什么是跨域,后端工程师如何处理跨域

最新推荐文章于 2024-12-21 14:27:02 发布
最新推荐文章于 2024-12-21 14:27:02 发布
阅读量281 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: C++开发 Linux开发 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Linuxhus/article/details/127011490
本文探讨了什么是跨域,以及同源策略的概念。详细解释了浏览器的同源策略限制,包括对非同源请求的限制。文章重点介绍了如何处理跨域问题,特别是针对 AJAX 请求,讲解了 CORS(跨域资源共享)机制的工作原理,包括简单请求和非简单请求的处理,并提供了服务端处理 CORS 的示例。最后,给出了调试跨域问题的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是跨域

前言

作为一名后端开发工程师,在给前端同事写接口的时候,经常碰到他们讲,你的接口跨域了,那么什么是跨域,这里来研究下。

什么是跨域

先来看下跨域的定义

跨域的广义定义:跨域是指一个域下的文档或脚本试图去请求另一个域下的资源。

我们经常遇到的跨域是由浏览器同源策略限制的一类请求场景。

栗如,下面的请求就发生了跨域,在京东的 H5 页面中请求淘宝的接口

上面栗子中跨域最终的罪魁祸首就是浏览器的同源策略。

1、因为上面的域名不相同,所以请求的接口被认为是非同源。

2、同时出于安全性,浏览器限制脚本内发起的跨源 HTTP 请求。 例如,XMLHttpRequest 和 Fetch API 遵循同源策略。所以上面的请求就报了跨域的错误。

同源策略

什么是同源策略

同源策略/SOP (Same origin policy)是一种约定,由 Netscape 公司1995年引入浏览器。

同源策略是指在 Web 浏览器中,允许某个网站脚本访问另一个网站的数据,但前提是这两个网站必须满足三个相同:

1、协议相同;

2、域名相同;

3、端口相同;

一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。

非同源的限制条件

如果两个网站非同源,将受到下面的几种限制

1、Cookie、LocalStorage 和 IndexDB 无法读取;

2、DOM 无法获得;

3、AJAX 请求不能发送。

同源策略的目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

栗如:Cookie 中存了一些用户的登陆信息,如果没有同源策略的限制,那么任何网站都能访问 Cookie,用户的信息就会泄露了,就能伪造用户信息登陆目标网站了,这显然是有很大的安全隐患的。

如何处理跨域

因为非同源有上面三种限制,这种能够规避一定的安全问题,但是有时候我们正常的使用也受到了影响,所以有时候我们需要想办法规避这种限制。

非同源限制中的

1、Cookie、LocalStorage 和 IndexDB 无法读取;

2、DOM 无法获得;

这里就不展开讨论了,这种只需要在前端页面中进行调整就行了,这里重点关注下有和后端交互的 3、AJAX 请求不能发送 的这种限制。

处理 AJAX 非同源的限制

同源政策规定,AJAX 请求只能发给同源的网址,否则就报错。

除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个限制。

1、JSONP

2、WebSocket

3、CORS

关于 WebSocket 和 JSONP 的处理参见浏览器同源政策及其规避方法

作为服务端开发,对于 CORS 使用的比较多,这里展开讨论下

CORS

CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。

跨源资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

CORS 的使用的关键在服务端,浏览器发送请求,服务端接收到客户端请求做一些判断(请求方是否在自己的“白名单”里?),如果没问题就返回数据,否则拒绝。

浏览器将 CORS 请求分成两类:

简单请求(simple request)

非简单请求(not-so-simple request)

