跨域及解决方案

已于 2022-06-10 10:55:06 修改
阅读量213 收藏
点赞数
文章标签: 网络 http 服务器
于 2022-06-07 09:39:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48576413/article/details/125159298
版权

跨域及解决方案

一、概述

1.1 同源策略

同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。

同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。

源就是协议、域名和端口号。

协议:http,https

域名:区域的名字,每个域名都对应一个IP地址, 举个例子:域名:www.baidu.com,http://180.101.49.12/

180.101.49.12则为IP地址

1.1.1 技术

浏览器

1.1.2 概念

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

二、产生跨域场景

2.1 跨域产生

当资源访问的两端在 协议、域名、端口号 三者中任一项不同,则就会产生跨域问题。

2.1.1 localhost与127.0.0.1区别

locahost127.0.0.1本机IP
实质域名:通过host文件绑定到了127.0.0.1地址上IP地址暴露在外网上的IP地址
对应环境本机服务器Windows系统中表示本机IP地址本机IP地址
网络要求不需要联网不需要联网需要联网
数据传输限制不经过网卡,不受防火墙和网卡限制经过网卡,受防火墙和网卡限制经过网卡,受防火墙和网上限制
访问限制本机访问本机访问本机与外网访问

2.2 跨域问题影响

  • 跨域仅影响ajax|axios|XmlHttpRequest发起的各类请求。
  • 常用的Http标签如:img、a、script、form等通过src属性发起的请求不受跨域影响。

三、跨域解决方案

3.1 跨域请求的配置核心项

跨域主要涉及4个响应头:

  • Access-Control-Allow-Origin: 用于设置允许跨域请求源地址 (预检请求和正式请求在跨域时候都会验证)
  • Access-Control-Allow-Headers: 跨域允许携带的特殊头信息字段 (只在预检请求验证)
  • Access-Control-Allow-Methods: 跨域允许的请求方法或者说HTTP动词 (只在预检请求验证)
  • Access-Control-Allow-Credentials: 是否允许跨域使用cookies,如果要跨域使用cookies,可以添加上此请求响应头,值设为true(设置或者不设置,都不会影响请求发送,只会影响在跨域时候是否要携带cookies,但是如果设置,预检请求和正式请求都需要设置)。

3.2 前端Vue代理跨域

module.exports = {
    lintOnSave: false,
    devServer: {
        proxy: {
            '/api': {
                ws: true,
                target: 'http://127.0.0.1:8210',
                changeOrigin: true,
                pathRewrite: {
                    '^/api': '/'
                }
            }
        }
    }
}

3.3 nginx代理跨域

server {
    listen       22222;
    server_name  localhost;
    location  / {
        add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
        add_header Access-Control-Allow-Headers '*';
        add_header Access-Control-Allow-Methods '*';
        add_header Access-Control-Allow-Credentials 'true';
        if ($request_method = 'OPTIONS') {
            return 204;
        }
        proxy_pass  http://localhost:59200;
		}
}

3.4 SpringBoot配置类跨域

Spring团队推荐跨域方式

@Configuration
public class MyCrosConfig {
    @Bean
    public WebMvcConfigurer webMvcConfigurer()
    {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedOrigins("http://localhost:8092", "http://localhost:8093", "http://localhost:8080")
                        .allowCredentials(false)
                        .allowedHeaders("*")
                        .allowedMethods("*");
            }
        };
    }
}

3.5 SpringWeb注解跨域

@CrossOrigin()

