跨域的详细解决方案

最新推荐文章于 2024-10-05 21:44:02 发布
最新推荐文章于 2024-10-05 21:44:02 发布
阅读量141 收藏
点赞数
文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73273294/article/details/130554900
版权
跨域产生的原因是浏览器的同源策略,用于防止跨站脚本攻击。解决方案包括JSONP(只支持GET,有安全风险)和CORS(支持多种请求方式,更安全)。CORS通过在HTTP头部添加特定字段实现跨域,简单请求直接添加Origin字段,复杂请求先发送OPTIONS预检请求。另外,开发中常使用代理服务器如vue-cli的proxy或nginx解决跨域问题。
摘要由CSDN通过智能技术生成

跨域产生原因

跨域产生的原因主要是同源策略,同源策略是浏览器提供的一种安全机制,可以防止跨站脚本攻击。

也就是A网站请求B网站的资源,是否能够使用的问题

同源策略:协议(http/https)、域名/IP地址、端口号,一致则同源,代表是同一个网站,资源共享

有一项不同既不同源

有一项不同既不同源,代表是两个网站,此时资源不共享

为什么产生跨域

首先前后端部署在同一个服务下,不会存在跨域,但是当下,最流行的就是前后分离项目,也就是前端项目后端接口并不在一个域名之下,那么前端项目访问后端接口必然存在跨域的行为.

解决方案

JSONP

利用的不是xhr请求, 利用的script标签的src可以跨域, 请求接口资源,同时携带callback回调函数名字, 将数据传给回调函数, 解决get不能解决post

function jsonp(url, callback) {
  const script = document.createElement('script');
  script.src = url + '?callback=' + callback;
  document.body.appendChild(script);
}

function handleData(data) {
  console.log(data);
}

jsonp('http://example.com/data', 'handleData');

JSONP 的优点是:

  1. 跨域支持,可以在不同的域名之间进行数据交互。
  2. 兼容性好,可以在老旧浏览器中使用。

JSONP 的缺点是:

  1. 安全问题,因为服务器返回的数据会被直接执行,可能存在 XSS 攻击等安全风险。
  2. 只支持 GET 请求,不能使用 POST 等其他请求方式。
  3. 难以维护,因为请求和回调函数之间的关系不明显,代码可读性较差。

CORS

CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种跨域解决方案,它通过在 HTTP 头部添加特定的字段,来告诉浏览器是否允许跨域请求,cors跨域分为简单请求和非简单请求的两种方式处理

简单请求的规则:

  1. 使用 GET、HEAD、POST 方法中的任意一种。
  2. Content-Type 是 application/x-www-form-urlencoded、multipart/form-data、text/plain 中的任意一种。
  3. 请求中没有使用自定义的头部字段。

如果请求满足以上条件,则为简单请求,否则为复杂请求

简单请求cors跨域流程

在浏览器发出请求后,浏览器判断是简单请求还是复杂请求,如果是简单请求

  1. 会自动在请求头部加上 Origin 字段,表示该请求来自哪个域。
  2. 如果服务器允许该域的跨域请求,就在响应头部加上 Access-Control-Allow-Origin 字段,表示允许该域的跨域请求
  3. 浏览器正确处理响应。如果服务器不加上Access-Control-Allow-Origin字段,浏览器将无法读取响应数据。

复杂请求cors跨域流程

在浏览器发出请求后,浏览器判断是简单请求还是复杂请求,如果是复杂请求请求:

  1. 浏览器在发送跨域请求时,会先发送一个 OPTIONS 请求,该请求称为 Preflight Request。Preflight Request 的目的是向服务器确认当前跨域请求是否被允许。Preflight Request 请求头中会包含一个 Access-Control-Request-Method 字段,表示实际请求使用的 HTTP 方法。
  2. 服务器在接收到 Preflight Request 后,会检查请求头部中的 Origin 字段,判断当前跨域请求是否被允许。如果被允许,服务器会在响应头部中添加一些 CORS 相关的字段,如 Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers 等。
  3. 浏览器接收到服务器返回的响应后,会检查响应头部中的 CORS 相关字段是否符合要求,如果符合要求,就会发送实际的跨域请求。实际的跨域请求与普通请求一样,只不过在请求头部中多了一个 Origin 字段。

