跨域请求的几种实现方式

最新推荐文章于 2024-03-20 10:10:20 发布
最新推荐文章于 2024-03-20 10:10:20 发布
阅读量4.2k 收藏 9
点赞数 2
分类专栏: 跨域 文章标签: 浏览器 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyr05288/article/details/64125147
版权

参考文章:
http://www.jianshu.com/p/a63c29e0c863
http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html#m5
http://www.cnblogs.com/bninp/p/5694277.html

跨域是浏览器的一种安全策略,是浏览器自身做的限制,不允许用户访问不同域名或端口或协议的网站数据。
只有域名(主域名【一级域名】和二级域名)、端口号、协议 完全相同的时候,才允许通信。

通过前端实现跨域解决方案有:document.domain + iframe, window+name, HTML5 postMessage 。。。。详见该篇文章
还有这篇

本文讲述几种通过后端实现跨域的解决方案:

1.jsonp

最常见的一种跨域方式,其背后原理就是利用了script标签不受同源策略的限制,在页面中动态插入了script,script标签的src属性就是后端api接口的地址,并且以get的方式将前端回调处理函数名称告诉后端,后端在响应请求时会将回调返还,并且将数据以参数的形式传递回去。

前端js:

 //1.jsonp 跨域(涉及到前后端) 原理是利用script标签不受同源策略的限制 在页面中动态插入script标签 标签的src即为请求url的地址
//并将前端获取到请求数据之后的回调函数作为参数附加在url地址后
var script = document.createElement('script');
 //注意  会有用户名密码 验证的问题
script.src = "http://127.0.0.1:6666/tools/jsonpHandler?callback=_callback&username=admin&password=123456";
document.body.appendChild(script);
//回调处理函数
 var _callback = function(obj){
        for(key in obj){
                console.log("JSONP跨域测试 key: " + key + " value: " + obj[key]);
         }
}

后端java:

@RequestMapping(value = "jsonpHandler")
public ModelAndView jsonpHandler(HttpServletRequest request, HttpServletResponse response) throws Exception{
        String callback = request.getParameter("callback");
        logger.info("callback: " + callback);
        JSONObject obj = new JSONObject();
        obj.put("type", "jsonp");
        obj.put("method", "jsonHandler");
        response.setContentType("text/html; charset=UTF-8");
        response.getWriter().write(callback + "(" + JSON.toJSONString(obj) + ")"); 
        return null;
 }

2.CORS

Cross-Origin Resource Sharing(跨域资源共享)是一种允许当前域(origin)的资源(比如html/js/web service)被其他域(origin)的脚本请求访问的机制。
当使用XMLHttpRequest发送请求时,浏览器如果发现违反了同源策略就会自动加上一个请求头:origin,后端在接受到请求后确定响应后会在Response Headers中加入一个属性:Access-Control-Allow-Origin,值就是发起请求的源地址(http://127.0.0.1:8888),浏览器得到响应会进行判断Access-Control-Allow-Origin的值是否和当前的地址相同,只有匹配成功后才进行响应处理。

现代浏览器中和移动端都支持CORS(除了opera mini),IE下需要8+

前端js:

//2.CORS 涉及到前后端
$.ajax({
       type:"POST",
       datatype:"JSON",
       data:{
            "param1":"param1-value",
            "param2":"param2-value",
            "username":"admin",
            "password":"123456"
       },        
       url:"http://127.0.0.1:6666/tools/corsHandler",
       error:function(){
           alert("请求失败!");
       },
       success:function(data){
           console.log("CORS跨域测试 data:");
           console.log(data);
       }
 });

后台java:

 @RequestMapping(value = "corsHandler")
 public ModelAndView corsHandler(HttpServletRequest request,HttpServletResponse response) throws IOException{
       String param1 = request.getParameter("param1");
       String param2 = request.getParameter("param2");
       String requestUri = request.getRequestURI();
       String requestUrl = request.getRequestURL().toString();//本域名下请求地址 不是客户端的地址

