跨域问题详解

最新推荐文章于 2023-10-25 17:10:20 发布
最新推荐文章于 2023-10-25 17:10:20 发布
阅读量2.6w 收藏 9
点赞数 4
分类专栏: http 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44110772/article/details/113520519
版权

为什么会出现跨域问题

同源策略

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

什么是跨域

url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

非同源限制

【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB
【2】无法接触非同源网页的 DOM
【3】无法向非同源地址发送 AJAX 请求

跨域问题解决

CORS

跨域资源共享(Cross-Origin Resource Sharing, CORS)是一种解决跨域请求的方案,其机制是使用一组额外响应头(Access-Control-Allow-Origin)和预检请求(OPTIONS)来使浏览器有权使用非同源资源。

需要注意

我可以在网关层或者单个服务解决跨域问题,但是别重复解决,否则会出现重复配置问题。

Access to XMLHttpRequest at ‘https://xxx.com/category/list?orgId=1’ from origin 
‘http://localhost:8080’ has been blocked by CORS policy: The ‘Access-Control-Allow-Origin’ header 
contains multiple values ‘*, *’, but only one is allowed.
spring、spring boot 解决跨域问题

跨域问题的解决,无非是在响应给浏览器的时候,在请求头中告诉浏览器我允许跨域。
我们可以在过滤器、拦截器中,在响应的请求头中增加对跨域的支持。

public class CorsInterceptor extends HandlerInterceptorAdapter {
	@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        // 允许跨域                      
		response.addHeader("Access-Control-Allow-Origin", "*");
		// 允许前端携带cookie:启用此项后,上面的域名不能为'*',必须指定具体的域名
        // response.addHeader("Access-Control-Allow-Credentials", "true");
        // 允许跨域的方法
        response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT,PATCH, HEAD");
        // 允许跨域的头
        response.addHeader("Access-Control-Allow-Headers", "Content-Type, X-Requested-With");
        // 跨域的有效期,在有效期内,无需检查跨域问题
        response.addHeader("Access-Control-Max-Age", "3600");

		// 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
		// response.addHeader("Access-Control-Expose-Headers", "XXX");
		
        return super.preHandle(request, response, handler);
    }        
}

cookie怎么跨域传递

前后端都需要进行处理
前端:

var xhr = new XMLHttpRequest(); 
xhr.withCredentials = true

后端:

response.setHeader("Access-Control-Allow-Credentials", "true");

Referrer Policy

referer参数是http请求头header里的一个关键参数,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接

no-referrer
整个 Referer 首部会被移除。访问来源信息不随着请求一起发送

no-referrer-when-downgrade (默认值)
在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。

origin
在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。

origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。

same-origin
对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息

strict-origin
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。

strict-origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。

unsafe-url
无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全的策略了)