最低0.47元/天 解锁文章
揭秘Spring Cloud Gateway在后端处理方案
欢迎来到我的优快云空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
05-13 1046
本文旨在为开发人员提供Spring Cloud Gateway中处理的全面指南。CORS在微服务架构中的重要性Spring Cloud Gateway的CORS处理机制配置方式的适用场景和性能考量文章首先介绍CORS的基本概念和Spring Cloud Gateway的架构,然后深入技术实现细节,包括源码分析和配置示例。后续章节将展示实际应用案例和性能优化建议,最后讨论相关工具和未来发展趋势。CORS(源资源共享)
前端后端问题
01-02
原因:  浏览器限制  名,端口,协议,ip一样)  在使用XMLHTTPRequest对象发送HTTP请求时,会遇到同源策略问题,同请求会被浏览器拦截。
后端
weixin_49319422的博客
11-25 4013
DRF后端解决之django-cors-headers 在使用django-rest-framework开发项目的时候我们总是避免的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现。当然如果前端框架是Vue的话,则可以代理服务实现,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。 DRF后端实现第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、 同源策略
后端方式
qq_36413371的博客
04-17 193
cors nodejs设置允许所有(下面代码放在请求前): app.all("*", function (req, res, next) { //设置允许名,*代表允许任意 res.header("Access-Control-Allow-Origin", "*"); //允许的header类型 res.header("Access-...
后端实现(三种方式)
m0_70770402的博客
02-27 1564
相较于前端实现,有时会出现失败,列举后端三种方式实现。2.实现接口并重写方法来解决。3.添加过滤器来实现。1.加注解 代码重复。
Java3年后端工程师简历模板
04-24
【Java后端工程师核心知识点详解】 1. **Java基础知识**:作为Java后端工程师,基础扎实至关重要。这包括对集合(如ArrayList、LinkedList、HashMap等)、反射(用于运行时检查对象属性和方法)和多线程(处理并发...
利用nginx解决问题的方法(以flask为例)
01-10
我们单位的架构是在api和js之间架构一个中间层(python编写),以实现后端渲染,登录状态判定,转发api等功能。但是这样一个中间会使前端工程师的工作量乘上两倍,原本js可以直接ajax请求api,但是我们...
vue几个常用处理方式介绍
08-28
在当前的Web开发领,前后端分离已经成为一种常见的架构模式,前端工程师通过异步请求与后端API进行交互。但由此引发的问题也日益受到重视。为了解决这个问题,技术人员必须掌握一系列处理方式。本文将详细...
后端解决
热门推荐
m0_58542705的博客
03-23 1万+
后端处理问题 什么是 ,指的是浏览器能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,名,协议,端口均相同,明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http://www.456.com/server.php (主同:123/456,) http://ab
判断接口是否支持
ltochange的博客
05-23 3639
打开浏览器,右键,选择检查,选择console 输入测试代码,然后回车,正常返回即可请求 get请求 var xhr = new XMLHttpRequest(); xhr.open('GET', 'url'); xhr.send(null); xhr.onload = function(e) { var xhr = e.target; console.log(xhr.responseText); } post请求: var httpRequest = n
后端快速入门:什么是后端如何处理
Old_Secretary的博客
04-14 3036
的特点: 首先要明确的一些特点(有的叫,有的叫源,我纠结叫法,能理解就行): 是指一个去请求另一个的接口 指的是 名+协议+端口 三者,有一个一样,就算作是同的 是浏览器的策略,也就是说没有配置的情况下,使用浏览器前端页面请求接口会被浏览器拦截,使用apifox等工具则能够正常请求 当用户使用前端页面调用后端接口时,原是前端页面所在的服务器的名+协议+端口(而是用户的,用户一般也没有),目标指的是后端api服务器的名+协议+端口
的解决方式(java后端
从基础到源码解析的学习记录
12-14 6610
同源策略(Sameoriginpolicy)是浏览器最核心也最基本的安全功能一个页面发起的ajax请求,只能是与当前页名相同的路径,这能有效的阻止站攻击所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)和端口号。
前端和后端解决问题的方法
web13688565871的博客
12-21 2764
后端接收到请求并返回结果了,浏览器把这个响应拦截了。
后端分离 问题解决
jijianshuai的专栏
11-24 3755
的实现原理 http 请求后端服务的时候会在请求头中带上如下信息 Origin: http://api.jijs.com 后端服务器需要在http的响应头中添加以下响应头 Access-Control-Allow-Origin : http://api.jijs.com 接收到请求后,并验证该站点是否支持请求。 如果前端没有收到该相应头,则浏览器允许请求的。
接口问题——CORS、JSONP
h_jQuery的博客
06-20 1458
1.接口的问题 get和post接口,支持请求 解决接口问题的方案主要有两种: 1.CORS(主流的解决方案,推荐使用) 2.JSONP(有缺陷的解决方案:只支持get请求) CORS :资源共享 cors 是 Express 的一个第三方中间件。通过安装和配置 cors 中间件,可以很方便地解决问题 **CORS (Cross-Origin Resource Sharing,资源共享)**由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端 JS 代
问题(三种解决方法)
weixin_47414034的博客
12-31 5998
两个请求的协议(比如http),名(比如说localhost或者192.168.0.0),端口号三者一模一样(其他可以一样)才算两个请求在同一个内,三者但凡有一个一样都是就是一个名的网页去请求另一个名的资源,比如你刚刚在A网站输入了自己的账号密码,然后访问B网站,B网站无法获取账号密码。比如现在前端工程想要访问后端工程中的list方法,只需要在这个方法上面添加@CrossOrigin注解即可。其实后端是有接收到请求,也给前端工程返回了数据,但是浏览器收到之后拒绝前端读取响应数据。
定义、出现原因、解决办法
日晞的博客
09-20 717
:当页面的某个接口请求的地址与当前页面的地址中名、端口、协议有时,即为。出现原因:因为浏览器发起接口请求必须符合同源协议,即名,端口和协议必须都一样,否则,无法请求数据,目的是保证网站安全。
linux设置谷歌浏览器,新版chrome浏览器设置允许的实现
