cors解决跨域问题

最新推荐文章于 2023-09-29 16:14:27 发布
最新推荐文章于 2023-09-29 16:14:27 发布
阅读量408 收藏
点赞数 1
分类专栏: java后台学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yueyuanyu_123/article/details/89791061
版权

为什么有跨域问题?

浏览器跨域请求可以是a标签,

可以是script标签,

,

也可以是ajax请求

跨域问题是浏览器处于安全考虑对ajax专门做的限制:原因是ajax可以发起任意请求而其他两种只能是get请求,只能做点查询,是较为安全的.

解决跨域问题的方案

Jsonp
最早的解决方案,利用script标签可以跨域的原理实现。
限制:
需要服务的支持
只能发起GET请求

nginx反向代理
思路是:利用nginx反向代理把跨域为不跨域,支持各种请求方式
缺点:需要在nginx进行额外配置,语义不清晰

CORS
规范化的跨域请求解决方案,安全可靠。
优势:
在服务端进行控制是否允许跨域,可自定义规则
支持各种请求方式
缺点:
会产生额外的请求

目前常用的是cors解决方案

浏览器会将ajax请求分为两类,其处理方案略有差异:简单请求、特殊请求。

简单请求

只要同时满足以下两大条件,就属于简单请求。:

(1) 请求方法是以下三种方法之一:

HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
当浏览器发现发现的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.
在这里插入图片描述
服务会根据这个值决定是否允许其跨域
如果服务器允许跨域,需要在返回的响应头中携带下面信息:

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8

如果服务器允许跨域,需要在返回的响应头中携带下面信息:

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*,代表任意
Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true
注意:
如果跨域请求要想操作cookie,需要满足3个条件:
服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
浏览器发起ajax需要指定withCredentials 为true
响应头中的Access-Control-Allow-Origin一定不能为,必须是指定的域名*

特殊请求

不符合简单请求的条件,会被浏览器判定为特殊请求,,例如请求方式为PUT。
预检请求

特殊请求会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

一个“预检”请求的样板:

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
与简单请求相比,除了Origin以外,多了两个头:

Access-Control-Request-Method:接下来会用到的请求方式,比如PUT
Access-Control-Request-Headers:会额外用到的头信息
预检请求的响应

服务的收到预检请求,如果许可跨域,会发出响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外,这里又额外多出3个头:

Access-Control-Allow-Methods:允许访问的方式
Access-Control-Allow-Headers:允许携带的头
Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了
如果浏览器得到上述响应,则认定为可以跨域,后续就跟简单请求的处理是一样的了。

实现

虽然原理比较复杂,但是前面说过:
浏览器端都有浏览器自动完成,我们无需操心
服务端可以通过拦截器统一实现,不必每次都去进行跨域判定的编写。
事实上,SpringMVC已经帮我们写好了CORS的跨域过滤器:CorsFilter ,内部已经实现了刚才所讲的判定逻辑,我们直接用就好了。
在ly-api-gateway中编写一个配置类,并且注册CorsFilter:

package com.leyou.gateway.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域,不要写*,否则cookie就无法使用了
        config.addAllowedOrigin("http://manager.leyou.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允许的头信息
        config.addAllowedHeader("*");
        config.setMaxAge(3600L);
        //2.添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

重新运行即可

个人理解

这种cors方式相当于在请求头中加入一些信息,服务端判断是否是自己的客户端发起的请求,再决定是否予以返回请求.这种方式需要客户端和服务端都支持
例如上面案例,基本需求我们至少要配置:
1.Access-Control-Allow-Origin 允许的域名
2.Access-Control-Allow-Credentials:是否带cookie
3.允许的请求方式 入GET POST PUT OPTIONS等
4.允许的头信息:
config.addAllowedHeader("*"); //此处需要前后端人员协商 *代表任意
5.映射路径

