后端跨域设置

最新推荐文章于 2025-05-12 20:06:30 发布
最新推荐文章于 2025-05-12 20:06:30 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenrushui/article/details/109266918

为什么会出现跨域问题

出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)

 

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

 

跨域请求

跨域资源共享CORS详解

一、简介

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

二、两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

2.1简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。

Origin指定的域名受否在许可的范围之内?

Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求

 

2.2非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

 

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

除了Origin字段,"预检"请求的头信息包括两个特殊字段。

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

Access-Control-Allow-Origin: http://api.bob.com.

 

陈如水
关注
史上最全前端&后端请求处理
m0_68271787的博客
05-20 879
举例说明:当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为SSM用法首先编写一个过滤器,可以起名字为MyCorsFilter.java​​​​​​​在web.xml中配置这个过滤器,使其生效。
后端实现(三种方式)
m0_70770402的博客
02-27 1564
相较于前端实现,有时会出现失败,列举后端三种方式实现。2.实现接口并重写方法来解决。3.添加过滤器来实现。1.加注解 代码重复。
前端后端问题
01-02
原因:  浏览器限制  名,端口,协议,ip不一样)  在使用XMLHTTPRequest对象发送HTTP请求时,会遇到同源策略问题,不同请求会被浏览器拦截。
后端
weixin_49319422的博客
11-25 4013
DRF后端解决之django-cors-headers 在使用django-rest-framework开发项目的时候我们总是避免不了的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现。当然如果前端框架是Vue的话,则可以代理服务实现,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。 DRF后端实现第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、 同源策略
后端】SpringBoot用CORS解决无法访问的问题
最新发布
子冉冰清的博客
05-12 1453
适用于更底层的控制(不推荐,除非有特殊需求)。@Component@Override.allowedOrigins("http://localhost:3000") // 推荐明确指定前端地址.allowedHeaders("*") // 可选,允许前端发送的自定义 Header// 可选,预检请求的缓存时间(单位秒)
后端如何解决问题
nyasm的博客
03-22 7670
后端如何解决问题 首先我门要知道什么是是指 不同名之间相互访问。,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 也就是如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容 如果A网站与B网站不在同一个中,那么就出现了访问问题。 什么是同一个? 同一协议,同一ip,同一端口,三同中有一不同就产生了。 前端解决: 前边也说了,是浏览器不能执行其他网站的脚本。它是由浏览器的同源策.
关于后端问题
m0_64633707的博客
09-05 219
所谓同源:URL是由协议、名、端口和路径组成的,如果两个URL的协议、名和端口是相同,那么就是同源的。是浏览器上为安全性考虑实施的非常重要的安全策略,即从一个上加载的脚本不允许访问另外一个的文档属性。不允许发起访问不是浏览器限制了发起站请求,而是发起请求后,返回的结果被浏览器拦截了。1、使用@CrossOrigin注解,在类或者方法上添加注解,而不需要配置。2、实现WebMvcConfigurer接口。
前端+后端.zip
02-15
本文将深入探讨“前端”和“后端”,以及它们在Vue.js和Java环境中的处理策略。 首先,我们来理解什么是“”。在浏览器的安全策略中,每个网页都有一个源(协议+名+端口),同源策略规定了JavaScript...
Cors实现java后端完全实例
08-30
Cors实现java后端完全实例 cors(Cross-Origin Resource Sharing,资源共享)是一种机制,它允许Web页面从不同的名、协议或端口下加载资源,实现访问。在java后端开发中,cors是一个非常重要的概念,...
API开发常用模版;功能包括:后端、api文档生成工具swagger、api限流保护。flask.zip
09-28
本压缩包“flask.zip”提供了一个基于Python Flask框架的API开发常用模板,它包含了几个关键功能:后端支持、API文档生成工具Swagger以及API限流保护。下面将详细解释这些功能及其重要性。 1. **后端支持**...
后端解决
qq_58363479的博客
06-25 2002