       Integer tempIndex = requestUrl.indexOf(requestUri);  
       //发出请求的源域名地址     
       String requestOrigin = requestUrl.substring(0, tempIndex);
      if(request.getHeader("Origin") != null ){//跨域请求
        requestOrigin = request.getHeader("Origin");
      }
      logger.info("requestUri: " + requestUri + "; requestUrl: " + requestUrl+ "; requestOrigin: " + requestOrigin);
      JSONObject obj = new JSONObject();
      obj.put("param1", param1);
      obj.put("param2", param2);
       //此方法allowOrigin中只能写一个域名 因此改为与list对比的方式实现
       /*String allowOrigin = appConfig.getAllowOrigin();
      logger.info("allowOrigin: " + allowOrigin);
      response.setHeader("Access-Control-Allow-Origin", allowOrigin);*/
      response.setContentType("text/html; charset=UTF-8");  
      if(Constants.allowOriginList.
      contains(requestOrigin)){
           response.setHeader("Access-Control-Allow-Origin", requestOrigin);
       }
      response.getWriter().write( JSON.toJSONString(obj)); 
       return null;
}
3.nginx反向代理

此方法最为便利,前后端代码无需做特殊改变,只需在nginx.conf做配置,将本地请求地址转向真正实现请求的url地址。
js代码:

//3.用nginx代理解决跨域问题
$.ajax({
        type:"POST",
        datatype:"JSON",
        data:{
                "param1":"nginx-param1-value",
                "param2":"nginx-param2-value",
                "username":"admin",
                "password":"123456"
        },
        url:"/apis/tools/nginxCrossOrigin",
        error:function(){
              alert("请求失败!");
        },
        success:function(data){
             console.log("nginxCrossOrigin 跨域测试 data:");
             console.log(data);
        }
 });

java代码:

public ModelAndView nginxCrossOrigin(HttpServletRequest request,HttpServletResponse response) throws IOException{
      String param1 = request.getParameter("param1");
      String param2 = request.getParameter("param2");
      logger.info("param1: " + param1 + "; param2 : " + param2);

      JSONObject obj = new JSONObject();
      obj.put("param1", param1);
      obj.put("param2", param2);
      response.setContentType("text/html; charset=UTF-8");   
      response.getWriter().write( JSON.toJSONString(obj)); 
      return null;
 }

nginx.conf:

#for cross origin request
server {
        #在浏览器中访问源域名地址时 使用端口2222
        listen 2222;

        #源域名地址下访问/apis/***开头的url地址 会自动将请求转向http://127.0.0.1:14444/***
        location /apis {
           #$1 第一个()中的值
           rewrite ^.+apis/?(.*)$ /$1 break;
           include uwsgi_params;
           proxy_pass http://127.0.0.1:14444;
        }

        #发出请求的源域名地址
        location / {
           proxy_pass http://127.0.0.1:12222;
        }

 }

关于nginx和uwsgi的关系,可参考文章
(1 )首先nginx 是对外的服务接口,外部浏览器通过url访问nginx,

(2)nginx 接收到浏览器发送过来的http请求,将包进行解析,分析url,如果是静态文件请求就直接访问用户给nginx配置的静态文件目录,直接返回用户请求的静态文件,

如果不是静态文件,而是一个动态的请求,那么nginx就将请求转发给uwsgi,uwsgi 接收到请求之后将包进行处理,处理成wsgi可以接受的格式,并发给wsgi,wsgi 根据请求调用应用程序的某个文件,某个文件的某个函数,最后处理完将返回值再次交给wsgi,wsgi将返回值进行打包,打包成uwsgi能够接收的格式,uwsgi接收wsgi 发送的请求,并转发给nginx,nginx最终将返回值返回给浏览器。

(3)要知道第一级的nginx并不是必须的,uwsgi完全可以完成整个的和浏览器交互的流程,但是要考虑到某些情况

a.安全问题,程序不能直接被浏览器访问到,而是通过nginx,nginx只开放某个接口,uwsgi本身是内网接口,这样运维人员在nginx上加上安全性的限制,可以达到保护程序的作用。

b.负载均衡问题,一个uwsgi很可能不够用,即使开了多个work也是不行,毕竟一台机器的cpu和内存都是有限的,有了nginx做代理,一个nginx可以代理多台uwsgi完成uwsgi的负载均衡。

c.静态文件问题,用django或是uwsgi这种东西来负责静态文件的处理是很浪费的行为,而且他们本身对文件的处理也不如nginx好,所以整个静态文件的处理都直接由nginx完成,静态文件的访问完全不去经过uwsgi以及其后面的东西。

4.后台跨域

前端向本地后台发出请求,后台再向api服务器请求数据,然后再将请求到的数据返回给前端。
后台请求函数实现:

 /**
     * @param url 请求地址
     * @param map 请求参数
     * @param charset 字符集
     * 
     * @return map - status 返回状态 1-失败 0-成功 Integer
     * @return map - result 失败原因 or 请求成功后api的返回信息 String
     *
     * */
@SuppressWarnings({ "resource", "deprecation" })
public static HashMap<String,Object> doPost(String url,Map<String,Object> map,String charset){  
        HttpClient httpClient = null;  
        HttpPost httpPost = null;  
        String result = "服务器出错啦!请稍后重试!"; 
        Integer status = 1;
        HashMap<String,Object> returnMap = new HashMap<String,Object>();
        try{  
            httpClient = new DefaultHttpClient();  
            httpPost = new HttpPost(url);  
            //设置参数  
           /* List<NameValuePair> list = new ArrayList<NameValuePair>();  
            Iterator<Entry<String, String>> iterator = map.entrySet().iterator();  
            while(iterator.hasNext()){  
                Entry<String,String> elem = (Entry<String, String>) iterator.next();  
                list.add(new BasicNameValuePair(elem.getKey(),elem.getValue()));  
            }  
            if(list.size() > 0){  
                UrlEncodedFormEntity entity = new UrlEncodedFormEntity(list,charset); 
                httpPost.setEntity(entity);  
            }  */
            String jsonStr = Json.toJson(map);
           // String jsonStr = JSON.toJSONString(map);
            logger.info("jsonStr: " + jsonStr);
            logger.info("jsonStr2:" + JSON.toJSONString(map));
            StringEntity entity = new StringEntity(jsonStr, "UTF-8");
            entity.setContentType("application/json;charset=UTF-8");
            httpPost.setEntity(entity);


            HttpResponse response = httpClient.execute(httpPost);  
            if(response != null){  
                if(HttpStatus.SC_OK == response.getStatusLine().getStatusCode()){ 
                    HttpEntity resEntity = response.getEntity();  
                    if(resEntity != null){ 
                        status = 0;
                        result = EntityUtils.toString(resEntity,charset);  
                    }  
                }else{
                    status = 1;
                    result = "服务器内部错误导致请求出错!";
                }  
            }else{
                status = 1;
                result = "服务器内部错误导致请求出错!";
            }  
        }catch(Exception ex){  
            ex.printStackTrace();  
            status = 1;
            result = "后台出现异常,exception: " + ex.toString();
        }  

        returnMap.put("status", status);
        returnMap.put("result", result);