本吹灯
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Nginx反向代理解决跨域问题详解
01-10
问题 在之前的分享的跨域资源共享的文章中,有提到要注意跨域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题。 解决思路 一般来说,与后台利用CORS跨域资源共享将Access-Control-Allow-Origin设置为访问的域名即可,这个需要后台的配合,且有些浏览器是不支持的。 基于与合作方后台的配合,利用nginx方向代理来满足浏览器的同源策略来实现跨域 实现方法 反向代理概念 反向代理(Reverse Proxy)方式是指以代理服务器来接受In
完美解决浏览器跨域的几种方法(汇总)
12-03
1、什么是跨域问题 在页面中使用js访问其他网站的数据时,就会出现跨域问题,比如在网站中使用ajax请求其他网站的天气、快递或者其他数据接口时,以及hybrid app中请求数据,浏览器会提 示一下错误: XMLHttpRequest cannot load http://你请求的域名. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Originhttp://当前页的域名’ is therefore not allowed access. 2、为什么会出现跨域问题 因为浏览器收到同
vue使用代理解决请求跨域问题详解
01-19
在日常开发中,我们前端必不可少的需要像后端请求数据。 但是一般前后端分离,所以域名、端口等肯定不尽相同,这样就不可避免的会遇到浏览器的同源策略限制。 在一般情况下,后端都会设置请求跨域允许的来源、方法等。 但是也保不准后端疏忽而忘记这个问题。 那为了不影响我们的开发,前端只能被动的去找后端解决跨域问题。 其实,我们前端也可以解决跨域问题,那就是使用代理。 举个例子: 我请求的地址是这个:http://192.168.12.36:9000/api/SourceManager 但是我本地的vue项目的端口号是8080,这里就涉及到了端口号不一致导致的同源策略问题(别想着改成同端口,会冲突)、 那么
使用Spring CROS解决项目中的跨域问题详解
08-25
主要介绍了使用Spring CROS解决项目中的跨域问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决 strict-origin-when-cross-origin 问题
时间静止
02-01 12万+
使用90版本之后的谷歌浏览器, 在部署前端项目后, 调用后端接口出现 strict-origin-when-cross-origin, 并且静态资源被拦截的情况的解决
SpringBoot实现前后端分离的跨域访问(CORS)
02-25
简单来说,CORS是一种访问机制,英文全称是Cross-OriginResourceSharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin即可。CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个”预检”请求,待服务器批准后才能真正发起跨域访问请求。根据官方文档W3C规范-CORS的描述,目前CORS使用了如下头部信息:注:请求
strict-origin-when-cross-origin
m0_72712500的博客
09-28 3万+
*strict-origin-when-cross-origin工作方式、strict-origin-when-cross-origin使用实例及错误码。
谷歌浏览器strict-origin-when-cross-origin 解决
weixin_48687496的博客
03-26 15万+
解决谷歌浏览器strict-origin-when-cross-origin 跨域问题
记录一次strict-origin-when-cross-origin的错误
热门推荐
weixin_43405946的博客
06-25 21万+
用了异步的情况下,是因为http协议的问题。 我们平台用的是http,直接输入域名,默认是https导致的错误。 谷歌的90之后版本,默认会带https 错误复现: 输入xxx.com -----> 90版本的chrome: https://xxx.com 报: strict-origin-when-cross-origin Referer-Policy Referer 请求头可能暴露用户的浏览历史,涉及到用户的隐私问题。所以 HTTP 提供了 Referrer-Policy 标头,其用来监.
项目中遇到的一些问题总结(四)
m0_51431003的博客
05-18 4318
I/O多路复用指的是一种通过单个线程管理多个I/O请求的机制。具体来说,它允许一个线程监视多个Socket通道,并且只有在至少一个通道准备好进行I/O操作时,该线程才会开始执行实际的I/O操作。因此,I/O多路复用能够大幅度减少线程数量,提高系统的并发性能,也能够更有效地使用系统资源。常见的I/O多路复用技术有三种:select、poll和epoll。这些技术都使用同一个系统调用来注册一组文件描述符,并在其中一个描述符上发生I/O事件时通知应用程序。它们之间的区别在于在高负载情况下的性能表现不同。
JS跨域问题详解
10-25
本文结合实际,分两种情况讨论跨域技术:首先讨论不同子域的跨域技术,然后讨论完全不同域的跨域技术。有需要的小伙伴可要看仔细了。
Angular4开发解决跨域问题详解
08-29
本篇文章主要介绍了Angular4开发解决跨域问题详解。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Vue axios与Go Frame后端框架的Options请求跨域问题详解
10-15
主要介绍了Vue axios与Go Frame后端框架的Options请求跨域问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Vue-cli proxyTable 解决开发环境的跨域问题详解
08-30
本篇文章主要介绍了Vue-cli proxyTable 解决开发环境的跨域问题详解,非常具有实用价值,需要的朋友可以参考下
HTTP 响应字段 strict-origin-when-cross-origin 的含义介绍
最新发布
SAP 资深技术专家 Jerry Wang 的技术分享
10-25 3006
Referrer Policy 是一个 HTTP 响应头部字段,用于控制浏览器在发送跳转请求时,将当前页面的 URL 信息如何包含在 Referer 首部字段中。下面我将详细解释 Referrer Policy 的工作原理,并提供一些示例来说明它的应用。
【 一strict-origin-when-cross-origin错误 】
u012632105的博客
05-22 5925
https://blog.csdn.net/weixin_43405946/article/details/118221871
Google谷歌浏览器Post请求预见strict-origin-when-cross-origin跨域问题的 解决办法
Spring Boot-Common On With You
12-12 2万+
关于这个问题,后端接口开发完成,前端功能界面和函数方法体编写完成后,博主在前后端联调的时候遇到的,接口是调用成功了,但是没有返回任何结果,错误信息:“”
谷歌浏览器请求 strict-origin-when-cross-origin 跨域问题,解决方法之一
IT_dabai的博客
04-04 5022
项目打包部署在内网后,index.html 里通过script标签引入的其他链接资源不能正常请求,报的是跨域错误
利用nginx反向代理解决iframe跨域问题详解
05-01
随着Web应用程序的不断发展,越来越多的Web开发者需要处理跨域访问的问题。尤其在网站开发中,标签<iframe>存在一些跨域问题,需要得到解决。 解决这些问题的一种方案是使用反向代理服务器。Nginx是一个功能强大的开源服务器软件,可以用来提供反向代理服务,也可以作为Web服务器、邮件服务器和负载均衡器。 在使用Nginx作为反向代理服务器时,可以按如下步骤解决iframe跨域问题: 1.安装和配置Nginx。首先,您需要在服务器上安装Nginx,并确保nginx.conf文件正确配置。配置反向代理服务器,将请求从原始服务器发送到新的服务器。 2.设置虚拟主机。为了使Nginx适用于您的网站,需要设置虚拟主机,配置主机的ip格式和端口号。通常情况下,虚拟主机可以支持多个域名和主机名,可以同时接收多个请求。 3.设置location指令。为了完成反向代理任务,可以使用location指令,将请求传递给正确的服务器,并且从指定的URL获取响应。具体而言,您需要在nginx.conf文件中指定location指令,并告诉Nginx需要向哪个服务器发送请求。 4.启用SSL。如果您的网站需要安全的传输,比如HTTPS,那么您可以使用SSL/TLS加密功能。在Nginx中配置SSL,需要使用SSL module或者OpenSSL来启用。 总之,Nginx是一个非常强大的反向代理服务器,可以很好地解决网站开发中的问题。利用其反向代理功能,您可以很容易地解决iframe跨域访问的问题,确保您的Web应用程序能够正常运行并保持安全性和高可用性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值