后端跨域设置

最新推荐文章于 2025-10-22 12:06:31 发布
原创 最新推荐文章于 2025-10-22 12:06:31 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节

为什么会出现跨域问题

出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)

 

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

 

跨域请求

跨域资源共享CORS详解

一、简介

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

二、两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

2.1简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。

Origin指定的域名受否在许可的范围之内?

Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求

 

2.2非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

 

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

除了Origin字段,"预检"请求的头信息包括两个特殊字段。

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

Access-Control-Allow-Origin: http://api.bob.com.

 

陈如水
关注
史上最全前端&后端请求处理
m0_68271787的博客
05-20 951
举例说明:当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为SSM用法首先编写一个过滤器,可以起名字为MyCorsFilter.java​​​​​​​在web.xml中配置这个过滤器,使其生效。
后端开发】后端(SpringBoot)
`雾博客
12-20 561
本文介绍了如何在SpringBoot项目中使用@Configuration接口实现后端的CORS配置,分别展示了两种方法:一种是集成WebMvcConfigurer接口,另一种是创建CorsFilterbean。两者都允许所有来源的请求,但允许带验证信息和请求头略有不同。
后端解决问题的三种方案:注解配置 vs 全局配置 vs 过滤器配置(附完整代码详解)
小李同学的博客
06-03 1978
问题是前后端分离开发的核心挑战,本文系统梳理了三种主流解决方案:1)基于WebMvcConfigurer的全局配置,推荐用于中大型项目;2)CorsFilter过滤器配置,适用于需要底层控制的场景;3)@CrossOrigin注解,适合小型项目快速实现。每种方案均附有核心代码、实现原理及优缺点分析,特别强调安全注意事项,如禁用allowCredentials(true)+通配符*的危险组合。文章对比了三种方案的适用场景,并给出最佳实践建议,帮助开发者根据项目需求选择合适的解决方案。
前端后端问题
01-02
原因:  浏览器限制  名,端口,协议,ip不一样)  在使用XMLHTTPRequest对象发送HTTP请求时,会遇到同源策略问题,不同请求会被浏览器拦截。
解决Java后端问题的8种方法(从开发到上线必知)
ProceGlow的博客
10-22 827
掌握Java问题解决的8种实用方法,覆盖开发调试到生产上线场景。涵盖CORS配置、过滤器实现、Spring注解等核心方案,助你快速稳定打通前后端交互。方法全面,值得收藏。
axios请求出现options方式
qq_39025670的博客
07-08 7582
出现原因及解决方法: 浅谈 AJAX 请求时的 OPTIONS 方法 其他相关文章: 为什么axios先请求options在请求post及解决方法 axios中POST请求变成OPTIONS处理 注:当前端解决不了时,看看是否是后端的问题 ...
后端
weixin_49319422的博客
11-25 4023
DRF后端解决之django-cors-headers 在使用django-rest-framework开发项目的时候我们总是避免不了的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现。当然如果前端框架是Vue的话,则可以代理服务实现,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。 DRF后端实现第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、 同源策略
前端+后端.zip
02-15
本文将深入探讨“前端”和“后端”,以及它们在Vue.js和Java环境中的处理策略。 首先,我们来理解什么是“”。在浏览器的安全策略中,每个网页都有一个源(协议+名+端口),同源策略规定了JavaScript...
Cors实现java后端完全实例
08-30
Cors实现java后端完全实例 cors(Cross-Origin Resource Sharing,资源共享)是一种机制,它允许Web页面从不同的名、协议或端口下加载资源,实现访问。在java后端开发中,cors是一个非常重要的概念,...
后端如何解决问题
nyasm的博客
03-22 7718
后端如何解决问题 首先我门要知道什么是是指 不同名之间相互访问。,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 也就是如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容 如果A网站与B网站不在同一个中,那么就出现了访问问题。 什么是同一个? 同一协议,同一ip,同一端口,三同中有一不同就产生了。 前端解决: 前边也说了,是浏览器不能执行其他网站的脚本。它是由浏览器的同源策.
关于后端问题
m0_64633707的博客
09-05 249
所谓同源:URL是由协议、名、端口和路径组成的,如果两个URL的协议、名和端口是相同,那么就是同源的。是浏览器上为安全性考虑实施的非常重要的安全策略,即从一个上加载的脚本不允许访问另外一个的文档属性。不允许发起访问不是浏览器限制了发起站请求,而是发起请求后,返回的结果被浏览器拦截了。1、使用@CrossOrigin注解,在类或者方法上添加注解,而不需要配置。2、实现WebMvcConfigurer接口。
后端解决
qq_58363479的博客