        return returnMap;  
 }
十一路客
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
简单测试接口是否支持跨域
01-02
检查接口是否支持跨域请求,一个简单的ajax请求测试方法
三种跨域访问方式总结
charsing的博客
09-08 309
第一种:jsonp 利用javascript中的src属性进行跨域 $.ajax({ url:"http://manager.jt.com/web/testJSONP", type:"get", //jsonp只能支持get请求 src只能进行get请求. dataType:"jsonp", //dataType表示返回值类型 必须标识 //jsonp: "callback", //指定参数名称 jsonpCallback: "hello", //指定回调函
跨域请求是什么以及如何解决跨域问题
最新发布
常备不懈
03-20 1691
跨域的本质是由浏览器的同源政策导致的一种网络请求限制。同源政策是浏览器的一项安全策略,旨在防止恶意网站读取或修改另一个网站的数据。根据同源政策,如果两个URL的协议、域名和端口号都相同,则它们属于同一个源;否则,它们属于不同的源。 当一个网页试图通过XMLHttpRequest或Fetch API发起对不同源的HTTP请求时,浏览器会阻止这种请求,这就是跨域请求跨域请求的限制是为了保护用户免受跨站脚本攻击(XSS)和其他潜在的安全威胁。浏览器通过限制不同源之间的JavaScript脚本交互来实施这一政策
访问接口跨域请求
心若向阳 无谓悲伤
06-16 2359
一、跨域 1、当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 2、跨域就指着协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) 二、导致跨域的原因:同源策略 跨域的出现是因为浏览器的同源策略的限制,出发点是为了安全起见 同源策略的方向一是针对接口的请求,二是针对Dom的查询。 没有
请求接口跨域方式的总结
weixin_47208955的博客
12-02 345
1、jsonp方式 话术总结:JSONP原理 ajax 请求受同源策略影响,不允许进行跨域请求,但是script 标签的 src 属性不受同源策略的约束,我们利用这个特性结合jsonp实现跨域请求,过程如下: 通过(document.createElement(‘script’))动态创建script标签 给标签设置src属性,路径参数要包含callback=fn(用来进行跨域请求) 将 标签通过(body.appendChild(‘script’))添加到页面中执行 页面要提前定义好callback,进
03Web服务器基础-19. HTTP协议请求部分详解
学无止境
09-10 438
03Web服务器基础-19. HTTP协议请求部分详解
跨域请求几种方式
12-27
跨域请求资源的几种方式 由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域
九种跨域方式实现原理
03-03
前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。...
探讨跨域请求资源的几种方式(总结)
09-01
主要介绍了探讨跨域请求资源的几种方式(总结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTTP之跨域请求
weixin_30846599的博客
02-23 117
HTTP协议本身是没有跨域请求的设置的,跨域请求的限制是浏览器为了安全考虑加上去的。 实际上,浏览器对于HTTP请求是直接发送给server 浏览器提供了2种方式来突破跨域请求的限制, 在sever返回的Response Head中添加Access-Control-Allow-Origin 浏览器不限制script标签、img标签、link标签的跨域请求。 对于现在的突破跨域请求...
跨域及解决方法(jsonp和cors)
laoli360的博客
09-18 470
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨
JSONP跨域GET请求解决Ajax跨域访问问题
12-03
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。实现方法有多种,本例采用jQuery+Ajax,完成后,在本地调试了一切ok,但是部署到服务器上以后就出现问题了,后台服务调用没有响应,怎么回事?代码没怎么改动,唯一修改的地方就是jQuery的ajax方法中的url地址。难道是这里的问题,经过检查和调试,发现原来是同源策略在作怪,我们知道,JavaScript或jQuery是在Web前端开发中经常使用的动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
跨域请求之URL类篇
astrologer_的博客
05-05 1639
       前面有篇博文介绍了java的URL类跨域请求,但是介绍的不是很完整,所以决定重新写篇博文详细介绍一下java的URL类。附实际案例之前首先说一些关于http协议的内容。1. GET请求与POST请求 GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中),以?分割URL和传输数据,参数之间以&amp;相连。GET请求发送的参数如果数据是英文字母或数字,则按原样发送,如果...
跨域请求
you are sherlocked by me!
11-23 391
代码地址:https://github.com/youaresherlock/HeadFirstHtml5 在阅读headfirsthtml5时,学习了同源策略以及JSONP。下面我简单介绍一下: 浏览器的同源策略: 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。它是由Netscape提出的一个著名的安全策略,现...
gulp 跨域
di84186的博客
08-21 257
//引入插件 var gulp = require('gulp'); // var Proxy = require('gulp-connect-proxy'); var connect = require('gulp-connect'); var proxy = require('http-proxy-middleware'); //使用connect启动一个W...
解决跨域请求和接口安全问题
wuyang19920226的博客
06-16 5281
写在前面:最近一个月因为事杂且多,没有抽出时间来整理技术点。早就想好写这方面的内容了,这周末才勉强挤出时间整理下。 步入正题,既然是解决跨域请求,那么要知道什么是跨域请求,为什么会有跨域请求。 一、什么是跨域请求: 首先引入一个概念:同源策略。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。为了保护本地数据不被JavaScript代码获取回...
浏览器http跨域请求
weixin_46415189的博客
05-07 547
浏览器跨域原因 vue中axios跨域cookie携带处理 后台跨域处理 处理原因 为了帮助理解,只是为了解决问题不用看此内容
httpservletrequest 添加跨域cookie
chaochao132的博客
03-23 967
今天需要在用户登录后添加别的域的cookie,然后网上搜了一下,发现大多数写的都是一样,但是我测试就是不行。由于自己对cookie也不了解,所以只能接着看,然后发现了自己的cookie生成不了的原因。 下面的是我自己贴过来备用的, 原文地址请看[url]http://www.vinceruan.info/front/cross-domain-process-cookie-session/[/...
springboot--跨域中HttpServletRequest不能共享数据
weixin_47245896的博客
02-21 311
在注解上加入 @CrossOrigin(allowedHeaders = "*",allowCredentials = "true") 在前端的ajax请求中加入 xhrFields:{withCredentials:true}
解决Geoserver请求跨域几种思路
06-02
如果 Geoserver 支持返回 JSONP 格式数据,可以通过在客户端使用 JSONP 的方式实现跨域请求。 4. 使用 WebSocket:WebSocket 是一种支持双向通信的网络协议,可以在客户端和服务器之间建立一个持久化的连接。如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值