weixin_30218749的博客
05-14 2231
前言目前前端解决,主要是通过webpack的devServer来配置。但是有时候开发环境中没有配置devServer,后端又没有设置。前后端分离项目,本地调试代码的时候,经常会遇到问题。本文主要是对之前文章浏览器访问解决方案,做一个补充吧,因为这篇文章最后对chrome设置方式,目前设置起作用了,更新文章,修正一下。解决--disable-web-security 起作用的方案...
后端工程师获取SseEmitter接收数据
最新发布
03-26
<think>好的,我现在需要帮助用户了解如何使用SseEmitter实现服务器发送事件(SSE)并接收数据的示例。首先,我得回忆一下SSE的基本概念和SseEmitter的作用。SSE允许服务器主动向客户端推送数据,常用于实时更新,比如股票行情或实时通知。而SseEmitter是Spring框架中用于处理SSE的一个类。 接下来,用户需要一个具体的示例,所以我应该分步骤来展示后端的实现和前端的使用。首先,后端部分需要创建一个Controller,使用@GetMapping映射到一个路径,并返回SseEmitter对象。这里需要处理问题,可能需要添加@CrossOrigin注解。然后,在方法内部,创建一个SseEmitter实例,设置超时时间,比如设置为0表示永超时。 然后,需要在一个单独的线程中发送数据,模拟实时推送。这里可以用ExecutorService来调度任务,每隔一段时间发送数据。发送数据时,使用emitter.send()方法,并处理可能的IOException。完成后调用emitter.complete()。 在前端部分,需要使用EventSource对象连接到后端端点,监听message事件来接收数据,并处理错误和完成事件。这里要注意问题,如果前端和后端同源,需要正确配置CORS。 另外,需要注意的几个点:确保Spring Boot版本支持SseEmitter,一般是2.0以上;超时设置要根据实际需求调整;在生产环境中可能需要更完善的错误处理和资源管理,比如关闭线程池。 用户可能还会关心如何传递具体的数据格式,比如发送JSON数据,可以在send方法中传递对象,Spring会自动转换为JSON字符串。此外,异常处理部分也很重要,比如客户端断开连接后,后端需要捕获异常并释放资源。 最后,可能需要生成相关问题,比如SSE与WebSocket的区别、如何保证消息顺序、如何处理大规模并发连接等,这有助于用户进一步学习。 现在需要把这些思路整理成结构化的步骤,确保代码示例正确,并且注释清晰。同时,引用用户提供的参考内容,虽然看起来和SSE关系大,但可能涉及异步支持,所以可以提到AbstractDispatcherServletInitializer的异步配置,确保DispatcherServlet的异步支持已启用,因为SseEmitter依赖于此。</think>以下是通过Spring Boot的SseEmitter实现SSE的详细步骤和示例: ### 一、后端实现 ```java @RestController @CrossOrigin // 解决问题 public class SseController { private final ExecutorService executor = Executors.newCachedThreadPool(); @GetMapping("/sse-stream") public SseEmitter streamData() { SseEmitter emitter = new SseEmitter(0L); // 设置永超时 executor.execute(() -> { try { for (int i = 1; i <= 10; i++) { // 构建带时间戳的消息 String jsonPayload = String.format( "{\"count\": %d, \"timestamp\": \"%s\"}", i, LocalDateTime.now().format(DateTimeFormatter.ISO_LOCAL_DATE_TIME) ); emitter.send( SseEmitter.event() .id(String.valueOf(i)) .name("progress") .data(jsonPayload) ); Thread.sleep(1000); // 每秒发送一次 } emitter.complete(); } catch (IOException | InterruptedException e) { emitter.completeWithError(e); } }); // 客户端断开连接处理 emitter.onCompletion(() -> System.out.println("SSE连接已完成")); emitter.onTimeout(() -> System.out.println("SSE连接超时")); emitter.onError((ex) -> System.out.println("SSE发生错误: " + ex.getMessage())); return emitter; } } ``` 关键配置说明: 1. 异步支持需在DispatcherServlet中启用,Spring Boot默认开启异步处理[^1] 2. 使用`@CrossOrigin`解决问题 3. 通过`SseEmitter.event()`构建结构化事件 ### 二、前端实现 ```javascript const eventSource = new EventSource('http://localhost:8080/sse-stream'); eventSource.addEventListener('progress', (event) => { const data = JSON.parse(event.data); console.log(`收到进度更新: 序号: ${event.lastEventId} 计数: ${data.count} 时间: ${data.timestamp}`); }); eventSource.onerror = (err) => { console.error('SSE连接异常:', err); eventSource.close(); }; eventSource.onopen = () => { console.log('SSE连接已建立'); }; ``` ### 三、运行效果 ``` SSE连接已建立 收到进度更新: 序号:1 计数:1 时间:2023-03-15T14:30:01.123 收到进度更新: 序号:2 计数:2 时间:2023-03-15T14:30:02.456 ... 收到进度更新: 序号:10 计数:10 时间:2023-03-15T14:30:10.789 SSE连接已完成 ``` ### 四、进阶配置建议 1. **安全增强**:添加JWT认证头 ```javascript const eventSource = new EventSource('/sse-stream', { withCredentials: true }); ``` 2. **心跳机制**:防止连接超时 ```java emitter.send(SseEmitter.event().comment("heartbeat")); ``` 3. **异常恢复**:实现断线重连 ```javascript function connect() { const es = new EventSource(...); es.onerror = () => { setTimeout(connect, 5000); // 5秒后重连 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值