06-25 2034
CORS 其实是浏览器制定的一个规范,浏览器会自动进行 CORS 通信,它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器 上声明了允许 A 的名访问,那么从 A 到 B 的请求就可以完成。也就是说,两个服务器直接进行请求是可以进行数据请求的。复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许请求。
后端实现(三种方式)
m0_70770402的博客
02-27 1662
相较于前端实现,有时会出现失败,列举后端三种方式实现。2.实现接口并重写方法来解决。3.添加过滤器来实现。1.加注解 代码重复。
axios发送POST时请求两次,第一次为OPTIONS
defqfhs31233420的博客
03-09 1330
出现问题: 发送POST请求时浏览器产生两次请求,第一次为OPTIONS,第二次是真正的POST请求,后台接收不到参数。 查找原因: 非GET请求,会先发送OPTIONS进行预检(预检请求每次运行只发生一次)致使后台接收不到参数值,不停返回参数错误。 于是找到了原因: 查找解决方案: CORS...
axios发起请求,为什么先发送options请求,再发送get/post请求
yiyueqinghui的博客
07-05 3285
引起原因 1,; 2,请求头非默认情况。 默认请求头如下 Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain 通常情况下,会将content-Type:applicati...
后端解决
热门推荐
m0_58542705的博客
03-23 1万+
后端处理问题 什么是 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非) http://www.123.com/index.html 调用 http://www.456.com/server.php (主名不同:123/456,) http://ab
关于后端解决问题
ls18802694089的博客
06-10 6139
关于的理解,后端如何解决遇到的问题
为什么会在get或post请求之前先进行一次options请求
l2x1314258的博客
06-26 1992
在有很多情况下,当我们在js里面调用一次ajax请求时,在浏览器那边却会查询到两次请求,第一次的Request Method参数是OPTIONS,还有一次就是我们真正的请求,比如get或是post请求方式。 查阅相关的资料之后发现,这是浏览器对复杂请求的一种处理方式,在真正发送请求之前,会先进行一次预请求,就是我们刚刚说到的参数为OPTIONS的第一次请求,他的作用是用于试探性的服务器响应是否正确,即是否能接受真正的请求,如果在options请求之后获取到的响应是拒绝性质的,例如500等http状态,.
后端 403
最新发布
11-21
后端 403 错误通常与 CORS(资源共享)配置以及服务器权限设置有关,以下是一些可能的解决办法: - **正确配置 CORS 响应头**:确保服务器返回的响应中包含正确的 CORS 响应头。对于 Spring Boot 后端,可以使用 `@CrossOrigin` 注解允许指定来源。例如: ```java @CrossOrigin(origins = "*") // 允许指定来源 @GetMapping("/author/info/cross") public String crossTest(@RequestParam("authorName") String authorName){ // 参数校验 if (authorName == null) { return "Invalid request: authorName is required"; } // 模拟返回数据 String jsonData = "{\"author_id\": 12345, \"author_name\": \"" + authorName + "\"}"; return jsonData; } ``` 也可以在配置类中进行全局配置: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.addAllowedOriginPattern("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); config.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` - **检查请求方法和请求头**:确保前端请求使用的方法(如 GET、POST 等)和请求头在后端服务器允许的范围内。可以在后端代码中明确指定允许的请求方法和请求头。例如,在 Spring Boot 中可以通过 `@CrossOrigin` 注解的 `methods` 和 `allowedHeaders` 属性进行配置: ```java @CrossOrigin(origins = "*", methods = {RequestMethod.GET, RequestMethod.POST}, allowedHeaders = "*") @GetMapping("/your-api") public String yourApiMethod() { // 处理逻辑 return "Response data"; } ``` - **检查服务器权限设置**:确保服务器的权限设置允许请求。有时候服务器可能会因为权限问题拒绝请求。例如,在 PHP 后端,可以通过设置响应头来允许请求: ```php header("Access-Control-Allow-Origin: *"); header("Access-Control-Allow-Headers: Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"); ``` - **检查请求来源**:确保请求来源(即前端页面的 URL)在后端允许的范围内。如果使用 `@CrossOrigin` 注解,要确保 `origins` 属性的值包含了前端页面的名和端口。例如,如果前端页面运行在 `http://localhost:3000`,可以这样配置: ```java @CrossOrigin(origins = "http://localhost:3000") @GetMapping("/your-api") public String yourApiMethod() { // 处理逻辑 return "Response data"; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值