跨域的原理及解决方案

最新推荐文章于 2024-01-19 11:03:25 发布
最新推荐文章于 2024-01-19 11:03:25 发布
阅读量431 收藏 1
点赞数
分类专栏: 网络 Java 文章标签: 跨域 同源策略 Jsonp CORS CrossOrigin
觉得此文有帮助的,就点个赞或留个言呐~ 若要转载的话,请注明文章出处哦
本文链接:https://blog.csdn.net/why_still_confused/article/details/103218785
版权
Java 同时被 2 个专栏收录
72 篇文章 3 订阅
订阅专栏
网络
9 篇文章 1 订阅
订阅专栏

跨域限制访问,即为浏览器禁止访问其他网站的资源,是浏览器的限制。如果缺少了同源策略,网页很容易受到XSS、CSFR等攻击。

同源策略是Web应用程序安全性模型中的重要概念。根据该策略,Web浏览器允许第一个网页中包含的脚本访问第二个网页中的数据,但前提是两个网页具有相同的来源。来源由URI,主机名(hostname) 和端口号(port) 的组合定义。此策略可防止一个页面上的恶意脚本通过该页面的DOM(Document Object Model)获得对另一网页上敏感数据的访问。

跨域场景

当一个请求 URL 的协议域名端口三者之间任意一个与当前页面 URL 不同即为跨域

当前页面URL请求页面URL是否跨域原因
http://www.test.com/http://www.test.com/index.html同源(协议、域名、端口号相同)
http://www.test.com/https://www.test.com/index.html协议不同(http/https)
http://www.test.com/http://www.baidu.com/主域名不同(test/baidu)
http://www.test.com/http://blog.test.com/子域名不同(www/blog)
http://www.test.com:8080/http://www.test.com:8081/端口号不同

跨域解决方案

JSONP

由于同源策略,一般来说网页无法跨域请求资源,而 HTML 的 <script>元素是一个例外。利用 <script>元素的这个开放策略,网页可以得到从其他来源动态产生的JSON数据,而这种使用模式就是所谓的 JSONP。用JSONP抓到的数据并不是JSON,而是任意的JavaScript,用 JavaScript 解释器运行而不是用 JSON 解析器解析。

JSONP优点是简单兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点是仅支持 get 方法,具有局限性;且可能会遭受 XSS 攻击。

CORS

CORS 是跨域资源分享(Cross-Origin Resource Sharing)的缩写。它是 W3C 标准,属于跨源 AJAX 请求的根本解决方法。

  • Access-Control-Allow-Origin 设置允许请求的域名,多个域名以逗号分隔
  • Access-Control-Allow-Methods 设置允许请求的方法,多个方法以逗号分隔
  • Access-Control-Allow-Headers 设置允许请求自定义的请求头字段,多个字段以逗号分隔
  • Access-Control-Allow-Credentials 设置是否允许发送 Cookies

常用的跨域配置只需设置 Access-Control-Allow-Origin,推荐设置为对应域名。但当使用 Cookies 时,还需要配置Access-Control-Allow-Credentialstrue,且此时Access-Control-Allow-Origin 的配置不能为*,而必须配置为具体的域名。

Java 跨域实现方案

JSONP

Spring 4 ~ Spring 5 低版本中支持全局Jsonp。在 Spring 5 高版本中弃用,且标注建议使用@CrossOrigin

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.AbstractJsonpResponseBodyAdvice;

/**
*
* 统一支持 jsonp 的配置输出
* 使用说明:@RequestMapping 中指定 produces 为 application/json;charset=UTF-8 即可
* 例子:@RequestMapping(path = "/signin", produces = "application/json;charset=UTF-8")
*
*/
@ControllerAdvice(basePackages = {"com.yy.ent.union.zone.controller"})
public class JsonpAdvice extends AbstractJsonpResponseBodyAdvice {
	public JsonpAdvice() {
		super("callback", "jsonpcb");
	}
}

@CrossOrigin

使用@CrossOrigin注解时,推荐指定域名,避免使用*的默认配置,产生不安全的隐患

@RestController
@CrossOrigin(origins = "*")
public class TestController {}

当需要使用Cookies时,要配置allowCredentials参数,使用时必须指定具体的域

@CrossOrigin(origins = "http://www.test.com/", allowCredentials = "true")

