Vue3:解决基地址不同 数据交互http与https跨域问题

原创 已于 2023-11-07 15:59:10 修改 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #vue.js #网络协议

于 2023-11-06 09:52:38 首次发布
文章讲述了如何通过配置vue.config.js的devServer.proxy来处理不同基地址的跨域问题,以及提供两种方法:移除http/https前缀或在index.html中添加Content-Security-Policy元标签。

配置公共管理的api文件和vue.config.js可以解决跨域问题。一个项目对接不同的基地址和接口同理。

api

export default {
  //接口基地址
  Millia: process.env.NODE_ENV == 'development' ? location.protocol + '//' + location.host + '/milliaApi' : 'http://xx.xxx.xxxx/index.php/',
  MilliaStudy:process.env.NODE_ENV=='development'?location.protocol+'//'+location.host+'/MilliaStudyApi':'https://xx.xxx.xxxx/xxx',


  //不同接口
  GETREC:'api/XXXXX',
  GETCATEGORY:'api/XXXX',
}

vue.config.js

//devServer 是一个本地开发服务器,会自动监听变化,自动打包构建,自动更新刷新浏览器
  devServer: {
    hot: true, //热加载
    host: 'localhost',
    port: 8080, //端口
    https: false, //false关闭https,true为开启
    open: true, //自动打开浏览器
    proxy: {
      '/milliaApi': {
        target: 'https://xx.xxx.xxxx/',
        ws: true,
        changeOrigin: true,
        pathRewrite: {
          '^/milliaApi': '/'
        }
      },
      '/MilliaStudyApi': {
        target: 'http://xx.xxx.xxxx/xxx',
        ws: true,
        changeOrigin: true,
        pathRewrite: {
          '^/MilliaStudyApi': '/'
        }
      },
    }
  },

基地址对应不同的http协议(http和https),线上项目会报错

方法一:

去除api和vue.config.js里 http: 和 https: 不会报错但是有

方法二:

