Cors跨域请求

最新推荐文章于 2023-11-12 15:00:39 发布
最新推荐文章于 2023-11-12 15:00:39 发布
阅读量179 收藏 1
点赞数
分类专栏: 项目细节 文章标签: Cors跨域请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42353390/article/details/102837234
版权

 

为什么要设置跨域请求?

一个界面发起的ajax请求,只能是当前页面同域名发起的,这样就可以有效避免黑客发起的对服务器的恶意攻击;

请求跨域了,那么请求到底发出去没有?

跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。你可能会疑问明明通过表单的方式可以发起跨域请求,为什么 Ajax 就不会?因为归根结底,跨域是为了阻止用户读取到另一个域名下的内容,Ajax 可以获取响应,浏览器认为这不安全,所以拦截了响应。但是表单并不会获取新的内容,所以可以发起跨域请求。同时也说明了跨域并不能完全阻止 CSRF,因为请求毕竟是发出去了。

 

常用的跨域问题的解决方式?

一,nginx : 

a网站向b网站请求1.js文件时,向b网站发送一个获取的请求,nginx根据配置文件接收这个请求,代替a网站向b网站来请求这个资源,nginx拿到这个资源后再返回给a网站,以此来解决了跨域问题。

 

例子:

server {
        #监听8000端口
        listen       8000;
        #监听指定的ip地址
        server_name  10.10.2.116;
        #对对应url路径执行反向代理,如10.10.2.116:8000/demo
        location /demo {
        #目标的ip地址
            proxy_pass http://www.leyou.com; 
        }
}

缺点: 需要的nginx进行额外配置;

二,CORS:

规范的跨域请求解决方案,安全可靠:

优点: 在服务端进行控制是否允许跨域,可以自定义规则,如header,method,origin,自定义限制;

缺点: 会产生额外的请求;

简单请求和和复杂请求的区分:

1.请求方式的区分:head,put,post;

2.头信息的限制:

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值  application/x-www-form-urlencoded、multipart/form-data、text/plain

 

发送简单请求时 浏览器会自动识别并携带字段 origin =www.leyou.com,服务器会根据这个值进行判定是否允许跨域

不满足简单请求条件则就是复杂请求

 

CORS跨域请求的原理:

浏览器想服务端发送预检请求:

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

服务端收到预检请求后,如果允许跨域,会发出响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

服务端返回自己对跨域的请求的要求限制:

- Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*,代表任意
- Access-Control-Allow-Methods:允许访问的方式
- Access-Control-Allow-Headers:允许携带的头
- Access-Control-Max-Age:本次许可的有效时长,单位是秒


允许客户端可以携带Cookie
- Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true

 

客户端跨域想要携带COOKIE要满足的要求:

- 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
- 浏览器发起ajax需要指定withCredentials 为true
- 响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名

 

实际操作:

  1. 需要的配置一个Bean ,CorsFilter  过滤类 包含 
    UrlBasedCorsConfigurationSource----》 1.path:对映射路径的限制   2.CorsConfiguration---》封装了对跨域请求的限制,origin,header,method的设置;
  2. CorConfiguration 封装对跨域请求的限制:

 

允许的域,不要写*,否则cookie就无法使用了

        config.addAllowedOrigin("http://manage.leyou.com");
        config.addAllowedOrigin("http://www.leyou.com");
允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
允许的头信息
        config.addAllowedHeader("*");
是否发送Cookie信息
        config.setAllowCredentials(true);
添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);
   
返回新的CorsFilter.
        return new CorsFilter(configSource);

 


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();

        //1) 允许的域,不要写*,否则cookie就无法使用了
        config.addAllowedOrigin("http://manage.leyou.com");
        config.addAllowedOrigin("http://www.leyou.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允许的头信息
        config.addAllowedHeader("*");

        //2.添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

 

 

 

 

