前后端分离跨域问题

最新推荐文章于 2025-03-18 18:01:29 发布
原创 最新推荐文章于 2025-03-18 18:01:29 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #安全

浏览器跨域问题

浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Dom的查询。下面分别列举没有同源策略所会产生的问题。

1. CSRF

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

  1. 登录受信任网站A,并在本地生成Cookie(A)。
  2. 在cookie(A)未失效的情况下,登陆危险网站B
  3. 网站B去请求A

由于浏览器会自动带上网站A的用户cookie,所以网站A无法知道是用户的访问还是网站B进行的访问,这样B就相当于此用户进行了操作。这种要是发生在网上支付等会造成用户的损失。

2. Dom查询

我们可能会了解到一些短信诈骗情况,点击链接登录银行账户进行转账。比如中国银行的域名是www.zgyh.com,但是短信链接是www.zgyhh.com。这个页面内嵌了中国银行的登录页面,你可能就会进行登录。具体操作如下:

// HTML
<iframe name="zgyh" src="www.zgyh.com"></iframe>
// JS
// 由于没有同源策略的限制,钓鱼网站可以直接拿到别的网站的Dom
const iframe = window.frames['zgyh']
const username = iframe.document.getElementById('username')
const password = iframe.document.getElementById('password')
console.log("用户名:" + username +  ",密码:"+ password)

这样等于你在内嵌页面输入的信息我都能进行获取了。

怎样算跨域

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子:

http://www.123.com 与 http://www.123.com(非跨域)

http://www.123.com 与 http://www.456.com (主域名不同:123/456,跨域)

http://abc.123.com 与 http://def.123.com (子域名不同:abc/def,跨域)

http://www.123.com:8080 与 http://www.123.com:8081 (端口不同:8080/8081,跨域)

http://www.123.com 与 https://www.123.com (协议不同:http/https,跨域)

请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。

Java后端的cors过滤器

一.自定义cors的filter
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class CORSFilter implements Filter {

    private static final Logger LOGGER = LoggerFactory.getLogger(CORSFilter.class);

    private List<String> corsOriginList;

    @Override
    public void destroy() {
          
    }  
  
    @Override  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String curOrigin = request.getHeader("Origin");
        LOGGER.info("当前访问来源是:{}", curOrigin);
        // 从列表中获取,可以将数据放入缓存
        if (corsOriginList.contains(curOrigin)) {
            response.setHeader("Access-Control-Allow-Origin", curOrigin);
        } else {
            return ;
        }

        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        chain.doFilter(req, res);
    }
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {
        corsOriginList = new ArrayList<String>();
        // 初始化可访问的域名列表
        corsOriginList.add("http://127.0.0.1:8888");
        corsOriginList.add("http://localhost:8888");
    }
  
}
二.配置filter
	<filter>
		<filter-name>cors</filter-name>
		<filter-class>com.limbo.survival.common.web.CORSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>cors</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

基于nginx反向代理

一.nginx和反向代理

可以通过nginx的反向代理,将前后端应用放置到同一域。

所谓反向代理,就是在自己的域名下架设一个Web服务器,这个服务器会把请求转发给第三方服务器,然后把结果返回给客户端。这时候,在客户端看来,自己就是在和这台反向代理服务器打交道,而不知道第三方服务器的存在。

所以,如果有一个Web服务程序,它同时提供了反向代理功能和静态文件服务功能,静态文件服务负责渲染前端页面,反向代理则提供对第三方服务器的透明访问。那么前端和后端就变成了同源的,不再受同源策略的约束。

二.nginx配置
http {
    include       mime.types;
    default_type  application/octet-stream;

    server {
        listen       80;
        server_name  www.web.com;
	
