前后分离跨域问题

最新推荐文章于 2023-04-06 20:00:47 发布
最新推荐文章于 2023-04-06 20:00:47 发布
阅读量363 收藏
点赞数
文章标签: spring web http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/feifan2017/article/details/107728729
版权
本文介绍了在前后端分离开发模式中遇到的跨域问题及其原因,包括浏览器的同源策略和其安全限制。文章详细讲解了什么是跨域,并提供了常见的跨域解决方案,如JSONP和CORS。重点探讨了如何使用Spring MVC和Spring Boot实现CORS跨域资源共享,包括web.xml配置和filter类的设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、简介

在前后分离开发模式中突然遇到请求后台接口时前端控制台抛出资源请求头上没有"Access-Control-Allow-Origin"不允许访问,基本可以判定为跨域问题

1 什么是跨域

跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现

总结:访问客户端与服务端协议、域名、端口时,二者有任意一个不一样就是跨域,例:访问前端localhost:8081/index.html,客户端访问后台为localhost:8080/index/info,就跨域

2. 常见解决方案
  1. jsonp跨域
    https://www.runoob.com/json/json-jsonp.html
  2. CORS 跨域资源共享 http://www.ruanyifeng.com/blog/2016/04/cors.html

下面为java实现cors跨域方案

二、CORS跨域

1.spring mvc实现cors

(1)web.xml

<filter>
  <filter-name>corsFilter</filter-name>
  <filter-class>org.besteam.filter.CorsFilter</filter-class>
  <init-param>
    <param-name>allowOrigin</param-name>
    <param-value>*</param-value>
  </init-param>
  <init-param>
    <param-name>allowMethods</param-name>
    <param-value>CONNECT, HEAD, OPTIONS, POST, GET, PUT, DELETE, TRACE</param-value>
  </init-param>
  <init-param>
    <param-name>allowCredentials</param-name>
    <param-value>true</param-value>
  </init-param>
  <init-param>
    <param-name>allowHeaders</param-name>
    <param-value>
      Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires,
      Content-Type, X-E4M-With, Accept, Language
    </param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>corsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

2.filter类

package org.besteam.filter;

import org.apache.commons.collections4.CollectionUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

/**
 * CORS 跨域过滤器,统一处理所有请求,解决 AJAX 跨域访问问题。
 * <p>
 * 本 Filter 将从 web.xml 中读取相关 Filter 初始化参数,并将在处理 HTTP 请求时将这些参数写入对应的 CORS 响应头中。
 * <p> CORS是一个W3C标准,全称是“跨域资源共享”(Cross-origin resource sharing)。<br/>
 * 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。<br/>
 * CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。
 * 对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,
 * 有时还会多出一次附加的请求,但用户不会有感觉。<br/>
 * 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
 * <p>另外,通过设置参数,实现了 Ajax 有状态访问,保证 Ajax 请求每次的 sessionId 都一样。
 * <br>
 * <br>
 * 创建时间:2017年10月3日 上午11:47:23 <br>
 * 修改人: <br>
 * 修改时间: <br>
 * 修改备注: <br>
 *
 * @version V1.0
 */
public class CorsFilter implements Filter {

    /**
     * 允许访问的客户端域名,例如:http://web.xxx.com,http://www.baidu.com,若为
     * *,则表示从任意域都能访问,即不做任何限制。
     * <p>
     * 需要注意的是,CORS 规范中定义 Access-Control-Allow-Origin 只允许两种取值,要么为
     * *,要么为具体的域名,也就是说, 不支持同时配置多个域名。为了解决跨多个域的问题,需要在代码中做一些处理(见下文)。
     */
    private String allowOrigin;

    /**
     * 允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS。
     */
    private String allowMethods;

    /**
     * 是否允许请求带有验证信息,若要获取客户端域下的 cookie 时,需要将其设置为 true。
     */
    private String allowCredentials;

    /**
     * 允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type。
     */
    private String allowHeaders;