服务器代理

通过在vue-cli脚手架中配置proxy进行跨域处理

代理服务器的原理流程:

  1. 客户端发起请求至本地服务器
  2. 本地服务器做代理,请求目标服务器,由于服务器和服务器之间不存在跨域的问题,所以可以正常请求响应
  3. 目标服务器将数据响应至本地服务
  4. 本地服务器将数据响应至客户端

具体配置:

devServer: {
  proxy: {
    '/api': {
      target: '接口url地址',
      pathRewrite: '重写'
    }
  }
}

但是,vue-cli的跨域只能解决开发期间的跨域问题,项目上线跨域问题需要配置nginx

nginx代理 

在nginx服务器nginx.conf配置文件

server {
        listen       8083;# 监听的端口
        server_name  localhost; #监听的主机名 也可以是域名或者ip地址

        location ~ /api/ {            
            proxy_pass http://localhost:8084;
        }   
				location ~ /prod/ {           
            proxy_pass http://localhost:8085;
        }
}

常怀感恩之心55
关注
前端 | 浅谈预检请求
u012496505的博客
09-17 6140
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求,预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
PHP Ajax跨域问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
Nginx 跨域与预检请求(reflight request)
zimuKobby的博客
09-03 4063
Nginx 跨域有关的预检请求preflight request 背景 同事有一个跨域的需求,域外html集成的js要访问Nginx反向代理的一个站点。具体HTTP方法和header 我也没问,想着就把以前其他同事配置过的跨域的一段参数拷贝过来就行了,拷贝的具体参数如下 location /crosstest/web/ { add_header Access-Control-Allow-Origin: * ; add_header Access-Control-Allow-Credentia
跨域PreflightMultipleAllowOriginValues、HeaderDisallowedByPreflightResponse错误及解决方案
小洋人最happy的专栏
02-24 2273
跨域常见报错及解决方案
浏览器中的preflight请求-预检请求
chen__cheng的博客
09-27 1万+
什么是preflight请求? preflight,一个cors预检请求,属于options请求。该请求会在浏览器认为即将要执行的请求可能会对服务器造成不可预知的影响时,由浏览器自动发出。 利用预检请求,浏览器能够知道当前的服务器是否允许执行即将要进行的请求,只有获得了允许,浏览器才会真正执行接下来的请求。 所以,总结有几点: 浏览器自动发出该请求,不需要用户干预 该请求发生在用户发送的请求之前,只有预检请求通过,用户发送的请求才能发送到服务器,否则抛出CORS错误。 prefilght触发条件 pre
Nginx跨域访问问题总结
chenxijie1985的专栏
02-04 460
转自:https://blog.51cto.com/ixdba/1928719 一、什么是跨域 简单地理解就是因为JavaScript同源策略的限制,a.com 域名下的js无法操作b.com或是c.a.com域名下的对象。 同源是指相同的协议、域名、端口。特别注意两点: 如果是协议和端口造成的跨域问题“前台”是无能为力的, 在跨域问题上,域仅仅是通过“协议+域名+端口”来识别,两个不同的域名即便指向同一个ip地址,也是跨域的。 二、常见跨域情况 URL .
spring cloud gateway请求跨域问题解决方案
08-25
Spring Cloud Gateway 请求跨域问题解决方案 Spring Cloud Gateway 作为一种基于微服务架构的API Gateway,提供了许多有用的特性,如路由、负载均衡、熔断器等。但是,在使用 Spring Cloud Gateway 时,经常会遇到...
jQuery跨域问题解决方案
10-23