不修改api和vue.config.js,修改public文件夹里的index.html在head中添加

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

37.Vue3:网络请求解决方案
m0_63953077的博客
10-09 1089
同源,解决
小白踩坑之Vue部署到tomcat服务器出现http变成https
David的博客
03-13 4795
VUE项目打包到tomcat服务器遇到的问题记录(打包到服务 器之后出现axios请求地址由HTTP变成HTTPS解决方法) 1、 使用的环境 2、出现的错误 3解决的方法 4、写在最后
解决方案】以文件流的形式,在Https链接下请求Http资源(图片,文件)
weixin_47739719的博客
07-20 3422
在浏览器升级Https协议下,Https链接在请求http资源时,浏览器会自动把带http的url升级为以https前缀的url。把对http的请求,包装成对后端资源的请求,就可以正常在Https的链接下请求Http资源。本篇以图片为例,演示以文件流的形式,在Https的网站中,请求http内的图片资源。无需SSL证书,无需配置Nginx,无需修改浏览器设置。#2Vue.jsdata&发送请求。导致原本内的文件和图片无法正常访问。前端Vue2.0+ElementUi。#1Vue部分页面代码。...
【个人笔记】当前端vue部署为HTTP协议,而后端接口为HTTPS协议时,会出现问题,无法通过http通过https访问https
weixin_51542566的博客
07-24 5417
代码】当前端vue部署为HTTP协议,而后端接口为HTTPS协议时,会出现问题,无法通过http通过https访问https
Vue解决https,请求http问题
MyBlog
09-18 1万+
vue.config.js中配置代理服务器 module.exports = { devServer: { proxy: { ["/dev-api"]: { target: 'api',//api是后端接口地址 changeOrigin: true, ws: true, pathRewrite: { "^/dev-ap": '' } } } } } 设置ax
随机掉落的项目足迹:Vue3中vite.config.ts配置代理服务器解决问题
lbcbjtlhmjq的博客
10-08 1724
本博客涵盖:什么是问题、产生问题的原因(浏览器同源策略)、前端解决问题的原理、配置代理服务器解决问题的方法,以及整个过程中可能踩到的坑
微擎vue对接php_php后台接口处理以及vue实现接口访问
weixin_39534208的博客
12-20 1499
.前言组那个更仿了原标计近几开加吧解创,和近几开件化开发,前后端的交互方式是接口,在制作接口的时候就要处理好问题,下面我将介绍接口是怎么制作的,怎么处理问题,前端是怎么实现不带参数访问获取数据的,带参数访问获取数据又是不事时功来这制请例在屏随会和时实于幻近支前我能又些器求如浏蔽机和滚兼现的灯近支前我能又些器求如浏蔽机和滚兼现的灯近支前我能又些器求如浏蔽机和滚兼现的灯近支前我能又些器求如浏...
前端开发环境:Vue、Element Plus、Axios
hitmengfanchao的博客
06-05 3937
本文介绍了前端开发环境的搭建,包括:Vue项目创建、在Vue项目中引入Element-Plus和Axios。通过一个简单的登录程序说明如何开发基于Vue的前端项目。
从零搭建 Vue3 + VIte + Ts 项目 —— 并集成eslint 、prettier
2301_82244509的博客
07-05 1763
/ 新增// 对某些文件进行单独配置(这里针对 TypeScript 文件)files: [‘.ts’, 'rules: {‘no-undef’: ‘off’, // 在 TypeScript 中没有必要使用 no-undef 规则},},],// 自定义规则rules: {// 函数的复杂度是指函数中控制流程的复杂程度,例如条件语句、循环语句、嵌套等。复杂度越高,函数的可读性和可维护性可能越差。
Vue核心技术实战--2023.7.4
weixin_65590235的博客
07-04 830
Vue+面经
Vue 使用 httphttps问题(以及问题
LZD30的博客
08-22 5万+
Vue项目的config/index.js 里面添加代码: module.exports = { dev: { // Paths assetsSubDirectory: 'static', assetsPublicPath: '/', // =================== 该属性为添加内容 start==================== ...
关于解决vue3问题
weixin_45629294的博客
06-12 1万+
当我们使用vue3搭建前后端分离项目时,往往会出现问题。前端往往会提示:例如,我这里,前端的项目的请求地址是http://localhost:8085/,访问后端的接口为http://localhost:8081/ResourcesCenter/BaseMapStyle/selectByPage,由于端口的不一致,所以出现了问题。第一步:找到vue.config.js文件,添加如下代码: 第二步,就是如何调用了 本人亲试,已成功解决...
nginx配置若依框架vue打包项目(同时支持httphttps
hexu_blog的博客
12-15 1619
若依框架nginx配置
httpshttp混用出现的问题解决办法
u010078835的专栏
01-14 5117
https下请求http的接口,调用时页面报混用错误。 解决方法:页面端适配当前名,根据当前地址变化来决定调用https接口或http接口(因为测试环境是http,而生产环境是https)。 后端接口用统一的一个requestmapping前缀。服务器端在nginx端配置该前缀的转发,由nginx负责转发至http请求,转发的地址配置到目的ip的端口号即可 ...