参考资料:
1.什么是跨域?跨域解决方法

若明天不见
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解js跨域原理以及2种解决方案
10-23
主要介绍了js跨域原理以及解决方案跨域问题是由于javascript语言安全限制中的同源策略造成的,想要进一步了解跨域的朋友可以参考本文进行学习
跨域解决方案Jsonp原理解析
10-15
主要介绍了跨域解决方案Jsonp原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
浏览器跨域详解
GuoZebin的博客
11-04 1万+
一.什么是跨域 跨域问题来源于浏览器的同源策略,浏览器为了提高网站的安全性,在发送ajax请求时,只有在当前页面地址与请求地址的协议+域名+端口号相同时才允许访问,否则会被拦截。 协议即通信协议,比如我们现在常见的http和https,如果当前页面地址使用http协议,请求的地址使用https协议,那么这个请求就存在跨域问题。 域名即网站网址,如baidu.com,360.com存在跨域。 ...
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 1524
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
什么是跨域?前后端解决跨域的方法
Amelian的博客
11-29 1310
一、同源策略 出于浏览器的同源策略限制 同源策略(Sameoriginpolicy) 是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会收到影响。可以说web时构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个域的javascript脚本和另一个域的内容进行交互。 所谓同源(即指在同一个域),就是两个页面具有相同的协议(protool),主机(host)和端口号(port) 二、什么是跨域 当一个请求url的协议、域名、端口三者
跨域访问解决方案
feizhuliuss的博客
08-04 494
前言 什么是跨域? 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 为什么会有跨域? 在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问问题。在请求的过程中我们要想获取数据一般都是post/get请求,所以…跨域问题出现 跨域的作用在于:保证不同服务之间的数据安全,比如黑客在A服务给B服务发送了一个请求,恰好B服务又是登陆状态,那样就会携带B的session等信息返回 跨域问题来源于JavaScript的同源策略,即只有 协议+主机名+端口号(如存在)
跨域原理解决方案
最新发布
陈开心的博客
01-19 823
主要是由于浏览器的同源策略引起的,同源策略是浏览器的安全机制,当协议域名端口三者有一个不同,浏览器就禁止访问资源。比如:http://www.company.com:80http://www.company.com:80/dir/page.html ----成功http://www.child.a.com/test/index.html ----失败,域名不同https://www.a.com/test/index.html ----失败,协议不同。
前端跨域原理以及跨域解决方案.docx
10-26
前端跨域原理以及跨域解决方案.docx
Jsonp 跨域原理以及Jquery的解决方案
10-28
JSONP即JSON with Padding。由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源。
关于跨域,以及跨域的几种方式
weixin_39816740的博客
07-18 339
首先我们来想一想               为什么会有跨域这个名词的出现呢?               跨域又是什么呢?为何要跨域?               浏览器的同源策略又是什么?怎么解决?               jsonp又是什么?               跨域原理又是什么呢? 名词解释: 跨域: 浏览器对于javascript的同源策略的限制,例如a.c...
Part9:跨域的几种解决方案原理
m0_46403734的博客
03-10 288
1.什么是同源策略同源策略是客户端脚本(尤其是 Javascript)的重要的安全度量标准。其目的是防止某个文档或脚本从多个不同源装载。 这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议,指一段脚本只能读取来自同一来源的窗口和文档的属性。 2.为什么要有同源限制? 我们举例说明:比如一个黑客程序,他利用 Iframe 把真正的银行登录页面嵌到他的页面上,当你使用真实的用...
什么是跨域以及为什么会出现跨域以及跨域解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
跨域原理+解决方案
qq_38296274的博客
05-05 623
跨域的产生以及为什么会跨域 一、为什么会跨域 跨域的根本原因是因为浏览器的一个安全策略,既同源策略,就是说一个浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。 二、什么样的请求才是跨域? 请求的路径需要和当前页面不在同一域名也不在同一ip和端口 之内的请求为跨域请求 三、跨...
前后端分离与跨域解决方案CORS原理
来自一个小码农的记录
08-23 7万+
前后端分离     前后端分离的好处 最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小。 后台错误不会直接反映到前台,错误接秒较为友好。 由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。     个人理解...
九种跨域方式实现原理(完整版)
DannyIsCoder的博客
02-22 623
九种跨域方式实现原理(完整版) 前言 前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。 本文完整的源代码请猛戳GitHub博客,纸上得来终觉浅,建议动手敲敲代码 一、什么是跨域? 1. 什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略限制内容有: ...
什么是跨域跨域解决方法
热门推荐
越努力,越幸运!
12-14 43万+
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协...
jsonp跨域原理解析
badmoonc的博客
09-01 7万+
背景: 由于浏览器同源策略的限制,非同源下的请求,都会产生跨域问题,jsonp即是为了解决这个问题出现的一种简便解决方案同源策略即:同一协议,同一域名,同一端口号。当其中一个不满足时,我们的请求即会发生跨域问题。 举个简单的例子: http://www.abc.com:3000到https://www.abc.com:3000的请求会出现跨域(域名、端口相同但协议不同) http:/...
为什么会有跨域跨域的原因是什么?
xuaman的博客
02-27 2840
原文链接:https://www.zhihu.com/question/31592553 跨域+springmvc http://blog.csdn.net/wabiaozia/article/details/52778335 跨域:ajax跨域,这应该是最全的解决方案了http://web.jobbole.com/93344/ 阮一峰 跨域资源共享 CORS 详解:http://...
java跨域原理_ajax跨域原理以及解决方案
weixin_32562455的博客
02-26 181
说明跨域主要是由于浏览器的“同源策略”引起,分为多种类型,本文主要探讨Ajax请求跨域问题前言强烈推荐阅读参考来源中的文章,能够快速帮助了解跨域原理参考来源本文参考了以下来源什么是跨域为了更了解跨域原理,可以阅读参考来源中的文章,里面对跨域原理讲解很详细到位ajax跨域的表现ajax请求时,如果存在跨域现象,并且没有进行解决,会有如下表现第一种现象:No 'Access-Control-Al...
tomcat跨域配置_聊聊跨域原理与解决方法
06-07
在Tomcat上解决跨域问题,可以通过配置CORS(Cross-Origin Resource Sharing)来实现。CORS是W3C规范,它允许在服务器端配置允许跨域访问的白名单。 下面是一个简单的Tomcat跨域配置示例: 1. 在Tomcat的conf目录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值