Cookie@513
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端跨域请求处理以及携带cookie CORS实现(koa2)
qq_33358824的博客
06-14 7602
首先,一个较大的web项目一般是由前端跟后台两方开发。为了解耦,一般是前端开发页面,后端开发接口然后部署到服务器上。前端使用Ajax访问服务端接口。这时候一般需要一个Restful API 来规定接口格式(接口文档)。而且因为Http协议是无状态的,如果遇到标识用户身份(比如登陆)的需要,需要cookie session来验证。面对这种跨域需求。我们可以通过cors来实现。具体理论 http://...
Spring Boot Web应用开发 CORS 跨域请求支持
08-30
Spring Boot Web应用开发 CORS 跨域请求支持 CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许Web页面从不同的域名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS ...
解决CORS跨域不能cookies的问题
weixin_34194551的博客
03-18 2289
故事背景 前端用的 vue + axios, 后端用的是 ko2,用 koa-passport + passport-local 帮我处理登录注销,用 koa-generic-session 处理session, koa2-cors 处理跨域 问题描述 今天做登录的时候,发现 接口调用正常,数据正常递,redis里也有存储相应值 唯独前端页面一直没有设置上cookies,无法保存登录状态。 ...
CORS 跨域携带 Cookie 发送请求
weixin_34411563的博客
08-16 764
问题 当在 a.com 进行访问时,如何向 b.com 携带 b.com 的 cookie 发送一个请求? 情境 a.com 是一个第三方网站,需要通过访问 b.com 的接口来获取用户的一些信息。这时候,b.com 上的用户已经登录了。 跨域请求 我们知道,在发送跨域请求时,需要后端设置一些请求头,否则浏览器不会允许客户端跨域发送请求。...
设置CORS响应头实现跨域
weixin_58347102的博客
05-06 2087
跨域资源共享:跨源资源共享(CORS) - HTTP | MDN 特点:不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持get和post请求 通过设置一个响应头来告诉浏览器,该请求允许跨域,浏览器收到该响应以后就会对响应放行。 如下搭建一个简单的服务器: // 引入express const express = require('express'); // 创建应用对象 const app = express() // 创建路由规则 // request是对请求报文的封装 // res
通过设置响应头解决跨域问题
最新发布
qq_37436172的博客
11-12 4933
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
Springboot处理CORS跨域请求的三种方法
08-19
以下将详细介绍Spring Boot处理CORS跨域请求的三种方法。 1. **使用`@CrossOrigin`注解** `@CrossOrigin`是Spring提供的一个注解,用于配置控制器或方法,允许特定的跨域请求。当在控制器类或具体方法上添加此...
详解springboot设置cors跨域请求的两种方式
08-26
Spring Boot 设置 CORS 跨域请求的两种方式 Spring Boot 作为一个流行的 Java Web 框架,如何设置 CORS 跨域请求是一个非常重要的问题。CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许 ...
Java实现CORS跨域请求的实现方法
08-29
Java实现CORS跨域请求的实现方法 本篇文章主要介绍了Java实现CORS跨域请求的实现方法,这是一种常见的解决方案,用于解决前后端分离开发模式下的跨域请求问题。 CORS全名为Cross-Origin Resource Sharing,中文名为...
Ajax学习:设置CROS响应头实现跨域(跨域资源共享)
weixin_47295886的博客
12-02 1742
Access-Control-Max-Age:预请求结果缓存。Access-Control-Allow-Headers:设置头信息(自定义头不允许 所以需要在响应前接收的任意请求头)Access-Control-Allow-Credentials: 跨域请求时候,是否允许携带验证信息(cookie)Access-Control-Expose-Headers:暴露头部信息,客户端同意的哪些头可以暴露。Access-Control-Allow-Methods:设置请求允许的方法。http和http不需要。
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 574
统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如果这个文件声明“http:/...
核心配置(Core Configuration)
何芳华连编程hou
05-11 1228
每个应用程序在CakePHP包含一个配置文件来确定CakePHP的内部行为。应用程序/配置/core.php。这个文件是配置类变量的集合定义和常数定义,确定您的应用程序的行为。我们深入这些特定变量之前,您将需要熟悉配置,CakePHP的配置注册表类。 CakePHP核心配置 配置类是用于管理一组核心CakePHP配置变量。这些变量可以在app/Config/core.php找到
java设置响应头,解决跨域访问限制
colorsunlight的专栏
01-08 2万+
public class testFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse resp, FilterChain chain) throws IOException, ServletException {HttpServletResponse response = (
response设置响应头,解决跨域请求问题,No 'Access-Control-Allow-Origin' header is present on the requested resource
热门推荐
益添的博客
05-15 25万+
今天被跨域请求的问题困扰了很久,跨域一句话的理解就是:服务端和请求端的地址不一样。跨域的详细介绍可以参考:浏览器和服务器实现跨域(CORS)判定的原理,这里不多赘述。我出现的问题,主要就是客户端向发送了服务端请求,服务器已经能返回数据,但是浏览器不接收。Failed to load http://localhost:8080/XXXX: No 'Access-Control-Allow-Origi...
网站跨域解决方案-设置响应头(1)
ls_call520的专栏
01-12 649
问题: 解决方案: 设置响应头允许访问Access-Control-Allow-Origin:*,一般此代码放到过滤器中,适合小公司快速解决问题
nodejs 设置响应头跨域
hello,是翠花呀
09-09 5223
1.非express var http = require("http"); http.createServer(function (req, res) {    // 添加响应头 res.setHeader("Access-Control-Allow-Origin", "*"); // 获取请求路径 var pathname = ..
Ajax解决跨域--设置CORS响应头实现跨域
天行健 君子以自强不息,地势坤 君子以厚德载物。
07-27 2188
1.设置CORS响应头实现跨域 跨源资源共享(CORS) 1.1 什么是CORS CORS(Cross-Origin Resource Sharing),跨域资源共享。CORS 是官方的跨域解决方 案,它的特点是不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持 get 和 post 请求。跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些 源站通过浏览器有权限访问哪些资源 1.2 CORS 怎么工作的? CORS 是通过设置一个响应头来告诉浏览器,该请求允许跨域,浏览器收到该
Springboot处理CORS跨域请求
09-09
Springboot处理CORS跨域请求的方式有多种。其中一种方式是通过委托给DefaultCorsProcessor来实现对CORS规则的校验。 另一种方式是使用@CrossOrigin注解,在控制器方法上添加该注解可以指定允许跨域的源、方法、头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值