vue3-HTTP请求
sharryling
03-23 6355
jsonp原理 服务端: 第15行,相当于在前端返回了js代码,调用show() 第19行相当于 20-22行代码 show被写死了,最好的方式,客户端把自己的函数名传过去!如下: 传参方法: ...
vue3+vite实现https的请求代理到http的本地node服务器(不配置代理)
weixin_64386986的博客
03-15 1798
在使用fetch从https代理请求到http服务器时,会出现问题,如果是本地的node服务器,有个简单粗暴的方式来解决,就是在 Node.js 的 Express 框架中,可以使用。
vue 文件下载 httphttps的区别
weixin_42040328的博客
05-09 410
https下打开http链接浏览器会默认阻止,进行拦截,因为浏览器认为https 下打开http时不安全的。
Vue3使用vite配置前端服务IP、端口、代理、访问资源路径前缀
热门推荐
郭新宇的博客
06-30 8万+
Vue3配置代理(使用vite.config.js文件配置vite.config.js 配置文件 vue3发布有一段时间了,其中vite感觉很好用,现在配置和服务端口等配置,可以不使用vue-cli的vue.config.js了,可以只使用vite.config.js进行配置。 vite.config.js 配置文件 import { defineConfig } from 'vite' import vue from '@vitejs/plugin-vue' const { resolve
vue3项目实战的请求接口问题(一)问题+解决方法
XSL_HR的博客
11-11 7904
在请求接口的过程中,我们会碰到各种各样的问题,可以分为请求参数(Body)(参数名,数据格式)、请求地址(URL),其中请求地址会涉及到问题解决,从而实现请求地址的成功请求。本期文章将会介绍问题,并推荐两种用在不同解决方法。
vue 桌面端非http请求处理
最新发布
09-03
<think> 我们正在讨论桌面端Vue应用(特别是基于Electron或类似框架)如何处理非HTTP请求(如文件系统访问、本地数据库操作等) 用户之前的对话历史集中在HTTP请求的安全处理,现在转向非HTTP请求 根据引用[1]和引用[2]: 引用[1]提到了在桌面应用环境中使用路由跳转(router.push)而不是location.href,这涉及到应用内部的导航控制。 引用[2]提到了打包桌面应用时修改基地址(baseURL)以适应网络请求,但用户现在关注的是非HTTP请求(如本地文件操作、进程间通信等)。 因此,我们需要区分: - 网络请求(HTTP/HTTPS):问题已经讨论过 - 非HTTP请求:指不通过HTTP协议发起的请求,例如: * 访问本地文件系统(fs模块) * 本地数据库(如SQLite) * 系统级API调用(如调用操作系统功能) * 进程间通信(主进程渲染进程) 在桌面端Vue应用中(以Electron为例),处理非HTTP请求的安全风险,主要关注点在于: 1. 如何安全地访问本地资源(文件系统、设备等) 2. 如何安全地进行进程间通信(IPC) 3. 如何防止恶意代码利用这些非HTTP请求通道进行攻击 安全策略如下: ### 1. **限制本地文件系统访问** - **风险**:任意文件读写可能导致系统被破坏 - **防护**: ```javascript // 在主进程中(如background.js) const { app, BrowserWindow } = require(&#39;electron&#39;) app.on(&#39;ready&#39;, () => { const win = new BrowserWindow({ webPreferences: { // 启用上下文隔离,防止渲染进程直接访问Node.js内置模块 contextIsolation: true, // 禁用Node.js集成,除非必要 nodeIntegration: false, // 启用沙箱模式,限制渲染进程的能力 sandbox: true } }) }) ``` 如果需要读取文件,应通过主进程代理,并对路径进行校验: ```javascript // 主进程 const { ipcMain, dialog } = require(&#39;electron&#39;) const fs = require(&#39;fs&#39;) // 安全:只允许读取用户选择的文件 ipcMain.handle(&#39;read-file&#39;, async (event) => { const { filePaths } = await dialog.showOpenDialog({ properties: [&#39;openFile&#39;] }) if (filePaths.length === 0) { return null } // 对路径进行白名单校验(例如只允许特定目录) const allowedPath = app.getPath(&#39;documents&#39;) if (!filePaths[0].startsWith(allowedPath)) { throw new Error(&#39;非法路径&#39;) } return fs.promises.readFile(filePaths[0], &#39;utf-8&#39;) }) ``` ### 2. **安全的进程间通信(IPC)** - **风险**:渲染进程可能发送恶意IPC消息,试图执行危险操作 - **防护**: - 验证消息来源:使用`event.sender`检查发送方是否合法 - 对传输数据进行严格校验和过滤 ```javascript // 主进程 ipcMain.handle(&#39;delete-file&#39;, (event, filePath) => { // 验证发送者是否为可信的WebContents if (event.sender !