	# 对静态文件的匹配
	location ~* ^.+\.(xls|woff2|log|jpg|jpeg|gif|png|svg|ico|html|cfm|cfc|afp|asp|lasso|pl|py|txt|fla|swf|zip|wav|json|js|css|less)$ {
            # 前端跳转
            proxy_pass http://localhost:8888;
        }

	location /web/ {
			# 后端跳转
            proxy_pass http://localhost:8080;
	}

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
        
    }
}
三.指定配置文件启动nginx
nginx -c /usr/local/etc/nginx/nginx.conf.my
四.前端访问路径

前端的访问路径都指向www.web.com

参考

前后端分离问题解决方案
qq_53348178的博客
05-29 653
​​/***/@Override// 在这里添加过滤器初始化逻辑(CORS)​@Override// HttpServletResponse是ServletResponse接口的一个实现类,专门用于处理HTTP响应//设置CORS响应头// 允许所有名访问// 允许的HTTP方法// 预检请求的缓存时间// 允许的请求头​// 如果是预检请求(OPTIONS请求,一般是浏览器自己发送的请求),直接返回成功} else {
前后端分离项目,如何解决问题
沉默王二
02-24 1万+
问题前后端分离项目中非常常见的一个问题,举例来说,编程猫(codingmore)学习网站的前端服务跑在 8080 端口下,后端服务跑在 9002 端口下,那么前端在请求后端接口的时候就会出现问题。 403 Forbidden 是HTTP协议中的一个状态码(Status Code),意味着后端服务虽然成功解析了请求,但前端却没有访问该资源的权限。 那怎么解决这个问题呢?通常有两个思路: 前端使用 Nodejs 代理(开发环境下,生产环境下可以用 Nginx 替代) 或者后端开启资源共享 一
前后端分离问题
热门推荐
小夏陌的博客
02-20 4万+
问题原因 在现在流行的前后端分离开发中,问题突显了出来,问题的根本原因:浏览器有同源策略限制,当前名的js只能读取同下的窗口属性,这是一个基础安全功能。那么什么是同源策略呢?即两资源的URL中 协议,名,端口,都相同则称为同源,若两资源为不同源,则不允许共享资源的。 例如:以http://www.baidu.com/dir1/a.html为例子 请求地址 结果 原因 http://www.baidu.com/dir1/b.html 成功 同一名端口,相同文件夹 htt
前后端分离架构下的问题
sinat_37138973的博客
05-04 2089
来源: http://mp.weixin.qq.com/s?__biz=MjM5NTM1NDcyOQ==&amp;mid=202557064&amp;idx=1&amp;sn=d24349248e5dd70e0d0bcdc0fb6e6ca5#rd 同源策略与 JSONP方式 反向代理方式 CORS方式 同源策略与 所谓,英文叫做cross-dom...
前后端分离
baidu_35160588的博客
03-29 364
springboot+angular4前后端分离 问题解决详解
08-25
SpringBoot+Angular4前后端分离 问题解决详解 SpringBoot和Angular4是当前流行的前后端分离开发技术栈,本文主要介绍了如何解决SpringBoot和Angular4前后端分离中的问题问题是指在前后端分离开发中...
前后端分离问题解决方法.doc
最新发布
08-06
前后端分离问题解决方法.doc
详解VueJs前后端分离问题
01-19
可以使用在项目内设置代理(proxyTable)的方式来解决问题 设置配置项的目录在config下的index.js,主要通过配置proxyTable项,设置代理指向你的后台地址 dev: { env: require('./dev.env'), port: 8085, ...
解决前后端分离架构中问题
name_sakura的博客
04-06 7522
前后端分离架构中,前端调用后端提供的API接口来获取数据。由于浏览器的,而前端服务与后端服务往往会被部署到不同的机器,不同端口上,因此会产生问题
前后端分离问题
bing_bg的博客
04-06 978
问题 打开浏览器检查页面会发现没有输出服务器返回的消息而是,出现了一个错误信息,这就是前后端分离最常见的问题 问题原因 这是因为浏览器都采用了同源策略,即不允许访问不属于本服务器的资源。 同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响。可以说Web是构建在同源策略基础之上的,浏览...
Springboot2.0解决问题
kerry_Miao的博客
12-06 717
前后端分离大势所趋,问题更是老生常谈,随便用标题去google或百度一下,能搜出一大片解决方案,那么为啥又要写一遍呢,不急往下看。 问题背景: Same Origin Policy,译为“同源策略”。它是对于客户端脚本(尤其是JavaScript)的重要安全度量标准,其目的在于防止某个文档或者脚本从多个不同“origin”(源)装载。 它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半...
