跨域问题随笔

最新推荐文章于 2025-12-28 13:58:22 发布
转载 最新推荐文章于 2025-12-28 13:58:22 发布 · 104 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3633215/blog/1499004
文章标签:

#json #javascript #php #ViewUI

什么是跨域? 概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域。 URL 说明 是否允许通信

http://www.a.com/a.js
http://www.a.com/b.js     同一域名下   允许
http://www.a.com/lab/a.js
http://www.a.com/script/b.js 同一域名下不同文件夹 允许
http://www.a.com:8000/a.js
http://www.a.com/b.js     同一域名,不同端口  不允许
http://www.a.com/a.js
https://www.a.com/b.js 同一域名,不同协议 不允许
http://www.a.com/a.js
http://70.32.92.74/b.js 域名和域名对应ip 不允许
http://www.a.com/a.js
http://script.a.com/b.js 主域相同,子域不同 不允许
http://www.a.com/a.js
http://a.com/b.js 同一域名,不同二级域名(同上) 不允许(cookie这种情况下也不允许访问)
http://www.cnblogs.com/a.js
http://www.a.com/b.js 不同域名 不允许

对于端口和协议的不同,只能通过后台来解决。 跨域资源共享(CORS): CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功还是失败。 也就是通常是否可以跨域共享,必须由服务器端决定 服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。 如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。 如果浏览器支持,浏览器内部会处理。则前端不需要设置。 通过jsonp跨域: 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的。 例如:

<script type="text/javascript"> function dosomething(jsondata){ //处理获得的json数据 } </script>

<script src="http://example.com/data.php?callback=dosomething"></script>

js文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的json数据作为参数传入。所以jsonp是需要服务器端的页面进行相应的配合的。

HTTP响应头 本节列出了由“跨原始资源共享”规范定义的服务器为访问控制请求发回的HTTP响应头。上一节概述了这些行动。 访问控制允许来源 返回的资源可能有一个Access-Control-Allow-Origin标题,具有以下语法: Access-Control-Allow-Origin: <origin> | * 该origin参数指定可访问资源的URI。浏览器必须执行此操作。对于没有凭据的请求,服务器可以将“”指定为通配符,从而允许任何来源访问资源。 例如,要允许http://mozilla.org访问资源,您可以指定: Access-Control-Allow-Origin: http://mozilla.org 如果服务器指定一个原始主机而不是“”,那么还可以在Vary响应头中包含Origin,以便向客户端指示服务器响应将根据Origin请求头的值而有所不同。 访问控制允许的凭据 的Access-Control-Allow-Credentials报头指示是否对所述请求的响应可以在被暴露credentials标记为真。当作为对预检要求的响应的一部分使用时,这表示是否可以使用凭据进行实际请求。请注意,简单GET请求不是预先指示的,因此如果对具有凭据的资源进行请求,如果该资源未返回此标头,则响应将被浏览器忽略,而不会返回到Web内容。 Access-Control-Allow-Credentials: true 访问控制允许的方法 该Access-Control-Allow-Methods头指定访问资源时所允许的一种或多种方法。这用于响应预检要求。上面讨论了请求是预先启动的条件。 Access-Control-Allow-Methods: <method>[, <method>]* java 过滤器的设置方法:

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) servletResponse;

    response.setHeader("Access-Control-Allow-Origin",((HttpServletRequest) servletRequest).getHeader("origin"));
    response.setHeader("Access-Control-Allow-Credentials","true");
    response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With");
    response.setHeader("Access-Control-Allow-Methods","POST, GET, OPTIONS, PUT, DELETE, HEAD, PATCH, TRACE");
    filterChain.doFilter(servletRequest,servletResponse);
}