在标题“jQuery跨域问题解决方案”中提到的JSONP(JSON with Padding)便是其中一种。JSONP允许跨域访问,其工作原理是允许用户传递一个回调函数名给服务器,然后服务器将返回一段JavaScript代码,其中包括了调用该...
Python项目跨域问题解决方案
12-17
本篇文章将详细解释如何解决Python Django项目的跨域问题。 首先,我们来看第一个解决方案,通过`ALLOWED_HOSTS`配置。在Django项目的`settings/dev.py`文件中,你可以定义`ALLOWED_HOSTS`列表,列出允许访问后端...
Nginx跨域解决方案
热门推荐
CrazyQiQi的博客
08-03 2万+
Nginx跨域解决方案
nginx处理cros跨域遇到的各种问题及解决方案,以及https配置和浏览器https不安全问题处理
wei1359765074410的博客
10-25 1万+
nginx的cros跨域和ssl配置
如何用nginx解决跨域问题
m0_59757074的博客
03-24 3613
用Nginx解决跨域跨域解决方法
nginx解决浏览器跨域问题_前端通过Nginx反向代理解决跨域问题
weixin_39960019的博客
12-21 241
在前面写的一篇文章SpringMVC解决跨域问题,我们探讨了什么是跨域问题以及SpringMVC怎么解决跨域问题,解决方式主要有如下三种方式:JSONPCORSWebSocket可是这几种方式都是基于服务器配置的,即对于自己的网站是可以通过这几种方式解决的,可是现在遇到另一个需求(前面提到过,写扇贝插件,我们不能更改扇贝的服务器配置,也不能发短信叫他们给我配置一下)。本文探讨了前端如何通过Ngin...
spring vue 打包后的跨域请求资源(跨域preflight)问题
xwyzsn的博客
03-12 934
spring vue 打包后的跨域请求资源(跨域preflight)问题 问题描述 最近刚学习前后端的知识,就简单的做了一个前后端分离的项目.当在vue中使用axios或者fetch等去获取spring的API接口的时候会报跨域错误即 CORS 跨域资源共享错误 简单地说 我的vue 运行在http://localhost:8080端口上 而spring 运行在http://localhost:8085端口上由于这两个端口不同所以在请求的时候视为跨域,这个时候就无法简单的通过请求获得。 解决方案 1.ngi
跨域PreflightMultipleAllowOriginValues、HeaderDisallowedByPreflightResponse,nginx解决方法
lbj635591925的博客
06-27 489
前端调试报域名跨域问题,
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 1994
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
跨域访问的预飞请求(Preflight Request):验证某个域(判断当前域是否能够访问某个域)
tuhuolong的专栏
06-06 2993
什么是 HTTP Get + Preflight 请求
最新发布
汪子熙的专家技术分享
10-05 968
CORS 是的缩写,它是浏览器与服务器之间的一种安全机制,用于控制不同源(如不同域名、端口或协议)之间的 HTTP 请求。正常情况下,浏览器会禁止不同源之间的请求(称为同源策略)。然而,CORS 是一种打破同源策略的方式,允许服务器明确声明哪些源可以访问它的资源。Preflight是 CORS 机制中的一个关键概念。它是一个通过OPTIONS方法发出的请求,目的是在执行实际的跨域请求之前,浏览器询问服务器是否允许这个跨域操作。这种请求被称为“预检”请求。浏览器会发起Preflight请求,以确保实际的。
记录一次Mac使用谷歌浏览器产生的preflight(预检)报错
lx91216的专栏
01-05 917
通过查找资源发现,可能我使用的Chorm浏览器升级了,于是去虚拟机找了个旧版Chorm浏览器一试,果然没问题了。后查原因Chorm也是为了安全性考虑,才加入的此项验证,具体就不纠结了。输入此命令后,就会弹出一个Chorm浏览器,以后用这个就ok了,其它都一样,就是关闭的预检功能。重启后会恢复之前的Chorm浏览器设置,在来一遍即可,因一般用mac不重启,所有就不研究这个了。最后猜测,有可能有dns校验 绑内网ip就会触发跨域。xxx为您自己mac的名称。
Java服务器端跨域问题解决方案详解
文件标题和描述指向的是一个关于解决Java服务器端跨域问题的6页PDF文件。跨域问题通常出现在Web开发中,尤其是当前端JavaScript试图访问另一个域下的服务器资源时。这在Web安全策略中被称为同源策略,意味着浏览器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值