前后端分离架构的解决方案
多学、多想、多做
03-18 1114
解决前后端分离架构的项目所存在的问题
前后端分离项目——问题解决方案
weixin_56032340的博客
01-17 1451
前后端分离项目解决问题
前后端分离开发解决
qq_37658234的博客
03-09 539
解决问题
前后端分离项目的问题及解决办法
qq_45603855的博客
08-10 1万+
前后端分离项目的问题及解决办法一、简述1、问题描述2、什么是3、出现问题的原因二、解决办法1、第一种解决办法:后端配置(spring boot设置方式)2、第二种解决办法:前端配置代理(vue项目) 一、简述 1、问题描述   这里前端vue项目的端口号为9000,后端springboot项目的端口号为8080 2、什么是   当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为 当前页面url 被请求页面url 是否 原因 htt
前后端分离项目问题及解决方案
踏 浪的博客
04-18 3万+
目录 1、什么是 2、前后端分离项目中的问题 3、方法一:SpringBoot后端进行处理 4、方法二:在Vue前端进行处理 5、总结 1、什么是 请求同资源: 在名 (或 ip 地址)相同,端口号相同下的请求资源,可以看做是同资源 请求资源: 请求的资源只要 是 名(或 ip 地址)、端口号中任意一个不同的资源都可以认为是资源 如: 端口...
前后端分离问题解决
active_pig的博客
06-04 520
前言 最近在写前后端分离项目的时候,遇到了前后端分离必须解决的问题,而我起初只是在 Controller 层加上了注解@CrossOrigin(allowCredentials = "true"),暂时解决了问题。但是在开发验证码的时候,始终获取不到session中的验证码字符,获取到的验证码字符始终为null,调试之后发现放入验证码字符的session与从session中获取验证码字符的session不是同一个session,这就又遇到了问题,也就是说之前处理的并不生效了,或者说之前并没有
若依框架前后端分离问题
04-03
### 若依框架前后端分离问题解决方案 #### CORS简介 资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,它允许浏览器向不同源的服务器发出 XMLHttpRequest 请求。同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互[^1]。 #### 若依框架中的解决方式 在若依框架中,可以通过多种方式进行配置: 1. **使用 `@CrossOrigin` 注解** 在 Controller 层的方法或类上添加 `@CrossOrigin` 注解可以实现单个接口或整个控制器的支持。例如: ```java @RestController @RequestMapping("/example") @CrossOrigin(origins = "http://localhost:8080", maxAge = 3600) public class ExampleController { @GetMapping("/test") public String test() { return "Test Success"; } } ``` 上述代码表示 `/example/test` 接口允许来自 `http://localhost:8080` 的请求,并设置缓存时间为 3600 秒[^4]。 2. **全局配置 CORS 过滤器** 可以通过创建一个自定义的 Web 配置类来实现全局范围内的支持。以下是具体实现方法: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 对所有的路径生效 .allowedOrigins("*") // 允许所有名访问 .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 支持的 HTTP 方法 .maxAge(3600L); // 缓存时间 (单位秒) } @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("http://localhost:8080"); } }; } } ``` 此种方式适用于需要统一管理规则的情况[^3]。 3. **Nginx反向代理** 如果不想修改后端代码,也可以通过 Nginx 来解决问题。配置如下: ```nginx server { listen 80; server_name your-domain.com; location /api/ { proxy_pass http://backend-server/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-NginX-Proxy true; } } ``` 使用此方法可以让前端和后端看起来像是同一源,从而规避问题[^2]。 #### 注意事项 - 当前主流推荐的方式是采用 CORS 技术,因为它更加灵活且易于维护。 - 如果涉及敏感数据传输,则需谨慎设置 `allowedOrigins` 参数,避免因开放过多权限而引发安全风险。 ```python print("以上为针对若依框架前后端分离时的问题解决方案") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值