CORS跨域

最新推荐文章于 2024-08-06 10:22:43 发布
最新推荐文章于 2024-08-06 10:22:43 发布
阅读量441 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yi234567bo/article/details/107945657
版权

CORS跨域

1.跨域问题

1.1.什么是跨域

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。

当前页面url被请求页面url是否跨域原因
http://www.test.com/http://www.test.com/index.html同源(协议、域名、端口号相同)
http://www.test.com/https://www.test.com/index.html跨域协议不同(http/https)
http://www.test.com/http://www.baidu.com/跨域主域名不同(test/baidu)
http://www.test.com/http://blog.test.com/跨域子域名不同(www/blog)
http://www.test.com:8080/http://www.test.com:7001/跨域端口号不同(8080/7001)

上述表格出自播客:https://blog.csdn.net/qq_38128179/article/details/84956552

比如是从manage.test.com去访问api.test.com,这属于三级域名不同,跨域了。

1.2.为什么有跨域问题?

跨域不一定会有跨域问题。

因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是于当前页同域名的路径,这能有效的阻止跨站攻击。

因此:跨域问题 是针对ajax的一种限制

但是这却给我们的开发带来了不变,而且在实际生成环境中,肯定会有很多台服务器之间交互,地址和端口都可能不同,怎么办?

1.3.解决跨域问题的方案

浏览器虽然会限制跨域请求,但是也给出了解决方案。如果你确实需要发送跨域的ajax,必须通过被访问的服务端同意才可以。

浏览器与服务器间协商是否允许跨域,这样的方式就是CORS。

参考文档:https://www.ruanyifeng.com/blog/2016/04/cors.html

2.CORS介绍

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

  • 浏览器端:

    目前,所有浏览器都支持该功能(IE10以下不行)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。浏览器会在发出ajax时询问服务端是否允许当前网站的跨域请求,并根据服务端响应做出拦截或放行的处理。

  • 服务端:

    CORS通信与AJAX没有任何差别,因此你不需要改变以前的业务逻辑。只不过,浏览器会在请求中携带一些头信息,表明请求者的身份。服务端接收到以后,需要对这些信息做出判断,如果允许则需要在返回的头信息中携带一些许可的声明。

3.SpringCloudGateway的CORS

在SpringCloudGateway中,已经提供了默认的CORS实现,我们只需要通过application.yml做简单配置即可。

spring:
  cloud:
    gateway:
      # 。。。
      globalcors: # 全局的跨域处理
        add-to-simple-url-handler-mapping: true # 是否将当前cors配置加入到SimpleUrlHandlerMapping中,解决options请求被拦截问题
        corsConfigurations:
          '[/**]':
            allowedOrigins: # 允许哪些网站的跨域请求
              - "http://manage.test.com"
              - "http://www.test.com"
            allowedMethods: # 允许的跨域ajax的请求方式
              - "GET"
              - "POST"
              - "DELETE"
              - "PUT"
              - "OPTIONS"
            allowedHeaders: "*" # 允许在请求中携带的头信息
            allowCredentials: true # 是否允许携带cookie
            maxAge: 360000 # 这次跨域检测的有效期

完整配置:

server:
  port: 10010
eureka:
  client:
    service-url:
      defaultZone: http://test-registry:10086/eureka
hystrix:
  command:
    default:
      execution.isolation.thread.timeoutInMilliseconds: 6000 # 熔断超时时长:6000ms
ribbon:
  ConnectTimeout: 500 # ribbon链接超时时长
  ReadTimeout: 2000 # ribbon读取超时时长
spring:
  application:
    name: test-gateway
  redis:
    host: test-redis # redis地址
    port: 6379 # redis端口
  cloud:
    gateway:
      default-filters: # 默认过滤项
      - StripPrefix=1 # 去除路由前缀
      - name: Hystrix # 指定过滤工厂名称(可以是任意过滤工厂类型)
        args: # 指定过滤的参数
          name: fallbackcmd  # hystrix的指令名
          fallbackUri: forward:/hystrix/fallback # 失败后的跳转路径
      - name: RequestRateLimiter #请求数限流 名字不能随便写
        args:
          key-resolver: "#{@ipKeyResolver}" # 通过spEL表达式指定一个key生成器,#{}是spEL,@代表spring中的Bean
          redis-rate-limiter.replenishRate: 2 # 生成令牌的速率
          redis-rate-limiter.burstCapacity: 2 # 桶的容量
      globalcors: # 全局的跨域处理
        add-to-simple-url-handler-mapping: true # 是否将当前cors配置加入到SimpleUrlHandlerMapping中,解决options请求被拦截问题
        corsConfigurations:
          '[/**]': # /** 代表拦截一切请求路径,都需要做CORS判断
            allowedOrigins: # 允许哪些网站的跨域请求
            - "http://manage.test.com"
            - "http://www.test.com"
            allowedMethods: # 允许的跨域ajax的请求方式
            - "GET"
            - "POST"
            - "DELETE"
            - "PUT"
            - "OPTIONS"
            allowedHeaders: "*" # 允许在请求中携带的头信息
            allowCredentials: true # 是否允许携带cookie
            maxAge: 360000 # 这次跨域检测的有效期
      routes:
      - id: item-service # 商品微服务
        uri: lb://item-service
        predicates:
        - Path=/item/**
logging:
  level:
    com.test: debug
一234567博
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端 跨域问题 详解
技术改变世界
08-26 624
1、什么是跨域 跨域请求,简单说就是从一个域访问另一个域下的数据或资源。受同源策略限制,javascript不能跨域,那么什么是同源策略? 同源策略:它会阻止从一个域上加载的脚本去获取或者操作另一个域上的文档属性。也就是说,受到请求的url的域必须与当期web页面的域相同。这说明浏览器隔离来自不同源的内容,以防止他们之间的操作。那么为何要使用同源策略呢? 同源策略的好处:答案就
总结一下跨域的几种情况
hxstream的专栏
12-30 1479
在网站开发中,经常会遇到跨域问题,下面总结一下集中常见的跨域问题。1. 不同域名属于跨域,如:www.a.com 和www.b.com,另外www.a.com 和www.a.com.cn也属于不同域名。2. 主域名和子域名(二域名、三域名等)跨域,如:www.a.com 和 bbs.a.com 跨域。3. 不同协议属于跨域,如:h
GlobalCorsConfig.java
05-19
全局跨域配置java文件源代码
跨域CORS
demo小王子
03-23 242
what is 跨域? Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实 现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。 所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口 号(port) 跨域调用错误 如果跨域调用,会出现如下错误: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http:
cookie二域名和三域名跨域实践
qq_42535651的博客
10-09 2627
自己有一个二域名 www.zlxdsl.cn,然后又绑定了一个三域名 nice.www.zlxdsl.cn。在服务器端进行了配置,使得二和三域名能够分别导向不同的页面。 具体的服务器配置是 centos7 apache 在httpd.conf中配置 virtualhost <VirtualHost *:80> ServerName nice.www.zlxdsl.cn DocumentRoot "/var/www/nice" <Directory "/var/www/
CORS解释
那些年的代码
06-19 239
wiki上的解释是Cross-origin resource sharing (CORS) is a mechanism that allows restricted resources ,即跨域访问。 这个字段默认为false,在Elasticsearch安装集群之外的一台机上用Sense、Head等监控插件访问Elasticsearch是不允许的。这个字段最早可以追溯到1.4...
Spring Cloud Gateway系列(二):CORS跨域配置
u013244613的博客
03-06 2828
对于云Paas平台,对外提供的API需要满足客户多种场景的调用需求,其中就包括WEB端的对接。由于浏览器同源策略的限制,Spring Cloud Gateway接收到的客户WEB场景下请求必然存在跨域问题,浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。这篇文章对CORS进行了详细的介绍,拜读之后受益匪浅。https://www.ruanyifeng.com/blog/2016/04/cors.html S...
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
CORS跨域设置主要涉及到修改服务器配置,添加适当的HTTP响应头部,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。具体实现方法因服务器类型而异,但核心思想...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
cors跨域Tomcat文件
04-21
【标题】"cors跨域Tomcat文件"涉及的是在Web开发中解决跨域问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
react中fetch之cors跨域请求的实现方法
08-27
React 中的 CORS 跨域请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到跨域问题,即无法从不同域名下的服务器获取数据。这篇...
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1741
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。
spring cloud gateway跨域配置CORS Configuration
09-28 5122
spring cloud gateway跨域配置CORS Configuration
Spring Cloud Gateway从数据库读取并更新Cors配置
huangliuyu00的博客
11-27 1116
由于运维特殊性,我们没有使用配置中心,仅仅只是使用了Nacos作为注册中心。目前项目gateway网关有个小需求,需求从数据库中读取Cors跨域配置,刷新到应用中。
前后端跨域问题:Cors方式(SpringBoot解决)
菜鸡也有大佬梦
10-07 2312
跨域问题 1.哪种情况跨域 不同域名属于跨域,如:www.a.com 和www.b.com,另外www.a.com 和www.a.com.cn也属于不同域名。 主域名和子域名(二域名、三域名等)跨域,如:www.a.com 和 bbs.a.com 跨域不同协议属于跨域,如:http://www.a.com 和 https://www.a.com。 Ip和域名属于跨域,如:...
跨域及解决方案
weixin_51670675的博客
10-18 3262
浏览器的同源策略和常见的跨域解决方案
跨域问题整理
qq_43215592的博客
09-27 163
什么是跨域请求 当一台服务器资源从另一台服务器(不同域名或者端口)请求一个资源或者接口,就会发起一个跨域 HTTP 请求。比如从http://aaa.com/index.html,发送一个 Ajax 请求,请求地址是 http://bbb.com/下面的一个接口,这就是发起了一个跨域请求。在不做任何处理的情况下,这个跨域请求是无法被成功请求的,因为浏览器基于同源策略会对跨域请求做一定的限制。 什么是同源策略 如果不是浏览器的话, 就不会受到同源策略的影响。也就是说,两个服务器直接进行跨域请求是可以进行数据
C++ - 函数重载
最新发布
jiaowenjie的专栏
08-06 311
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
cors跨域漏洞概述
10-11
CORS(跨来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些响应头来明确指示哪些域被允许访问该资源。由于同源策略的限制,浏览器通常不允许从一个源加载另一个源的资源,但如果服务器明确指定了某些域可以访问该资源,浏览器就会允许跨域请求。 然而,CORS 也存在一些安全风险。其中最常见的是 CORS 跨域漏洞,攻击者可以利用这种漏洞来盗取用户数据或执行恶意脚本。攻击者可能会伪造一个跨域请求,然后向服务器发送一个 HTTP 请求,服务器在响应中添加了允许其它域名访问该资源的头部,攻击者就能够获取到服务器返回的数据。 为了防止 CORS 跨域漏洞,服务器需要对来自非法域名跨域请求进行严格检查,并且不要将敏感信息包含在跨域响应中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值