CORS 其实是浏览器制定的一个规范,浏览器会自动进行 CORS 通信,它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器 上声明了允许 A 的名访问,那么从 A 到 B 的请求就可以完成。也就是说,两个服务器直接进行请求是可以进行数据请求的。复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许请求。
axios发送POST时请求两次,第一次为OPTIONS
defqfhs31233420的博客
03-09 1307
出现问题: 发送POST请求时浏览器产生两次请求,第一次为OPTIONS,第二次是真正的POST请求,后台接收不到参数。 查找原因: 非GET请求,会先发送OPTIONS进行预检(预检请求每次运行只发生一次)致使后台接收不到参数值,不停返回参数错误。 于是找到了原因: 查找解决方案: CORS...
axios发起请求,为什么先发送options请求,再发送get/post请求
yiyueqinghui的博客
07-05 3264
引起原因 1,; 2,请求头非默认情况。 默认请求头如下 Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain 通常情况下,会将content-Type:applicati...
后端解决
热门推荐
m0_58542705的博客
03-23 1万+
后端处理问题 什么是 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http://www.456.com/server.php (主名不同:123/456,) http://ab
关于后端解决问题
ls18802694089的博客
06-10 6087
关于的理解,后端如何解决遇到的问题
为什么会在get或post请求之前先进行一次options请求
l2x1314258的博客
06-26 1937
在有很多情况下,当我们在js里面调用一次ajax请求时,在浏览器那边却会查询到两次请求,第一次的Request Method参数是OPTIONS,还有一次就是我们真正的请求,比如get或是post请求方式。 查阅相关的资料之后发现,这是浏览器对复杂请求的一种处理方式,在真正发送请求之前,会先进行一次预请求,就是我们刚刚说到的参数为OPTIONS的第一次请求,他的作用是用于试探性的服务器响应是否正确,即是否能接受真正的请求,如果在options请求之后获取到的响应是拒绝性质的,例如500等http状态,.
后端快速入门:什么是后端如何处理
Old_Secretary的博客
04-14 3043
的特点: 首先要明确的一些特点(有的叫,有的叫源,我不纠结叫法,能理解就行): 是指一个去请求另一个的接口 指的是 名+协议+端口 三者,有一个不一样,就算作是不同的 是浏览器的策略,也就是说没有配置的情况下,使用浏览器前端页面请求接口会被浏览器拦截,使用apifox等工具则能够正常请求 当用户使用前端页面调用后端接口时,原是前端页面所在的服务器的名+协议+端口(而不是用户的,用户一般也没有),目标指的是后端api服务器的名+协议+端口
什么是?后端开发怎么实现?
thm0805的博客
09-12 960
首先我们要先了解一个概念--同源策略。 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,名,协议,端口相同。目的是出于安全考虑,防止js脚本随意调用其他网站的资源。 所谓同源,就是当我们实现前后端分离的时候: 我们做注册时当前网站源为:http://localhost:8080 我们要访问的注册功能路径:http://localhost:9000 当违反同源策略时,请求可以发送到控制器,但是客户端不能接收到控制器
后端配置config
02-14
### 后端配置方法 #### 使用 `@CrossOrigin` 注解实现局部 对于简单的应用场景,可以在控制器类或特定的方法上使用 `@CrossOrigin` 注解来允许来自指定源的请求。这种方式适用于小型项目或是只需要部分接口支持的情况。 ```java @RestController @CrossOrigin(origins = "http://localhost:9133") // 允许来自 http://localhost:9133 的请求 public class MyController { @GetMapping("/api/data") public String getData() { return "Data from backend"; } } ``` 该方式简单易用,但是当项目规模较大时,维护成本较高[^2]。 #### 基于过滤器全局处理问题 为了更灵活地管理设置并减少重复代码,在大型应用程序中推荐通过自定义过滤器的方式来进行全局性的配置。下面是一个基于 Spring Boot 实现的例子: ```java import org.springframework.context.annotation.Bean; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; @Configuration public class CorsConfig { private static final long MAX_AGE_SECS = 3600L; @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 这段代码创建了一个名为 `corsFilter()` 的 Bean 来注册 CORS 过滤器,并设置了允许凭证共享 (`setAllowCredentials`)、通配符匹配所有来源(`addAllowedOrigin("*")`)以及其他必要的参数[^4]。 #### 利用 WebMvcConfigurer 接口定制化配置 另一种常见的做法是在Spring框架下利用 `WebMvcConfigurer` 接口完成更加细致化的CORS策略设定: ```java @EnableWebMvc @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://localhost:9133") .allowCredentials(true) .maxAge(MAX_AGE_SECS); } } ``` 这里同样实现了对所有路径下的资源开放给前端地址为 `http://localhost:9133` 的客户端访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值