CORS同源策略解决跨域方式

最新推荐文章于 2024-05-15 22:50:31 发布
最新推荐文章于 2024-05-15 22:50:31 发布
阅读量375 收藏 4
点赞数 1
分类专栏: 跨域 文章标签: 前端 java vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45676887/article/details/128382374
版权

介绍

跨源资源共享(Cross-Origin Resource Sharing,CORS)是一种机制,它允许浏览器向其他域发出请求。

在 web 应用中,由于安全原因,浏览器会限制从一个源加载的脚本访问页面的其他源。这种限制被称为跨源资源共享(CORS)限制。

CORS 工作的方式是,当浏览器发送一个跨源请求时,会发送一个预请求(preflight request)到服务器,询问服务器是否允许这个请求。服务器收到预请求后,会返回一个响应头(Access-Control-Allow-Origin),告诉浏览器是否允许这个请求。如果服务器允许这个请求,浏览器才会发出实际的请求。

CORS 通常用于解决浏览器访问跨域资源的问题。例如,如果你有一个应用 A,它在 domain1.com 上运行,它想要访问 domain2.com 上的资源,那么你就需要使用 CORS 来解决这个问题。

跨域解决方案一:

前端vue使用代理解决:

在vue.config.js文件里写如下内容:

module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'http://localhost:8080/', //设置要访问的域名和端口号
        changeOrigin: true, //设置为跨域
        pathRewrite: {
          '^/api': '/' //这里理解成用‘/api'代替target里面的地址,在后面发起请求时,/api就会代替target中的值,可以实现跨域
        }
      }
    }
  }
}

然后在请求里面添加/api前缀,比如:

之前是:

axios.create({
	timeout: 15000, // 请求超时时间
	baseURL: 'http://localhost:8080/',
	method: 'post',
	headers: {
		'Content-Type': 'application/json;charset=UTF-8'
	},
	withCredentials :false,
})

现在改成:

axios.create({
	timeout: 15000, // 请求超时时间
	baseURL: '/api/',
	method: 'post',
	headers: {
		'Content-Type': 'application/json;charset=UTF-8'
	},
	withCredentials :false,
})

就解决了跨域问题。

注意:
withCredentials = true

这一条要求在请求头里带上cookie,划重点啊,如果前端配置了这个withCredentials=true,后段设置Access-Control-Allow-Origin不能为 " * ",必须是你的源地址啊

header("Access-Control-Allow-Origin","源地址";
header("Access-Control-Allow-Credentials", "true");

因为从安全性考虑,*是所有的域名都可以读取到数据,可能会读取到cookie等敏感数据。

跨域解决方案二(CORS):

前端无需更改,后端使用springboot的@CrossOrigin注释来解决:(origins后面的值是前端的域名和端口号,也可以设置为*:代表所以请求,也可不设置)

@CrossOrigin(origins = "http://localhost:8081", maxAge = 3600)
@RestController
public class MyController {
    // controller methods go here
}

然后在application.properties文件里面添加配置

# 允许的来源
spring.cors.allowed-origins=*
# 允许的请求方法
spring.cors.allowed-methods=GET,POST,PUT,DELETE,OPTIONS
# 允许的请求头
spring.cors.allowed-headers=*
# 是否支持 cookie 跨域
spring.cors.allow-credentials=true
# 预检请求的有效期,单位是秒
spring.cors.max-age=3600

跨域解决方案三(CORS):

(1)前端无需更改,后端使用SSM的过滤器:

使用过滤器来实现跨源资源共享(CORS),你可以这样做:

  1. 创建一个过滤器类,并实现 javax.servlet.Filter 接口。
  2. 在过滤器类中重写 doFilter 方法。在这个方法中,你可以获取当前的 HttpServletRequestHttpServletResponse 对象,并在响应头中添加跨域相关的信息。

下面是一个示例过滤器类:

public class CORSFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.setHeader("Access-Control-Allow-Origin", "*");
        res.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
        res.setHeader("Access-Control-Max-Age", "3600");
        res.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
        chain.doFilter(request, response);
    }
    // ... other methods
}
  1. 在你的web.xml中注册过滤器。
<filter>
    <filter-name>CORSFilter</filter-name>
    <filter-class>com.example.CORSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CORSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

这样,你就可以使用过滤器来实现 CORS 了。

(2)如果使用的是springboot没有web.xml文件的话,可以使用 Spring Boot 的自动配置机制来配置 CORS。

  1. 创建一个过滤器类,并实现 javax.servlet.Filter 接口。
  2. 在过滤器类中重写 doFilter 方法。在这个方法中,你可以获取当前的 HttpServletRequestHttpServletResponse 对象,并在响应头中添加跨域相关的信息。

下面是一个示例过滤器类:

public class CORSFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.setHeader("Access-Control-Allow-Origin", "*");
        res.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
        res.setHeader("Access-Control-Max-Age", "3600");
        res.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
        chain.doFilter(request, response);
    }
    // ... other methods
}
  1. 创建一个过滤器配置类,并使用 @Bean 注解将过滤器注册到 Spring 容器中。
@Configuration
public class CORSFilterConfig {
    @Bean
    public FilterRegistrationBean<CORSFilter> corsFilter() {
        FilterRegistrationBean<CORSFilter> bean = new FilterRegistrationBean<>();
        bean.setFilter(new CORSFilter());
        bean.addUrlPatterns("/*");
        return bean;
    }
}

