pass access control check:Redirct is not allowed 如果是使用传统的nginx可以配置: 参考文档:http://www.ng...
web运维:跨域(NGINX跨域配置为例)
龙叔运维的博客
10-18 1368
跨域在现在的web开发中,已经 是一个很常见的场景了,作为运维,也是一个应该掌握的知识点
kong配置好跨域组件后,仍不能跨域
appearappear的博客
05-19 455
路由配置加上OPTIONS
Kong跨域问题
Fear_w的博客
07-01 4181
Kong跨域问题情景原因添加cors插件 情景 外网使用kong做网关,域名为demo.com,本地有一个服务,域名为localhost,本地服务需要调用外网上的服务,出现跨域问题,而直接使用nginx的外网服务器没出现这个问题 原因 nginx没有开始允许跨域访问,默认是关闭的,直接用nginx可以直接再配置文件中添加配置即可,而kong不是通过修改配置文件,而是添加插件(cors)的方式去运...
kong dashboard UI 的使用 (使用kong 对服务反向代理,以及解决跨域问题
weixin_30730151的博客
05-23 766
7.2Choose Security and click on ADD PLUGIN in cors,then don’t input content and click on ADD PLUGIN button directly. 第一步登录: 第二步: 2.3.3Add Service 1.open kong dashboard http://10.160...
重构校验逻辑可配置化
snail-jie的博客
11-12 966
业务彼此隔离 业务与业务的隔离需要有一个标识来唯一标志 1.1 在业务处理过程中,可以知道这个业务线需要的具体业务策略和处理规则 为什么要实现业务之间的彼此隔离? 2.1 业务之间的互不影响:将变化的东西缩小到业务线内,不可能改动一个业务线的需求,结果把其它业务线影响了 2.2 业务的可扩展性:比较好的状态就是具备可配置,稍微配置一下,一个新业务线就接入 不同业务线之间有一条共性的业务流程,这个业务流程是业务的生命周期 3.1 在优惠券中,核心的业务流程就四个:建券、发券、用券、退券,不管什么
Access-Control-Allow-Origin跨域问题的终极解决,给自己做备份
10-16
Access-Control-Allow-Origin跨域问题的终极解决,给自己做备份,内含允许访问特定域名或多个域名
深入分析Javascript跨域问题
10-24
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。这里把涉及到跨域的一些问题简单地整理一下
ajax跨域问题分析与springboot解决方法
01-08
前后端分离 ajax VsCode 插件 作用:模拟一个默认在5500端口的本地服务 jq ajax主要参数 $.ajax({ //请求方式 type:'POST', //发送请求的地址 ... //服务器返回的数据类型 ... //发送到服务器的数据,对象必须为key/...
Ajax请求跨域问题解决方案分析
12-11
本文实例讲述了Ajax请求跨域问题解决方案。分享给大家供大家参考,具体如下: 几乎每种浏览器都存在默认的安全机制,都有同源策略,因为浏览器恶意的把每个外部请求的都当做是黑客攻击,相当于是对自身的保护,所以...
kong配置详解
ss810540895的博客
09-08 1516
【代码】kong配置详解。
Canal初识
snail-jie的博客
10-13 5069
背景 项目需要记录操作日志,记录数据前后的变化 网上搜索diff开源实现有很多,但怎么获取操作前后的对象? 2.1 最直观的方式,就是在操作前后查询数据库,但这样会有几个问题 (1)譬如update操作,where条件带出来数据很多,这样对比很耗内存 (2)不支持多表操作 2.2 参考的实现方案有: (1)知乎文章:https://www.zhihu.com/question/26848331 (2)基于主键ID的实现:https://blog.csdn.net/Howinfun/article/deta
跨域资源共享CORS学习笔记
绯浅yousa的笔记
12-19 8154
跨域资源共享CORS学习笔记1、同源政策含义1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。协议相同 域名相同 端口相同举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是
跨域的几种解决方案
KongKong_Rac的博客
10-11 221
一、跨域问题背景 浏览器的同源政策:A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。 同源是指:协议相同、域名相同、端口相同。但凡有一个不同,则不同源。 同源政策的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。 其中,同源政策规定,AJAX请求只能发给同源的网址,否则就报错。那么前后端分离如何实现跨域请求? 二、实现跨域的解决方案 1. JSONP 网页通过添加一个<script>元素,由它向跨源网址发出请求,即向服务器请求JSON数据,这种做法不受同源政策限制;服
跨域知识迁移分析模型库
07-22
你可以使用迁移学习来进行跨域知识迁移分析。...总的来说,跨域知识迁移分析是一个复杂的问题,需要综合考虑数据特点、模型选择和迁移策略等因素。希望这些方法能为你提供一些启示,帮助你进行跨域知识迁移分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值