3.6 SpringGateway配置跨域

在这里插入图片描述

Caleb-niu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
面试知识点总结 - js 消息传输
weixin_42291794的博客
09-08 231
URL:https://editor.csdn.net:8000/md/?not_checkout=1 协议不同 名不同 端口不同 目录不同 参数不同 以上任意一个不同都是 文档消息传输(XDM即cross-document messaging) postMessage(消息,指定消息接收方的名):发送消息 第一个参数消息为字符串,不是字符串时可以调用JSON.stringify()和JSON.parse() window的message事件,会在接收到消息时触发 m
signalR解决方案
12-25
JSONP 是一种早期的解决方案,适用于只支持GET请求的浏览器。SignalR 1.x 版本支持 JSONP,但在 SignalR 2.x 及更高版本中已被 CORS 替代。如果需要支持旧浏览器,需要确保 SignalR Hub 支持 JSONP 请求。 3. ...
不受同源策略限制的html标签,浏览器同源策略,及解决方案
weixin_30747571的博客
06-23 1369
一、Origin(源)源由下面三个部分组成:名端口协议两个 URL ,只有这三个都相同的情况下,才可以称为同源。下来就以 "http://www.example.com/page.html" 这个链接来比较说明:二、同源策略浏览器的同源策略是一种安全功能,同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。所以a.com下的js脚...
资源引入受同源策略影响还有不受同源影响的标签
qq_33987584的博客
12-15 701
1、script,img,link css,iframe标签 不被同源策略影响,可以获取资源 2、canvas 引入绘图资源会有问题。
浏览器:解决方法
snowball的博客
05-03 2万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个的javascript脚本和另外一个的内容进行交互。所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB2、无法接触非同源网页的 DOM。
以下标签加载资源(资源类型是有限制的)是不受同源策略限制的
冰点的博客
06-19 2384
<script src="...">`//加载图片到本地执行 <img src="..."> //图片 <link href="...">//css <iframe src="...">//任意资源
jQuery问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS访问’)”); ...
Python项目问题解决方案
12-17
首先,我们来看第一个解决方案,通过`ALLOWED_HOSTS`配置。在Django项目的`settings/dev.py`文件中,你可以定义`ALLOWED_HOSTS`列表,列出允许访问后端服务的客户端名。例如: ```python ALLOWED_HOSTS = ['api....
Geoserver问题解决方案
12-06
本篇文章将详细介绍如何解决Geoserver的问题。 首先,我们需要理解问题的背景。根据同源策略,浏览器只允许与同一源(协议+名+端口)的请求进行通信。但在实际应用中,比如一个网站前端和Geoserver不在同...
Vue项目中问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
前端常见解决方式和适用场景
jind325的博客
06-19 1336
方式和适用场景 请求解决方式: jsonp: 利用script标签,请求任意地址的资源, 返回资源只要content-type为application/javascript,并且返回回来的数据为调用一个js function,数据则包裹在方法内部,这个js function需要在本地的代码中提前准备好,一但准备的游离script标签src被附上值并且插入到dom tree当中之后,浏览器就会对这个src进行请求,拉回来的代码直接执行,成功! 但是script标签会有一个限制,就是它只支持get
最常见的六种解决方案
最新发布
m0_37873510的博客
08-27 4万+
常见的解决方案
script,link,img标签的区别
m0_38038767的博客
11-16 1733
所谓的是因为浏览器的同源策略而引起的。协议,名 script,img,link标签不受影响。 但是,img和link标签只能实现单向通信,即只能从客户端向服务器传递数据,这是因为img获取图片进行加载,link是获取样式表加载,而script返回的是javascript代码执行。 ...
解决问题的8种方案(最新最全)
千里之行,始于足下
02-18 14万+
转自 PheonixHkbxoic 的《前端解决问题的8种方案(最新最全)》 原址:https://www.cnblogs.com/PheonixHkbxoic/p/5760838.html 1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一名下 允许 ...
ajax问题以及解决方案
默默前行,勿喜、勿悲、一切随缘!
06-24 4万+
在工作中,大家应该都遇到过ajax问题,浏览器的错误如下: XMLHttpRequest cannot load http://目标地址 No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://当前页面地址' is therefore not allowed a
什么是以及解决的简单方法汇总
coderYYY的博客
02-07 344
什么是 由于浏览器同源策略,凡是发送请求url的协议、名、端口三者之间任意一个与当前页面地址不同即为。 存在的情况: 网络协议不同,如http协议访问https协议。 端口不同,如80端口访问8080端口。 名不同,如qianduanblog.com访问baidu.com。 子名不同,如abc.qianduanblog.com访问def.qianduanblog.com。 名和名对应ip,如www.a.com访问20.205.28.90. 请求资源的方法
的配置
如梦山河的博客
04-03 6370
1.什么是 :指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 注意:限制访问,其实是浏览器的限制 同源策略:是指协议,主机(名),端口都要相同,其中有一个不同都会产生; 2. 解决方法 方式一:jsonp jsonp (JSON With Padding) 就是打包在函数中调动的json,或者包裹的json json 是一种数据格式;jsonp是一种数据调用方式 //json { "name":"小明" } //
什么是解决方法
热门推荐
越努力,越幸运!
12-14 43万+
一、为什么会出现问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个的javascript脚本和另外一个的内容进行交互。所谓同源(即指在同一个)就是两个页面具有相同的协...
解决办法(超详细)
m0_50861631的博客
03-20 3208
同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略来对脚本和请求进行校验,若不同源,则禁止使用。 同源的定义 那如果判断是否同源?主要根据三个维度,名,协议,端口三个都相同才算同源。 举个 : 网站A网站B结果http://www.zhenai.comhttp://i.z.com不同源,名不同http://www.zhenai.comhttp://www.z.cn不同源,名不同http://www.zhenai.comhttp
Ajax解决方案:JSONP、CORS与代理请求
JSONP是一种早期的解决方案,适用于支持GET请求的API。它是通过动态插入`<script>`标签来实现的,因为`<script>`标签不受同源策略限制。服务端提供一个可被调用的JavaScript函数,前端通过指定该函数名作为回调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值