关于跨域资源共享(CORS)的前后端异常分析.[has been blocked by CORS policy: Request header field access-control-allow-]

已于 2022-12-07 17:58:02 修改
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 犯傻笔记 debug 前端备忘录 文章标签: spring boot java 前端
于 2022-12-07 17:56:36 首次发布
╰★つ没有卑躬屈膝换来的尊重、没有委曲求全换来的友谊_______________-、-、-、
本文链接:https://blog.csdn.net/weixin_44021270/article/details/128223580
版权

关于跨域资源共享(CORS)的前后端异常分析

目录

什么是跨域资源共享 (CORS)

CORS是一种网络通信技术,全称Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。

通常前端会报异常

Access to XMLHttpRequest at 'http://ip:port/uri' 
from origin 'http://ip:port' 
has been blocked by CORS policy: 
Request header field token is not allowed by 
Access-Control-Allow-Headers in preflight response.
  • Console里的异常信息Console里的异常信息
  • Issues里的异常信息Issues里的异常信息

解决办法

乍一看以为是前端的问题,其实后端根据前端的要求,配置好就可以解决了
  1. 首先CORS是前后端的一种协商协议,即它不是上来就规定死不可变的,所以这个问题需要前后端配合解决。后端配置可以接收什么参数,前端就可以在请求发什么东西
  2. 正常来讲,网上帖子会让在对应的 Controller 上加上 @CrossOrigin 注解,或者在 springBoot 里面写一个配置类实现全局跨域,也有说要写拦截器Fileter的。可能由于我的项目本身就已经写了拦截器(推测是请求先到过滤器,就被打回了,没有获取到跨域配置?),只做 @CrossOrigin 注解 或 只写配置类实现全局跨域,在我这儿都不好使。
  3. 我这里使用的全局跨域配置 + 拦截器设置 ,一起才解决了问题。
  4. 有一点要特别说明一下,有些帖子里在过滤器会告诉你要给response设置Header的时候,后面跟了许多,分割的单词,这里的每个单词代表了允许在请求的Header里设置的key
response设置Header

response设置Header

请求头里允许设置的key

请求头里允许设置的key
5.直接上代码

Cors配置
package com.sinosoft.common.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author RedRush
 * @date 2022/12/6 11:33
 * @description: Cors配置
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    static final String ORIGINS[] = new String[] { "GET", "POST", "OPTIONS", "PUT", "DELETE" };

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*") // 所有的当前站点的请求地址,都支持跨域访问。
                .allowedOrigins("*") // 所有的外部域都可跨域访问。 如果是localhost则很难配置,因为在跨域请求的时候,外部域的解析可能是localhost、127.0.0.1、主机名
                .allowCredentials(true) // 是否支持跨域用户凭证
                .allowedMethods(ORIGINS) // 当前站点支持的跨域请求类型是什么
                .allowedHeaders("*")
                .maxAge(3601); // 超时时长设置为1小时。 时间单位是秒。
    }
}
过滤器配置
package com.sinosoft.common.filter;

import com.sinosoft.common.pojo.CachePojo;
import com.sinosoft.utils.*;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.*;

/**
 * @author RedRush
 * @date 2022/11/30 9:22
 * @description: 登录过滤器
 */
@Slf4j
public class LoginFilter implements Filter {

    // 路由过滤白名单
    private final Set<String> whiteURI = new HashSet() {  // 这个括号用来创建匿名内部类
        {  // 这个括号表示是匿名内部类的实例初始化块
            add("/employee/login");
        }
    };


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        try {
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            // 处理跨域
            dealCors(httpRequest, httpResponse);
            String uri = httpRequest.getRequestURI();
//        String uri = httpRequest.getServletPath();
            // 判断是否需要过滤
            if(shouldFilter(uri)){
                String token = httpRequest.getHeader("token");
                log.info("token=" + token);
                // 如果token为空
                if(StringUtils.isEmpty(token)){
                    httpResponse.setCharacterEncoding("UTF-8");
                    PrintWriter out = httpResponse.getWriter();
                    Map<String, Object> result = ResultUtils.setTaskStateWithCode("401", "用户未登录", false);
                    out.append(result.toString());
                    return;
                }
                // 校验token 不通过同上return
            }
            log.info("过滤通过,允许访问:" + uri);
            chain.doFilter(request, response);
        }catch (Exception e){
            e.printStackTrace();
            log.error("过滤器异常:" + e.getMessage());
            response.setCharacterEncoding("UTF-8");
            PrintWriter out = response.getWriter();
            Map<String, Object> result = ResultUtils.setTaskStateWithCode("500", "系统内部异常", false);
            out.append(result.toString());
            return;
        }