    /**
     * 允许客户端访问的服务端响应头,多个响应头用逗号分割。
     */
    private String exposeHeaders;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        allowOrigin = filterConfig.getInitParameter("allowOrigin");
        allowMethods = filterConfig.getInitParameter("allowMethods");
        allowCredentials = filterConfig.getInitParameter("allowCredentials");
        allowHeaders = filterConfig.getInitParameter("allowHeaders");
        exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (StringUtils.isNotEmpty(allowOrigin)) {
            // 初始化参数可能是 * 或 多个域名用逗号拼接的字符串
            List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
            if (CollectionUtils.isNotEmpty(allowOriginList)) {
                // 从当前请求中获取 Origin 请求头,就知道是从哪个域中发出的请求
                String currentOrigin = request.getHeader("Origin");
                // 若初始化参数为 * ,或者该请求在以上允许的域名集合中,则将其放入 Access-Control-Allow-Origin
                // 响应头,这样跨多个域的问题就轻松解决了
                if ("*".equals(allowOriginList.get(0)) || allowOriginList.contains(currentOrigin)) {
                    response.addHeader("Access-Control-Allow-Origin", currentOrigin);
                }
            }
        }

        if (StringUtils.isNotEmpty(allowMethods)) {
            response.addHeader("Access-Control-Allow-Methods", allowMethods);
        }

        if (StringUtils.isNotEmpty(allowCredentials)) {
            response.addHeader("Access-Control-Allow-Credentials", allowCredentials);
        }

        if (StringUtils.isNotEmpty(allowHeaders)) {
            response.addHeader("Access-Control-Allow-Headers", allowHeaders);
        }

        if (StringUtils.isNotEmpty(exposeHeaders)) {
            response.addHeader("Access-Control-Expose-Headers", exposeHeaders);
        }

        response.addHeader("Access-Control-Max-Age", "0");
        response.addHeader("XDomainRequestAllowed","1");

        if (request.getMethod().equals("OPTIONS")) {
            response.setStatus(HttpServletResponse.SC_OK);
            return;
        }
        chain.doFilter(request, response);