== win.webContents) { return false } // 校验文件路径(防止路径遍历攻击) if (!isSafePath(filePath)) { return false } fs.unlinkSync(filePath) return true }) function isSafePath(path) { // 实现路径安全检查,如禁止相对路径、限制目录等 return path.startsWith(app.getPath(&#39;userData&#39;) + &#39;/data&#39;) } ``` ### 3. **使用安全的自定义协议** - **风险**:自定义协议可能被滥用访问本地资源 - **防护**:注册特权协议时限制能力 ```javascript // 主进程中注册安全协议 const { protocol } = require(&#39;electron&#39;) protocol.registerSchemesAsPrivileged([ { scheme: &#39;app&#39;, privileges: { standard: true, secure: true, // 禁止访问本地文件系统(除非必要) allowServiceWorkers: false, supportFetchAPI: false, stream: true // 如果需要流式响应 } } ]) ``` ### 4. **本地数据库操作安全** - **风险**:SQL注入、敏感数据泄露 - **防护**: - 使用参数化查询(避免拼接SQL) - 加密存储敏感数据 - 限制数据库连接权限(如SQLite文件只读模式) ```javascript // 渲染进程通过IPC调用主进程执行数据库操作 const db = require(&#39;better-sqlite3&#39;) ipcMain.handle(&#39;query-db&#39;, (event, sql, params) => { const stmt = db.prepare(sql) // 预编译语句防止注入 return stmt.all(params) // 使用参数化查询 }) ``` ### 5. **环境隔离沙箱** - **关键措施**:使用Electron的`contextIsolation`和`preload`脚本安全地暴露API ```javascript // 预加载脚本(preload.js) const { contextBridge, ipcRenderer } = require(&#39;electron&#39;) contextBridge.exposeInMainWorld(&#39;electronAPI&#39;, { readFile: () => ipcRenderer.invoke(&#39;read-file&#39;) }) ``` 在渲染进程中,只能通过`window.electronAPI`访问暴露的方法,无法直接访问Node.js模块。 --- ### 安全实践总结 | 非HTTP请求类型 | 风险 | 安全措施 | |----------------|------------------------|--------------------------------------------| | 文件系统 | 任意读写、路径遍历 | 主进程代理+路径校验、限制目录权限 | | IPC通信 | 恶意指令执行 | 消息来源验证、数据校验、最小权限原则 | | 本地数据库 | SQL注入、数据泄露 | 参数化查询、加密存储、只读模式 | | 自定义协议 | 协议劫持、越权访问 | 严格配置协议权限、禁用危险功能 | > **注意**:在Vue组件中,应通过预加载脚本暴露的安全API本地资源交互,切勿直接使用`require`或`fs`模块(除非在Node环境中且明确安全)[^1][^2]。 --- §§相关问题§§ 1. Electron中如何防止路径遍历攻击? 2. 如何安全地在Electron中存储用户敏感数据? 3. Vue组件中如何调用Electron的API? [^1]: vue-element-admin打包桌面应用时路由跳转的注意事项 [^2]: vue项目打包成桌面端应用时基地址的配置 </think> 在 Vue 桌面端应用(如基于 Electron 或 Tauri)中处理非 HTTP 请求(如文件系统操作、本地数据库访问等),需要特别注意安全风险。以下是核心方法和安全实践: --- ### 一、非 HTTP 请求的常见场景 | 请求类型 | 典型应用场景 | 安全风险 | |-------------------|------------------------------|------------------------------| | **文件系统操作** | 读写本地配置文件、日志 | 路径遍历、恶意文件覆盖 | | **本地数据库** | SQLite/IndexedDB 数据存储 | SQL 注入、数据泄露 | | **系统命令调用** | 调用外部程序/脚本 | 命令注入、权限提升 | | **进程间通信(IPC)**| 主进程渲染进程通信 | 恶意消息注入、敏感数据传输 | --- ### 二、安全处理方案 #### 1. **文件系统访问安全** ```javascript // 主进程 (Electron) const { ipcMain, dialog } = require(&#39;electron&#39;) const fs = require(&#39;fs&#39;) // 安全实践:限制可访问目录 const ALLOWED_PATHS = [app.getPath(&#39;documents&#39;)] ipcMain.handle(&#39;read-file&#39;, async (event, filePath) => { // 路径合法性校验 if (!ALLOWED_PATHS.some(path => filePath.startsWith(path))) { throw new Error(&#39;非法路径访问&#39;) } // 使用对话框确认用户操作 const { response } = await dialog.showMessageBox({ type: &#39;question&#39;, buttons: [&#39;确认&#39;, &#39;取消&#39;], message: `是否允许读取 ${path.basename(filePath)}?` }) return response === 0 ? fs.promises.readFile(filePath) : null }) ``` #### 2. **本地数据库操作安全** ```javascript // 使用参数化查询防止 SQL 注入 const db = require(&#39;better-sqlite3&#39;)(&#39;data.db&#39;) ipcMain.handle(&#39;query-db&#39;, (event, sql, params) => { // 限制 SQL 类型(禁止 DROP/ALTER 等) if (/drop|alter|delete/i.test(sql)) { throw new Error(&#39;危险操作被阻止&#39;) } return db.prepare(sql).all(params) // 参数化查询 }) ``` #### 3. **系统命令调用安全** ```javascript const { exec } = require(&#39;child_process&#39;) ipcMain.handle(&#39;run-command&#39;, (event, command) => { // 命令白名单校验 const ALLOWED_COMMANDS = [&#39;git status&#39;, &#39;npm install&#39;] if (!ALLOWED_COMMANDS.includes(command)) { throw new Error(&#39;非法命令&#39;) } // 使用 execFile 避免 shell 注入 return exec(command, { timeout: 5000 }) // 设置超时 }) ``` #### 4. **IPC 通信安全加固** ```javascript // preload.js (上下文隔离) contextBridge.exposeInMainWorld(&#39;api&#39;, { send: (channel, data) => { // 通道白名单 const validChannels = [&#39;read-file&#39;, &#39;query-db&#39;] if (validChannels.includes(channel)) { ipcRenderer.send(channel, data) } } }) ``` --- ### 三、关键安全实践 1. **最小权限原则** ```javascript // Tauri 配置 (tauri.conf.json) "allowlist": { "fs": { "scope": ["$DOCUMENT/*.config"] } } ``` 2. **输入验证过滤** 对所有传入参数进行严格校验: ```javascript function sanitizePath(input) { return input.replace(/\.\.\//g, &#39;&#39;) // 禁止路径穿越 } ``` 3. **沙箱隔离** ```javascript // Electron 启用沙箱 new BrowserWindow({ webPreferences: { sandbox: true, // 启用渲染进程沙箱 contextIsolation: true // 强制上下文隔离 } }) ``` 4. **敏感操作确认机制** 关键操作(如删除文件)需用户二次确认: ```vue <template> <button @click="confirmDelete">删除文件</button> </template> <script> export default { methods: { async confirmDelete() { if (await this.$confirm(&#39;确定删除?&#39;)) { window.api.send(&#39;delete-file&#39;, path) } } } } </script> ``` --- ### 四、框架对比安全方案 | 框架 | 安全机制 | 非 HTTP 请求处理建议 | |---------|------------------------------|----------------------------------| | **Electron** | `contextIsolation` + `sandbox` | 通过主进程代理所有敏感操作 | | **Tauri** | 内置权限系统 + Rust 内存安全 | 配置 `allowlist` 严格控制权限 | | **PWA** | 浏览器沙箱限制 | 仅限 IndexedDB/File System API | > **重要原则**:始终通过主进程/后端处理敏感操作,渲染进程仅作为 UI 层[^1][^2]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值