这样,你就可以使用 Spring Boot 的自动配置机制来配置 CORS 了。

zhu_xiaotong
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅析同源策略跨域访问
11-22
1. 什么是同源策略      理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。    同源策略:         浏览器的同源策略,限制了来自不同源的”document”或脚本,对当前”document”读取或设置某些属性。 (白帽子讲web安全[1])         从一个域上加载的脚本不允许访问另外一个域的文档属性。     举个例子:         比如一个恶意网站的页面通过iframe嵌入了银行的登录页
CORS策略
weixin_42847626的博客
07-22 321
https://www.jianshu.com/p/af02bc9c1b2b https://www.jianshu.com/p/b570472dc317?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation http://www.voidcn.com/a...
同源策略以及CORS跨域资源共享
Allurewuhui的博客
03-28 1506
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、域名相同、端口相同。 3.只要以上三点有一点不满足,就会产生跨域解决跨域常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
CORS同源策略
qq_45378970的博客
10-03 475
同源策略什么是同源策略(Same Origin Policy)?什么是跨域?什么是域名? 什么是同源策略(Same Origin Policy)? 所谓同源策略,所谓同源是指,域名,协议,端口相同。它是浏览器的一种最核心最基本的安全策略。它对来至不同源的文档或这脚本对当前文档的读写操作做了限制。 为什么要有这个策略,想必你已经知道,那就是因为保证用户的信息安全。 什么是跨域? 访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认是不允许的。访问不同源的资源那就是我们所说的跨域 什么是
为什么浏览器不能跨域
agzmcmr0333的博客
07-07 246
现在很多人特别是前端开发人员,在ajax请求,XMLHttpRequest的过程中会碰到一个问题,那就是跨域请求: 当我们javaScript脚本试图跨域访问时,浏览器会告诉你类似于No 'Access-Control-Allow-Origin' header is present on the requested resource.的消息。 可是我有时候又有跨域请求的强烈需求,比...
CORS跨域资源共享)、同源安全策略
时光的时的博客
07-13 665
什么是CORSCORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 什么是同源安全策略同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源安全策略 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选
同源策略+跨域+jsonp+cors
08-29
同源策略跨域以及解决跨域的两种方式
JavaScript同源策略跨域访问实例详解
01-19
本文实例讲述了JavaScript同源策略跨域访问。分享给大家供大家参考,具体如下: 1. 什么是同源策略 理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 何谓同源: URL由...
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
JS跨域解决方案之使用CORS实现跨域
11-24
 跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域...
http-CORS策略
weixin_44021910的博客
09-24 368
Access to XMLHttpRequest at 'https://XXXXX.com/api/center/notify' from origin 'http://localhost:9090' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Origin' header in
15 张精美动图全面讲解 CORS
卤蛋实验室
08-03 292
前言: 本文翻译自 Lydia Hallie 小姐姐写的 ✋???????? CS Visualized: CORS,她用了大量的动图去解释 CORS 这个概念,国内还没有人翻译本文,所以我在原文的理解上翻译了本文并修改了一些错误,希望能帮到大家。 觉得翻译的不错一定要点赞哦,谢谢你,这对我真的很重要! ???? 注:原文的动图均为 keynote 制作 前端开发中,我们经常要使用其他站点的数据。前端显示这些数据之前,必须向服务器发出请求以获取该数据。 假设我们正在访问 https://api.my
ajax跨域解决CORS策略
yyyggyy的博客
11-26 2930
跨域解决方案(二):CORS策略的介绍及实现 CORS简介 CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出ajax请求,从而克服了AJAX只能同源使用的限制。 CORS依赖于服务器端的设定,只要在服务器端进行了设置,就可以实现相应的资源访问。 CORS简单服务器端实现 之前写过一篇文章原生javascript封装ajax,在该文章中,用面向对象的方法简单封装了一个ajax通信类,同时建立了一个本地的服务器来进
同源策略CORS和JSONP
duke_ding2的博客
07-11 167
同源策略(Same origin policy)是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript的浏览器都会使用这个策略同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。简而言之,如果两个页面的协议(protocol)、主机(host)、端口(port)都相同,则二者称为同源。创建SpringBoot项目 ,添加Spring Web依赖。创建Controller : 运
同源策略跨域解决方案 CORS
陈皮的JavaLib
05-03 1250
浏览器的同源策略它会阻止读取来自不同源的资源。同源策略机制主要用于阻止恶意站点读取另一个站点的数据,让用户安全地上网。
CORS同源策略解决办法(node-learn)
Jonn1124的博客
04-01 206
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Do
同源策略产生介绍及解决跨域最常见的三种方式(JSONP+CORS+反向服务器代理),用详细的前后端分离代码带你搞懂跨域原理
izl040905的博客
11-13 752
跨域其实就是用AJAX进行请求数据时会遇到的访问问题,浏览器会给你报错,Fetch也是有这样的问题。这时候你可能会问,为什么在script标签中引用了别的源却不会出现这样的问题呢?这种情况相信写过JS代码的都知道吧。这是因为JS设计人员当初在设计标签的时候就允许了在别的源请求脚本,所以就有很聪明的开发前辈利用这个 “ 漏洞 ” 进行跨域,这个方法便是JSONP。
跨域解决方案之CORS及其相关概念
weixin_44471490的博客
08-26 570
在讲解 CORS 之前先了解以下几个概念 同源策略 同源策略(Same origin policy)是一种约定,是浏览器限制一个域名与另外一个域名的资源的交互的规则,是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果一个请求地址里面的协议、域名和端口号都相同,就属于同源。 举个例子,判断下面URL是否和http://www.a.com/a/a.html同源: http://ww.
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1098
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
CORS策略引发的跨域问题如何处理
07-22
WebSocket 提供了一种实时通信的方式,可以解决跨域问题。 5. 跨域资源共享(CORS)插件:对于某些开发框架和服务器,可以使用 CORS 插件来简化处理跨域问题。这些插件可以自动处理 CORS 相关的头信息,使你无需...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值