跨域学习总结

最新推荐文章于 2024-08-13 07:45:28 发布
最新推荐文章于 2024-08-13 07:45:28 发布
阅读量256 收藏
点赞数
分类专栏: java springboot cos 文章标签: java ajax http
原文链接:https://www.cnblogs.com/yuansc/p/9076604.html
版权
java 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
springboot
11 篇文章 0 订阅
订阅专栏
cos
1 篇文章 0 订阅
订阅专栏

浏览器同源

概念

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

定义

如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”。

同源判断

下表给出了与 URLhttp://mail.163.com/index.html 的源进行对比的示例:

URL结果
http://mail.163.com/dir2/other.html同源(只有路径不同)
http://mail.163.com/dir2/another.html同源(只有路径不同)
https://mail.163.com/index.html失败(协议不同)
http://mail.163.com:81/index.html失败(端口不同 , http:// 默认端口是80)
http://blog.163.com/index.html失败(主机不同)

http://mail.163.com/index.html

  1. http://:这个是协议,也就是HTTP超文本传输协议,也就是网页在网上传输的协议。
  2. mail:这个是服务器名,代表着是一个邮箱服务器,所以是mail.
  3. 163.com:这个是域名,是用来定位网站的独一无二的名字
  4. mail.163.com:这个是主机名(网站名),由服务器名+域名组成
  5. /:这个是根目录,也就是说,通过网站名找到服务器,然后在服务器存放网页的根目录
  6. index.html:这个是根目录下的默认网页(当然,163的默认网页是不是这个我不知道,只是大部分的默认网页,都是index.html)

跨域

概念

不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象就需要跨域。 在同源策略的限制下,非同源的网站之间不能发送 AJAX (Asynchronous Java and XML的缩写)请求。
当浏览器发现发现的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.

示例(预检请求)

浏览器会在真实请求发出前,增加一次OPTION请求,称为预检请求(preflight request)。预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作

access-control-request-headers: api-version,content-type,current-city,token,x-token
access-control-request-method: GET
cache-control: no-cache
origin: https://platform-te.reach.cn
pragma: no-cache
referer: https://platform-te.reach.cn/
sec-fetch-dest: empty
sec-fetch-mode: cors
sec-fetch-site: same-site

Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域。
与简单请求相比,除了Origin以外,多了两个头:

  • Access-Control-Request-Method:接下来会用到的请求方式
  • Access-Control-Request-Headers:自定义头字段头信息

服务器收到请求时,需要分别对 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回 HTTP 头信息中添加 :

access-control-allow-credentials: true
access-control-allow-headers: api-version, content-type, current-city, token, x-token
access-control-allow-methods: OPTIONS,HEAD,GET,PUT,POST,DELETE,PATCH
access-control-allow-origin: https://platform-te.reach.cn
access-control-expose-headers: Origin, Accept, Content-Type, AccessToken
  • Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*,代表任意
  • Access-Control-Allow-Credentials:是否允许用户发送、处理 cookie,默认情况下,cors不会携带cookie,true为允许携带
  • Access-Control-Allow-Methods:真实请求允许访问的方式
  • Access-Control-Allow-Headers:允许携带的头

如果浏览器得到上述响应,则认定为可以跨域。

SpringBoot配置Cors解决跨域问题

某一接口

@RequestMapping上添加@CrossOrigin

一系列接口

controller上添加@CrossOrigin

全局配置

CorsConfiguration

转载来源: 域名、主机名与URL.
转载来源: SpringBoot配置Cors解决跨域请求问题.
转载来源: Ajax原理.

