跨域学习总结

最新推荐文章于 2023-01-03 16:45:13 发布
最新推荐文章于 2023-01-03 16:45:13 发布
阅读量175 收藏
点赞数
分类专栏: java springboot cos 文章标签: java ajax http
原文链接:https://www.cnblogs.com/yuansc/p/9076604.html
版权
java 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
springboot
11 篇文章 0 订阅
订阅专栏
cos
1 篇文章 0 订阅
订阅专栏

浏览器同源

概念

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

定义

如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”。

同源判断

下表给出了与 URLhttp://mail.163.com/index.html 的源进行对比的示例:

URL结果
http://mail.163.com/dir2/other.html同源(只有路径不同)
http://mail.163.com/dir2/another.html同源(只有路径不同)
https://mail.163.com/index.html失败(协议不同)
http://mail.163.com:81/index.html失败(端口不同 , http:// 默认端口是80)
http://blog.163.com/index.html失败(主机不同)

http://mail.163.com/index.html

  1. http://:这个是协议,也就是HTTP超文本传输协议,也就是网页在网上传输的协议。
  2. mail:这个是服务器名,代表着是一个邮箱服务器,所以是mail.
  3. 163.com:这个是域名,是用来定位网站的独一无二的名字
  4. mail.163.com:这个是主机名(网站名),由服务器名+域名组成
  5. /:这个是根目录,也就是说,通过网站名找到服务器,然后在服务器存放网页的根目录
  6. index.html:这个是根目录下的默认网页(当然,163的默认网页是不是这个我不知道,只是大部分的默认网页,都是index.html)

跨域

概念

不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象就需要跨域。 在同源策略的限制下,非同源的网站之间不能发送 AJAX (Asynchronous Java and XML的缩写)请求。
当浏览器发现发现的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.

示例(预检请求)

浏览器会在真实请求发出前,增加一次OPTION请求,称为预检请求(preflight request)。预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作

access-control-request-headers: api-version,content-type,current-city,token,x-token
access-control-request-method: GET
cache-control: no-cache
origin: https://platform-te.reach.cn
pragma: no-cache
referer: https://platform-te.reach.cn/
sec-fetch-dest: empty
sec-fetch-mode: cors
sec-fetch-site: same-site

Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域。
与简单请求相比,除了Origin以外,多了两个头:

  • Access-Control-Request-Method:接下来会用到的请求方式
  • Access-Control-Request-Headers:自定义头字段头信息

服务器收到请求时,需要分别对 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回 HTTP 头信息中添加 :

access-control-allow-credentials: true
access-control-allow-headers: api-version, content-type, current-city, token, x-token
access-control-allow-methods: OPTIONS,HEAD,GET,PUT,POST,DELETE,PATCH
access-control-allow-origin: https://platform-te.reach.cn
access-control-expose-headers: Origin, Accept, Content-Type, AccessToken
  • Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*,代表任意
  • Access-Control-Allow-Credentials:是否允许用户发送、处理 cookie,默认情况下,cors不会携带cookie,true为允许携带
  • Access-Control-Allow-Methods:真实请求允许访问的方式
  • Access-Control-Allow-Headers:允许携带的头

如果浏览器得到上述响应,则认定为可以跨域。

SpringBoot配置Cors解决跨域问题

某一接口

@RequestMapping上添加@CrossOrigin

一系列接口

controller上添加@CrossOrigin

全局配置

CorsConfiguration

转载来源: 域名、主机名与URL.
转载来源: SpringBoot配置Cors解决跨域请求问题.
转载来源: Ajax原理.