    }

    /**
     * @Author: RedRush
     * @Date:   2022/11/30 11:23
     * @param uri 路径是否需要过滤
     * @Return: boolean
     * @description: 白名单/黑名单过滤
     */
    private boolean shouldFilter(String uri){
        return !whiteURI.contains(uri);
    }
	// 处理跨域
    private void dealCors(HttpServletRequest request, HttpServletResponse response){
        log.info("处理跨域=====");
        if(StringUtil.strIsEmpty(request.getHeader("Origin"))){
            response.setHeader("Access-Control-Allow-Origin", "*");
        }else{
            response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        }
//        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, permission, " +
//                "WG-App-Version, WG-Device-Id, WG-Network-Type, WG-Vendor, WG-OS-Type, WG-OS-Version, WG-Device-Model, " +
//                "WG-CPU, WG-Sid, WG-App-Id, WG-Token");
        response.setHeader("Access-Control-Allow-Headers", "*");
        response.setHeader("Access-Control-Expose-Headers", "*");
        response.setHeader("Access-Control-Allow-Methods", "*");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Credentials", "true");

        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            return;
        }
    }

    @Override
    public void destroy() {

    }
}
  1. 前端处理这块,我觉得就是可以不用处理……有些帖子说要写下面这些代码,配置跨域,
// 跨域
// 指定允许其他域名访问
axios.defaults.headers.common['Access-Control-Allow-Origin'] = '*'
// 响应类型
axios.defaults.headers.post['Access-Control-Allow-Methods'] = 'POST'
// 响应头设置
axios.defaults.headers.common['Access-Control-Allow-Headers'] = 'x-requested-with,content-type'
  • 但是这些响应头,要在后端里都允许了才可以,如果这三个请求头后端本身就禁止了,那又要找半天问题。你前端发请求说允许哪些不算数,所以感觉没啥意义。
  • 所以这三个配置项我都注掉了。
旗袍不开、怎么得胜?
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
主要介绍了已解决:No 'Access-Control-Allow-Origin' 跨域,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置跨域请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
nginx 版本 1.11.3 使用大家说的以下配置,验证无效,跨域问题仍然存在 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*';
前端跨域问题的解决方案Access to XMLHttpRequest at ‘http..’ from origin ‘null‘ has been blocked by CORS policy
热门推荐
weixin_40756509的博客
03-25 25万+
前言: 在前端发出Ajax请求的时候,有时候会产生跨域问题,报错如下: Access to XMLHttpRequest at 'http://127.0.0.1/api/post' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 针对以上问题,本文提供两种解决方案,CORS中间件和JSO
has been blocked by CORS policy: Request header field secret is not allowed by Access-Control-Allow-
MFWSCQ的博客
10-29 1万+
​ _getData({ url: 'xxxxxx', para: { DeviceName: 'test', IP: "192.168.66.99", }, contentType: 'application/json', beforeSend: function (xhr) { xhr.setRequestHeader('Secret', 'xxx'); xhr.setRequestHeader(.
CORS error错误 has been blocked by CORS policy前端请求浏览器出错
qq_41966761的博客
10-14 3万+
问题简述 通过vue的axious拦截全局请求在请求头上加了identify和token字段后,访问后端zuul网关,浏览器出现错误,导致后台接收不了http包的自定义header字段,并不能很好的进行网关的鉴权。 错误如下: Access to XMLHttpRequest at ‘http://127.0.0.1:27000/api/v1/index-infos’ from origin ‘http://’ has been blocked by CORS policy: Request header
axios/ajax 请求头部添加自定义字段报错(has been blocked by CORS policy: Request header field authorization is ...
alxw2010的博客
05-12 2636
这个错误是由于浏览器的安全机制所引起的,即跨域资源共享CORS)策略。当浏览器发现一个跨域请求时,会发送一个预检请求(Preflight Request)来确认服务器是否允许跨域请求。在预检请求中,浏览器会检查请求头中的字段是否被服务器允许。如果请求头中包含了服务器不允许的字段,就会报错。解决方法:在服务器端的响应头中添加Access-Control-Allow-Headers字段,指定允许的请求头字段,包括自定义的字段。其中,custom-header是你自定义的请求头字段。
前后端分离常见跨域问题及解决方法
NQ31
04-25 4065
常见的跨域问题对应的处理方法
nginx使用笔记
龙啸九天的专栏