    }

    @Override
    public void destroy() {
    }
}
2.springboot实现cors

配置config即可

package cn.stylefeng.guns.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @ClassName CorsConfig
 * @Description TODO
 * @Author ginwu
 * @Date 2019/9/14 16:03
 * @Version 1.0
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); //允许任何域名
        corsConfiguration.addAllowedHeader("*"); //允许任何头
        corsConfiguration.addAllowedMethod("*"); //允许任何方法
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig()); //注册
        return new CorsFilter(source);
    }
}
前后分离问题解决方案
qq_53348178的博客
05-29 629
​​/***/@Override// 在这里添加过滤器初始化逻辑(CORS)​@Override// HttpServletResponse是ServletResponse接口的一个实现类,专门用于处理HTTP响应//设置CORS响应头// 允许所有名访问// 允许的HTTP方法// 预检请求的缓存时间// 允许的请求头​// 如果是预检请求(OPTIONS请求,一般是浏览器自己发送的请求),直接返回成功} else {
前后分离架构问题处理
最新发布
xiaobai_Qin的博客
06-26 1981
WebMvcConfigure是SpringMVC中⽤来定义Web相关配置的接⼝,通过实现该接⼝,可以配置Web容器中的组 件或资源。例如拦截器、视图控制器、静态资源处理器、视图解析器、配置等等。使⽤WebMvcConfigure接⼝的步骤1)定义⼀个类,实现该接⼝2)添加Configuration注解,使该类成为配置类@Overrideregistry// 配置允许访问的资源,/**表示允许访问所有资源// 配置允许访问的源// 配置允许访问使⽤的请求⽅法。
nginx解决前后分离开发问题
01-15
nginx中所有的配置都已弄好,只需下载后更改前端代码的地址和需要代理的地址就帮你实现反向代理,解决问题,配置文件中需要更改的地方就两个,在文件中已经为你标明。
前后分离问题
qq_29998003的博客
12-30 1046
前后分离问题 前言 现在开发中,前后分离已经成为主流开发模式。通常我们后端只负责写接口,前端实现接口调用和页面设计就好了。这样的话,后端开发 人员也就轻松很多了。原来的还要开发界面,对于后端人员来说就痛苦了。 问题 在开发过程中,我们前端接口调用的时候,后端地址和前端地址不一致的情况,如果浏览器访问的话,就存在浏览器的同源策略限制,导致接口调用失败。那这就是问题导致的。 : 当协议...
vue 前后分离问题
唐家麦兜
06-02 512
开发环境: 1.vue的地址为:localhost:8080 2.后端地址为:localhost:8081/api/menu/test 开发环境直接配置config文件下的index.js 修改 proxyTable: { '/api': { target: 'http://localhost:8081',//后端接口地址 chang...
JAVAWEB前后分离--
呼吸吐纳的博客
03-15 514
JAVAWEB前后分离 什么是: ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。你可以理解为两个名之间不能名来发送请求或者请求数据,否则就是不安全的,这种不安全也就是CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attac...
Spring Boot 设置允许请求
青藤光年的博客
09-15 623
Spring Boot项目中添加配置类 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import or...
前后分离问题
01-07
问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算springboot解决有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
详解VueJs前后分离问题
01-19
可以使用在项目内设置代理(proxyTable)的方式来解决问题 设置配置项的目录在config下的index.js,主要通过配置proxyTable项,设置代理指向你的后台地址 dev: { env: require('./dev.env'), port: 8085, ...
06-若依前后分离项目问题解决方式
热门推荐
老刀
07-14 1万+
就是前后分离项目前端无法把session等信息传递给后端服务器。源自浏览器同源策略。同源策略是一种约定,同源策略会阻止一个的javascript脚本和另外一个的内容进行交互。只要两个站点的名或ip、端口、协议中的任意一个不同就认为是。同源策略是为了保证web应用的安全性,但是会给开发造成麻烦。ruoyi-vue 项目中使用了cors方式解决问题。...
解决方案
11-05
基本的方法入手,从jsonp、jquery的ajax不同的角度去处理问题
Vue前后分离项目,前端解决问题(分本地开发环境以及服务器环境)
weixin_44303404的博客
02-11 2215
Vue前后分离项目,前端解决问题(分本地开发环境以及服务器环境) 对于前后分离的项目来说,产生浏览器问题简直是家常便饭。自己跟小伙伴写的一个小项目,也时常产生问题,以往都是叫后端的伙伴解决。最近尝试从前端解决问题,直到现在才解决,在这里总结一下解决的方案。 本文分本地开发解决以及服务器解决。 本地开发解决问题 开发的过程中,可以使用vuecli3的devServer–proxy进行代理解决问题。(vuecli2也有相同的配置方法。) 在项目的目录中创建vue.config.j
前后分离问题解决
g137678564的专栏
03-11 2503
背景:前端Vue集成到App内部,使用file协议在WebView中加载,使用axios请求数据,JsBridge和原生互动,中间使用 Nginx 负载代理 ,后端是 SpringBoot 遇到的问题: 1. 简单请求、复杂请求 2. iOS 中 WKWebVIew 问题 需要在info.plist 中开启NSAppTransportSecurity -->NSAllowsArbitraryLoads = True <?xml version="1.0" encodi...
前后分离的解决方案(CORS的原理)
m1ssyAn的博客
08-24 692
前后分离 前后分离的好处 最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小。 后台错误不会直接反映到前台,错误接秒较为友好。 由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。 个人理解上存在两种解释 第一种只是单纯的前后分离,实在物理层面上的,将View层的任务分配给前端,Controller和Model层给后
解决前后分离架构中问题
name_sakura的博客
04-06 7418
前后分离架构中,前端调用后端提供的API接口来获取数据。由于浏览器的,而前端服务与后端服务往往会被部署到不同的机器,不同端口上,因此会产生问题
vue前后分离项目部署(不同端口号,nginx反向代理解决问题
dengbeizhuo8768的博客
07-05 1115
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections...
guns整合webSocket并解决问题
碎银几两能解世间惆怅
01-29 862
guns整合webSocket并解决问题
使用Restful、GunsSpringBoot实现前后分离
weixin_33860528的博客
07-07 964
2019独角兽企业重金招聘Python工程师标准>>> ...
全局拦截器解决问题
u014535689的博客
12-28 1706
/** 全局的拦截器,拦截所有的spring mvc的请求 @author **** / public class GlobalInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse re...
前后分离项目问题
11-30
前后分离项目中,由于前端和后端运行在不同的服务器上,因此可能会出现问题问题指的是在同源策略下,前端无法直接访问不同源的后端接口,从而导致请求失败的问题。 解决前后分离项目问题的方法有两种: 1. 后端配置:后端可以通过设置响应头来允许前端访问后端接口。例如,在Spring Boot项目中,可以通过添加如下代码来设置响应头: ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("*") .allowedHeaders("*"); } }; } } ``` 2. 前端配置代理:前端可以通过配置代理来实现访问后端接口。例如,在Vue项目中,可以在`vue.config.js`文件中添加如下代码来配置代理: ```javascript module.exports = { devServer: { proxy: { '/api': { target: 'http://localhost:8080', changeOrigin: true, pathRewrite: { '^/api': '' } } } } } ``` 以上两种方法都可以解决前后分离项目的问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值