草莓盼盼是胖胖
关注
专栏目录
MVC中跨域解决方案
08-21
总结来说,MVC中处理跨域问题主要依赖于CORS机制,通过配置中间件、过滤器或Web.config文件来允许特定的源进行跨域访问。同时,也可以考虑JSONP、后端代理等其他解决方案。在实际项目中,应根据安全性和需求选择合适...
【深入浅出HTTPS】理解HTTP
qq_44869043的博客
05-18 3240
本文参考【深入浅出HTTPS】(作者:虞卫东)书籍,github地址:https://github.com/ywdblog/httpsbook 文章目录HTTP的定义HTTP语义 HTTP的定义 HTTP:超文本传输协议,它是在互联网中在客户端和服务器进行通信的一种规则,它规定了客户端可以用什么文本格式、 HTTP语义 HTTP消息包括两个部分:HTTP语义和HTTP实体。 http 消息由三部分组成: 请求行或响应行 HTTP 头部(请求头、响应头) HTTP 实体 (请求实体、响应实体) 请求行、响
前端那些事系列之基础篇http(三)
Anissa000的博客
09-27 1840
http请求相关参数配置,跨域请求和预检请求的相关介绍,http状态码
web5-HTTP/HTTPS
growing_duck的博客
11-01 1917
httphttps解析
Sec-Fetch-*请求头,了解下?
juruiyuan111的专栏
03-17 3216
如果你使用76+版本的chrome浏览器,通过开发者面板查看每个网络请求,会发现都有几个Sec-Fetch开头的请求头,例如访问百度首页https://www.baidu.com/的请求: Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 这是用来干嘛的呢,简单来说,就是网络请求的元数据描述,服务端根据这些补充数据进行细粒度的控制响应,换句话说,服务端可以精确...
HTTP报文
凉茶铺的博客
07-22 2057
HTTP报文是在HTTP应用程序之间发送的数据块(用于HTTP协议交互的信息)。请求端(客户端)的HTTP报文叫做请求报文,响应端(服务器端)的叫做响应报文。
Python项目跨域问题解决方案
09-16
### Python项目跨域问题解决方案详解 #### 一、引言 在现代Web开发中,由于浏览器的安全策略限制,跨域问题成为了开发者们经常遇到的问题之一。对于使用Python进行后端开发...希望本文能对大家的学习和工作有所帮助。
js跨域资源共享 基础篇
10-22
### 跨域资源共享(CORS)基础篇知识点 #### 1. 跨域资源共享(CORS)概念 跨域资源共享(CORS)是一个W3C标准,它允许一个域(源)上的...通过上述内容的学习,可以为实现安全、有效的跨域资源共享打下坚实的基础。
springboot配置允许跨域访问代码实例
08-25
SpringBoot配置允许跨域访问代码实例 SpringBoot框架通常用于前后端分离项目,因此需要配置...这些知识点对大家的学习和工作具有重要的参考价值。需要的朋友可以根据自己的需求进行配置和修改,以满足自己的需求。
HTTP协议解析
zyyy0的博客
01-03 1048
HTTP (全称为 "超文本传输协议") 是一种应用非常广泛的应用层协议~~我们平时打开一个网站, 就是通过 HTTP 协议来传输数据的。HTTP工作过程:当我们在浏览器中输入一个 "网址",此时浏览器就会给对应的服务器发送一个 HTTP 请求,对方服务器收到这个请求之后,经过计算处理,就会返回一个 HTTP 响应这个过程中浏览器可能会给服务器发送多个 HTTP 请求, 服务器会对应返回多个响应, 这些响应里就包含了页面HTML, CSS, JavaScript, 图片,字体等信息。
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 5253
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
GET、POST的区别、抓包GET改POST、http请求头参数、状态码
03-01 8009
http请求头相关必看知识
同源政策(same-origin policy)
TKOP_的博客
04-20 1870
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
前端跨域解决方案总结
丑小鸭变黑天鹅的博客
02-20 4809
前端跨域解决方案总结一、什么是跨域?二、为什么会产生跨域三、常见的跨域场景四、9种跨域解决方案1、JSONP跨域1、概述2、实现流程3、jsonp简单实现1)、原生JS实现2)jquery Ajax实现:3)Vue axios实现:4)、后端node.js代码:2、跨域资源共享(CORS) 一、什么是跨域? 在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。 二、为什么会产生跨域 因为浏览器内部有一种约定叫做同源策略它是浏览器最核心也最基本的安全功能,如果缺少了同源
Sec-Fetch-Site
最新发布
weixin_63490470的博客
08-13 637
Fetch Metadata 是W3C提出的Web API的一部分,它为HTTP请求和响应添加了额外的元数据。这些元数据可以帮助服务器和客户端更好地理解请求和响应,从而提高Web应用程序的性能和安全性。
跨域问题总结
cr7258的博客
07-03 5006
什么是跨域? 同源策略 跨域问题其实就是浏览器的同源策略所导致的。同源策略是一个重要的安全策略,它用于限制一个 origin 的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 当跨域时会收到以下错误: 跨域是浏览器还是服务器的限制? 当一个跨域请求在浏览器端发送出去后,后端服务会收到的请求并且也会处理和响应,只不过浏览器在解析这个请求的响应之后,发现不满足浏览器的同源策略(协议、域名和端口号均相同),也没有包含正确的 CORS 响应头,就拦截了这个响应。
Vue的跨域问题
仰望星空下的自己
12-20 361
最近一直在学习Vue前端框架,目前遇到了Api接口请求跨域的问题,记录下来方便大家参考,这也是在和前端的朋友确认后才写的文章。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值