04-06 1019
cmd 进入Nginx解压目录 执行以下命令 start nginx : 启动nginx服务 nginx -s reload :修改配置后重新加载生效 nginx -s reopen :重新打开日志文件 nginx -t -c /path/to/nginx.conf 测试nginx配置文件是否正确 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略.
by CORS policy: Request header field headers is not allowed by Access-Control-Allow-Headers in
~牧马~
11-10 3272
报错:Access to XMLHttpRequest at ‘http://xxx.xxx.xxx.xx:8080/api/user/seekorg/’ from origin ‘http://localhost:8080’ has been blocked by CORS policy: Request header field headers is not allowed by Access-Control-Allow-Headers in preflight response. 翻译:通过“http
Allow CORS Access-Control-Allow-0.1.9.zip
最新发布
12-26
名称:Allow CORS Access-Control-Allow ---------------------------------------- 版本:0.1.9 作者:Muyor 分类:生产工具 ---------------------------------------- 概述:轻松将(Access-Control-Allow-Origin...
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域 CORS Access-Control-Allow-Origin cors-filter-2.6.jar java-property-utils-1.9.1.jar
has been blocked by CORS policy: Request header field aaa is not allowed by Access-Control-Allow-Hea
放羊的小孩
11-28 1万+
Vue项目中使用axios作为http请求库,我想在get请求中添加一个自定义的请求头,结果在我请求数据的时候,就报出了跨域的问题. 给http请求添加自定义的请求头参数很常用,如我给我的请求添加token给服务端验证请求的合法性等,我在我的项目中给所有的get请求添加了一个aaa参数,结果我在使用get请求数据的时候,报出了跨域问题的异常信息.报的信息如下: Access to XMLHt...
has been blocked by CORS policy: No ‘Access-Control-Allow-Origin‘ 前后端设置跨域问题解决过程
zhanxiaochu的博客
08-31 3万+
经过多次遇到坑,找了很多资料,有nginx配置,前端页面添加,等但是这些都没有解决遇到问题,下面是本人遇到的情况并解决步骤过程,希望看到对你有所帮助: 开发页面渲染生成海报,并保存 问题原因: 解决过程:1:通过查询诸多资料:nginx代理配置域名新增(这个是大部分建议的结果): location ^~ /third_image/ { add_header 'Access-Control-Allow-Origin' "$http_origin" always;...
前端学习(2442):解决跨域问题
歌谣的博客
10-20 1503
1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹 允许 http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允许 http:
blocked by CORS policy: Request header field token is not allowed by Access-Control-Allow-Headers in
Ggome的博客
05-11 4711
原因跨域设置没有设置token名称,将token加入请求跨域请求头里面即可。
apache设置服务端允许跨域访问解决has been blocked by CORS policy问题
bluecat333的博客
01-16 5964
一、前言   前后端分离开发比较流行,这就对本机测试带来一定麻烦,首先就是跨域问题,当前后端都部署在本机后都使用localhost域名访问就会被浏览器拦截。   这里基于phpstudy集成环境的apache服务端进行设置,解决跨域问题,同时也能解决以下两个常见的前端请求异常。 has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Contro
babel编译时出现:Error: Cannot find module ‘@babel/core‘
旗袍不开、怎么得胜?
07-07 8305
babel编译时出现:Error: Cannot find module ‘@babel/core’ ERROR in ./src/index.js Module build failed (from ./node_modules/[email protected]@babel-loader/lib/index.js): Error: Cannot find module '@babel/core' Require stack: - D:\work\HBuilderXWorkspace\react\01
nginx strict-origin-when-cross-origin
04-30
nginx strict-origin-when-cross-origin是一种安全策略,用于防止跨站请求伪造(CSRF)攻击。这个策略告诉浏览器在跨域请求时,只能将请求的源信息发送给服务器,不允许发送任何其他信息,比如cookie或HTTP头。源信息可以告诉服务器请求是从哪个域名来的,在服务器端可以相应地加以处理。这样可以有效地防止黑客攻击者伪造请求来篡改用户信息或执行其他危险操作的企图。 Nginx是一个高性能的Web服务器和反向代理服务器,可以配置strict-origin-when-cross-origin策略,提供数据安全保障。这个策略可以使用nginx的add_header指令来实现,在nginx配置文件中使用以下语法: add_header Cross-Origin-Opener-Policy "same-origin"; add_header Cross-Origin-Embedder-Policy "require-corp"; add_header Cross-Origin-Resource-Policy "same-origin"; 这个指令可以为HTTP响应头添加特定的Cross-Origin-xxx-Policy,分别对应着 Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy的配置。Cross-Origin-Opener-Policy用于限制新窗口访问请求的origin;Cross-Origin-Embedder-Policy用于限制嵌入资源访问请求的origin;Cross-Origin-Resource-Policy用于限制第三方资源访问请求的origin。这样,添加了这些配置后,nginx就可以根据这些策略来限制跨域的访问请求,有效地保护了数据安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值