转载于:https://my.oschina.net/u/3633215/blog/1499004

chicu2721
关注
后端配置随笔
MrJianD的博客
07-31 204
随笔笔记
前端-随笔
doushishabi998的博客
06-22 232
浅谈前端 一、什么是 可以简单理解为因为JavaScript同源策略的限制,a.com名下的js无法操作b.com或是c.a.com名下的对象。不是请求发不出去,也不是服务端收不到,而且还能正常返回结果,只是被浏览器所拦截了。 二、什么是同源策略 同源策略是浏览器核心的安全功能,就是说浏览器的tab同时打开两个页面,当浏览器的其中一个tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和当前页面同源的脚本才会被执行。 如果非同源,那么在请求数据时,浏览器会在控制
ASP.NET WebAPI解决问题
未来的路在脚下
12-29 3194
ASP.NET WebAPI解决问题
CORS处理心得随笔
qq_38951990的博客
10-03 1191
现如今大多数项目都是前后端开发的,前端项目和后端接口服务部署在不同的机器下,且一般部署机器的ip也不相同。那么在大环境的驱使下问题就成为了前后端开发必须面对的首要问题。那到底什么是请求呢,又要如何解决问题呢?
随笔-springBoot配置全局
XuMiao_的博客
03-18 2350
随笔-springBoot配置全局 本文参考链接: 前端看视频学习vue使用axios进行Ajax请求,视频中使用nodemon创建的node-server,弄了半天一直说.为了不浪费时间直接后端搭建SpringBoot进行代替(其实已经浪费一下午了!!!) 搭建SpringBoo项目完成之后,从前端使用axios发起Ajax请求同样会出现(端口不一致)的报错,如下: No 'A...
vue 解决 调试_vuewebpack配置解决问题
weixin_39546501的博客
12-20 139
Apple iPhone 11 (A2223) 128GB 黑色 移动联通电信4G手机 双卡双待4999元包邮去购买 >现在基本项目都是实行前后端分离的原则,不管是ng 或者是vue 在开发中都无法避免的这个问题本人刚上手第一个vue项目,在调用api的时候出现了的这个问题这是封装好一个简单的post 请求http.jspost (url, data) {returnaxios({m...
Node.js随笔----CORS解决问题
Father_Of_Soft的博客
11-04 1201
黑马程序员Node.js随笔
proxy代理前端随笔
weixin_41558808的博客
06-02 276
简单来说就是不一样 需要 咱们只要表面上是一样的就行 比如你要访问 a.b.c/xx/xx 之类的 但是你本地程序测试时候 一般是 localhost 或者是 127.0.0.1 这俩明显就不是一个 这个时候你只要在请求时候 把需要请求的地址改成 127.0.0.1/xx/xx 这样你俩表面是不就变成同源的了 但是 你改变请求地址之后 就找不到数据了不是 这个时候你再使用proxy 将你这个地址暗中再改回 a.b.c就行了 比如正常情况下我访问的是:a.b.c/xx/xx 本地调试时请求连接改成
JAVA全局问题解决
我的博客
06-05 959
JAVA全局问题解决(springboot) 问题: 前端和后端用的名地址不是一个,前端请求时提示 目标: 任何名的请求都可以访问 解决方式: 全局的允许配置 @Configuration public class StaticConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { ...
Vue + TypeScript + VueCli3+ 封装 axios 请求 并 解决问题
窝窝头的博客
12-26 6094
一、版本说明 "vue": "^2.6.10", "axios": "^0.19.0", "@vue/cli-plugin-babel": "^4.0.0", "@vue/cli-plugin-router": "^4.0.0", "@vue/cli-plugin-typescript": "^4.0.0", "@vue/cli-plugin-vuex": "^4.0.0", "@vue/cl...
详解使用canvas保存网页为pdf文件支持
12-14
之前上一篇随笔说了Canvas截图网页为图片,下来个新需求,把网页截图后保存为PDF文件供用户下载。 使用canvas保存网页为pdf文件支持 正文 需求:用户点击下载,将页面保存为PDF文件并下载。 思路:继续使用...
javascript学习随笔(使用window和frame)的技巧
10-31
在实际开发中,需要注意安全限制以及现代Web开发中对于`frame`的使用逐渐减少,因为它们可能会导致一些用户体验和SEO的问题。如今,`iframe`和CSS布局技术如Flexbox和Grid更多地被用来实现类似的功能。
gin框架解决cors
qq_44472790的博客
01-07 1929
cors方案解决笔记
当AI遇见UI:A2UI协议在.NET Blazor中的完整实现与深度剖析
许泽宇的技术分享
12-28 934
本文深入探讨了A2UI协议在.NET9 Blazor中的实现,提出了一种让AI安全生成用户界面的创新方案。传统AI生成UI面临安全性、平台适配和体验一致性三大挑战,A2UI通过声明式UI协议完美解决:AI只需发送UI"意图"数据,由客户端原生组件渲染实现。文章详细解析了四层架构设计、核心协议实现和组件系统,展示了如何通过扁平化组件树、三种数据绑定模式和流式处理实现高效渲染。同时介绍了Fluent API、主题系统和实战应用场景,对比了与传统方案的差异,并提供了性能优化和安全实践建议。该
【jmeter】-脚本-遇自动转义要使用CSV文件
weixin_55282974的博客
12-23 808
摘要:JMeter在HTTP请求的"Body Data"中直接粘贴JSON请求体时会出现JSON解析错误(如Unexpected character报错),原因是JMeter会自动处理转义字符导致格式异常。解决方案是改用CSV文件存储原始请求体数据,通过CSV Data Set Config读取,并在消息体数据中使用变量引用。若需修改请求体,可配合JSR223预处理程序处理。该方法能避免JMeter对JSON字符串的自动转义,确保请求体格式正确。
DeepSeek-OCR模型移植到OpenHarmony的实战指南
最新发布
m0_67505153的博客
12-28 25
【代码】DeepSeek-OCR模型移植到OpenHarmony的实战指南。
Obsidian + Ollama本地AI集成|把每日日记自动归类成主题笔记
Ama_tor的博客
12-23 759
一个完全本地、离线、免费的 AI 日记分析系统基于的强大中文理解能力通过Obsidian 插件实现半自动/全自动归类。
记录份Docker daemon.json配置-Docker镜像加速
yuanmomoya的博客
12-25 161
本文介绍了如何配置Docker的daemon.json文件,包含三个主要配置项:1)使用systemd管理cgroup;2)设置日志滚动存储(max-size 100m, max-file 3);3)添加多个国内镜像源加速下载。配置后需执行systemctl命令重载并重启Docker服务。该配置特别适合国内用户,能优化容器日志管理和显著提升镜像拉取速度。
Python丨课程笔记Part5:更多进阶部分
TheSumSt的经验站
12-26 735
Python简要笔记,含示例代码
前端学习笔记与项目开发整理
每一个环节都可能附带遇到的问题及解决方案,例如“如何解决请求失败”、“如何优化首屏加载速度”、“如何处理图片懒加载”、“如何实现主题切换”等实际场景,使学习者不仅能模仿操作,更能理解背后的设计思想...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值