参考学习资料

itheima

yueyuanyu_123
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS解决跨域问题(403问题)
04-04
Tomcat lib目录下添加cors-filter-1.7.jar,java-property-utils-1.9.jar这两个jar包,项目中web.xml 中添加filter,以及出现OPTIONS 类型的请求并返回403的解决方案;压缩文件包含jar文件,以及web.xml配置。
若依springboot 项目 做跨域设置
qq_41901629的博客
08-30 746
/需要放行header头部字段 如需鉴权字段,自行添加,如Authorization等。//解决Access-Control-Allow-Origin跨域问题。//放行所有,类似*,这里的*完全无效。
跨域问题解决办法 (has been blocked by CORS policy:Response……) 原因及解决办法
轻风细雨_林木木
03-20 3万+
参考:https://www.cnblogs.com/wyw0905/p/14990707.html 前端报错 has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 什么是CORS CORS全称是跨域资源共.
06-若依前后端分离项目跨域问题解决方式
老刀
07-14 1万+
跨域就是前后端分离项目前端无法把session等信息传递给后端服务器。跨域源自浏览器同源策略。同源策略是一种约定,同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。只要两个站点的域名或ip、端口、协议中的任意一个不同就认为是跨域。同源策略是为了保证web应用的安全性,但是会给开发造成麻烦。ruoyi-vue 项目中使用了cors方式解决跨域问题。...
跨域问题详解:CORS问题+解决办法
最新发布
weixin_45565886的博客
09-29 9159
跨域问题详解:CORS问题+解决办法
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_53841730的博客
01-31 2万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
Django通过设置CORS解决跨域问题
01-19
一、Ajax 跨域请求 Ajax 请求一个目标地址为非本域(协议、主机、端口任意一个不同)的 web 资源。 前端 ...后端 ... Ajax 跨域请求保护的作用:防止跨站的...三、Django 解决跨域问题 Django 框架中通过 django-cors-head
django基于cors解决跨域请求问题详解
09-18
主要介绍了django基于cors解决跨域请求问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
JS跨域解决方案之使用CORS实现跨域
10-22
正常使用AJAX会需要正常考虑跨域问题,所以伟大的程序员们又折腾出了一系列跨域问题解决方案,如JSONP、flash、ifame、xhr2等等。本文给大家介绍JS跨域解决方案之使用CORS实现跨域,感兴趣的朋友参考下吧
若依前后端分离框架下载需要授权的url文件,解决跨域问题
Hunter_Kevin的博客
03-24 6029
一、问题描述: 使用若依前后端分离项目,前台点击下载图片,触发下载事件,而不是直接打开显示图片 二、解决思路: 前端调用后端接口,将需要下载的图片https链接传给后端下载 后端需要设置响应头response.addHeader("Access-Control-Allow-Origin", "*"); 允许跨域 前端需要设置 responseType: 'blob' 告诉后端前端需要的是blob二进制文件流,否则会导致返回乱码 前端发送请求调用后端自定义文件下载接口的代码可以参考:链接指引 或者 前
跨域及cors解决跨域
weixin_50769390的博客
11-17 1632
跨域问题及Springboot处理cors跨域
【springboot】【若依(ruoyi)】@RestController 接口跨域请求
sayyy的专栏
09-04 7404
前言 springboot 2.1.1.RELEASE 360极速浏览器 12.0.1476.0 (正式版本) (32 位) jquery 3.5.0 接口跨域请求有两者方式: jsonp CORS JSONP JSONP(JSON with Padding)是利用浏览器对script的资源引用没有同源限制,通过动态插入一个script标签,当资源加载到页面后会立即执行的原理实现跨域的。 JSONP是一种非正式传输协议,具体做法是:用户传递一个callback参数给服务端。服务端返回数据时用cal
解决跨域问题的方法 --- CORS
z_2532040197的博客
08-01 2060
CORS 全称是"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持。但是目前基本上浏览器都支持,所以我们只要保证服务器端服务器实现了 CORS 接口,就可以跨源通信。 在数据包的头部配置Access-Control-Allow-Origin字段以后,数据包发送给浏览器后, 浏览器就会根据这里配置的白名单 "放行" 允许白名单的服务器对应的网页来用ajax跨域访问 。...
has been blocked by CORS policy: Response异常问题的 解决
shenxiaomo1688的博客
06-07 1万+
项目做前后端分离后,第一次遇到这种问题,在这里记录解决的过程。因为采用前后端分离开发,前端和和后台使用的端口号不一致。顺便说下跨域问题的来源: 1、访问协议不同 ,如http和https之间 2、访问地址不同 3、端口号不同 ...
django:has been blocked by CORS policy: Response to preflight request doesn‘t pass
喵酱
04-02 3719
django:has been blocked by CORS policy: Response to preflight request doesn't pass
浏览器预检请求返回400 has been blocked by CORS policy: Response to preflight request doesn’t pass access cont
热门推荐
weixin_53512283的博客
04-02 3万+
这个问题也是很过分头一次遇到,原因是谷歌浏览器在有跨域(CORS)请求时,会先发送一个preflight(预检)请求,之后才会发送fetch请求。 CORS:跨源资源共享(CORS)(或通俗地译为跨域资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发...
CORS解决跨域的几种实现方式
m0_59508658的博客
08-19 7176
目录 一、什么是跨域 二、同源策略 非同源限制 三、跨域的解决办法 CORS 3.1、两种请求 3.1.1、简单请求 3.1.2、非简单请求 3.2、CORS常用解决跨域的方法 3.2.1、HttpServletResponse添加头信息 3.2.2、使用Spring注解@CrossOrigin 3.2.3、通过配置类解决跨域 一、什么是跨域 当一个请求的url的协议、域名、端口任意一个与当前页面的url不同即为跨域 a页面想获取b页面的资源,a与b页面的协议、域名或端口
跨域问题(has been blocked by CORS policy:Response……)原因及解决办法
轻风细雨_林木木
12-06 864
参考:https://www.cnblogs.com/wyw0905/p/14990707.html 前端报错 has been blocked by CORS policy: Response to ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值