草莓盼盼是胖胖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习SOTA
liz_Lee的博客
11-16 271
目录元学习进展元学习存在的问题后续研究方向参考 元学习进展 元学习解决5-way 5-shot分类问题 Omniglot数据集上,精度99% MiniImagenet数据集上,精度80%+ SOTA元学习方法MetaOpt 元学习存在的问题 跨域问题,元学习效果差 域差别越大,精度越低,最大差距能达60% pre-training + fine-tuning的结果还算好点 声音信号经过log Mel特征提取后,域差异会减小,跨域结果下降幅度也会变小 后续研究方向 减少计算量 提高求解质量 提高泛
跨域学习总结
川上饺子的博客
04-03 400
什么是ajax跨域问题?前台调用后台服务接口时,如果这个接口不是同一个域,就会有跨域问题。产生跨域问题的原因?浏览器对ajax请求的限制浏览器禁止跨域+发送的type是xhr(xmlhttprequest)+请求是跨域的 解决跨域的思路?1、 从浏览器入手:通过指定参数让浏览器不去做校验(价值不大,因为需要每个人都做改动,而且改动是客户端的)。浏览器禁止校验思路:在浏览器的安...
跨域学习
小白肥仔的博客
07-25 394
什么是跨域 因为浏览器的同源策略(Sameoriginpolicy)造成,同源策略是为了防止浏览器收到XSS,CSFR等攻击;同源也就是协议,域名,以及端口相同,及时是两个不同的域名指向同一个ip地址,也不是同源 当前页面 请求页面 是否跨域 原因 http://www.domain.com/ http://www.domain.com/b.html 否 同源(协议,域名,端口)相同,只是文件路径不同 http://www.domain.com/ https://www.domain.c
【前端技术】谈谈你对跨域的理解
技术能量站
02-03 277
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)
MVC中跨域解决方案
08-21
总结来说,MVC中处理跨域问题主要依赖于CORS机制,通过配置中间件、过滤器或Web.config文件来允许特定的源进行跨域访问。同时,也可以考虑JSONP、后端代理等其他解决方案。在实际项目中,应根据安全性和需求选择合适...
springboot配置允许跨域访问代码实例
08-25
SpringBoot配置允许跨域访问代码实例 SpringBoot框架通常用于前后端分离项目,因此需要配置...这些知识点对大家的学习和工作具有重要的参考价值。需要的朋友可以根据自己的需求进行配置和修改,以满足自己的需求。
学习总结:前端跨域请求的解决办法——JSONP
03-24
在前端开发中,跨域问题是常见的挑战之一。由于浏览器的同源策略限制,JavaScript不能随意地向不同源的服务器发送Ajax请求。为了解决这个问题,开发者们发明了各种跨域解决方案,其中JSONP(JSON with Padding)是一...
ajax跨域请求
09-04
通过学习这两个文件,你可以深入理解这两种跨域技术的工作原理,并将它们应用到实际项目中。 总结Ajax跨域请求是现代Web开发中解决不同源之间数据交互的重要手段。JSONP和CORS是两种主要的实现方式,前者适用于...
前端笔试面试题学习总结
最新发布
05-27
"前端笔试面试题学习总结"这个主题涵盖了前端开发者需要掌握的关键知识点,包括HTML、CSS、JavaScript、DOM操作、浏览器工作原理、性能优化、响应式设计、前端框架等方面。以下是对这些知识点的详细解析: 1. **...
学习:Meta Learning on a Sequence of Imbalanced Domains with Difficulty Awareness(一)
m0_51330713的博客
11-05 658
https://github.com/ joey-wang123/Imbalancemeta.git. 这个是作者给出的原论文的验证的代码。本篇文章可在知网等检索网站检索。本文的名字为一类难以理解的不平衡域的元学习。我们首先简单了解一下元学习的概念: 元学习是目前人工智能领域中一个令人振奋的研究方向。随着大量研究论文的发表和研究进 展的取得,元学习在人工智能领域取得了重大突破。在开始探讨元学习之前,先来了解一下当前 的人工智能模型的工作原理。 近年...
【深入浅出HTTPS】理解HTTP
qq_44869043的博客
05-18 2670
本文参考【深入浅出HTTPS】(作者:虞卫东)书籍,github地址:https://github.com/ywdblog/httpsbook 文章目录HTTP的定义HTTP语义 HTTP的定义 HTTP:超文本传输协议,它是在互联网中在客户端和服务器进行通信的一种规则,它规定了客户端可以用什么文本格式、 HTTP语义 HTTP消息包括两个部分:HTTP语义和HTTP实体。 http 消息由三部分组成: 请求行或响应行 HTTP 头部(请求头、响应头) HTTP 实体 (请求实体、响应实体) 请求行、响
Sec-Fetch-*请求头,了解下?
juruiyuan111的专栏
03-17 2997
如果你使用76+版本的chrome浏览器,通过开发者面板查看每个网络请求,会发现都有几个Sec-Fetch开头的请求头,例如访问百度首页https://www.baidu.com/的请求: Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 这是用来干嘛的呢,简单来说,就是网络请求的元数据描述,服务端根据这些补充数据进行细粒度的控制响应,换句话说,服务端可以精确...
HTTP报文
凉茶铺的博客
07-22 1884
HTTP报文是在HTTP应用程序之间发送的数据块(用于HTTP协议交互的信息)。请求端(客户端)的HTTP报文叫做请求报文,响应端(服务器端)的叫做响应报文。
HTTP协议解析
zyyy0的博客
01-03 930
HTTP (全称为 "超文本传输协议") 是一种应用非常广泛的应用层协议~~我们平时打开一个网站, 就是通过 HTTP 协议来传输数据的。HTTP工作过程:当我们在浏览器中输入一个 "网址",此时浏览器就会给对应的服务器发送一个 HTTP 请求,对方服务器收到这个请求之后,经过计算处理,就会返回一个 HTTP 响应这个过程中浏览器可能会给服务器发送多个 HTTP 请求, 服务器会对应返回多个响应, 这些响应里就包含了页面HTML, CSS, JavaScript, 图片,字体等信息。
同源政策(same-origin policy)
TKOP_的博客
04-20 1697
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
讲清楚同源、跨源、同站、跨站
YopenLang的博客
01-20 4290
鹏哥儿最近重新回顾了一下XSS(Cross Site Script)和CSRF(Cross Site Request Forgery),又联系到cookie的同源策略(Same-origin policy),发现自己对**源**(origin)和**站**(site)有些混淆,所以找了篇优秀的文章:*Understanding "same-site" and "same-origin"*,来对两者加以区分。............
HTTP常用请求头与请求体实例
热门推荐
BHSZZY的博客
07-16 1万+
HTTP概要 HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。 HTTP基于TCP/IP通信协议来传递数据。 HTTP默认端口号为80。 (HTTPS默认端口号为443。) HTTP请求与响应 1.get无参请求与响应: get无参请求(cookie有删减): GET / HTTP/1.1 Host: www.baidu.com Connection: keep-alive.
前端跨域解决方案总结
丑小鸭变黑天鹅的博客
02-20 4189
前端跨域解决方案总结一、什么是跨域?二、为什么会产生跨域三、常见的跨域场景四、9种跨域解决方案1、JSONP跨域1、概述2、实现流程3、jsonp简单实现1)、原生JS实现2)jquery Ajax实现:3)Vue axios实现:4)、后端node.js代码:2、跨域资源共享(CORS) 一、什么是跨域? 在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。 二、为什么会产生跨域 因为浏览器内部有一种约定叫做同源策略它是浏览器最核心也最基本的安全功能,如果缺少了同源

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值