跨域访问小结 HTTP-访问控制(CORS)

最新推荐文章于 2021-06-28 15:04:28 发布
最新推荐文章于 2021-06-28 15:04:28 发布
阅读量230 收藏
点赞数
分类专栏: Java 文章标签: 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35491812/article/details/97396395
版权

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器  让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求

比如,站点 http://domain-a.com 的某 HTML 页面通过 <img> 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。

出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。

1.后端添加拦截器,配置返回请求头:

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(new HandlerInterceptor() {
			@Override
			public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
					throws Exception {
				String origin = request.getHeader("Origin"); //配置允许源
				response.addHeader("Access-Control-Allow-Origin", origin);
				response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");    //配置允许方式
				response.addHeader("Access-Control-Allow-Headers",
						"Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,token");

				return true;
			}

			@Override
			public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
								   ModelAndView modelAndView) throws Exception {

			}

			@Override
			public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
										Exception ex) throws Exception {
			}
		});
	}
}


//或者拦截器中添加以下内容(两者加一即可)
​
  @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //跨域请求
        String origin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", origin);
        response.setHeader("Access-Control-Allow-Methods", "*");
        response.setHeader("Access-Control-Allow-Headers", "Origin,Content-Type,Accept,token,X-Requested-With");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out;
        、
    }

​

2.前端添加配置
function makeJSONRequestAsync(url, data, action, callback) {
  var xhr = new XMLHttpRequest();
  xhr.open("POST", url, true);
  xhr.withCredentials = true;     //允许跨域(必须传递)
  xhr.setRequestHeader("Content-Type", "application/json");
  xhr.onreadystatechange = function () {
      if (xhr.readyState === XMLHttpRequest.DONE) {
        if (xhr.status === 200) {
          console.log(xhr.responseText);
          response = JSON.parse(xhr.responseText);
          if (response.status == "0") {
            callback(response);
          } else {
            if(response.status == 9903) {
              chrome.browserAction.setPopup({popup: 'popup.html'});
            }
            alert(action + " Failed\n" + response.status + "\n" + response.message);
          }
        } else {
          alert(action + " Failed\n" + xhr.readyState + " " + xhr.status + "\n" + xhr.responseText);
        }
      }
  };
  xhr.send(data);
}

 

HTTP系列之资源共享机制(CORS)介绍
clyss1234的博客
08-07 633
CORSHTTP资源共享
理解同源(Same-Origin Policy)和(CORS)
python_neophyte的博客
09-02 2212
写在前面 本文作为我这几天阅读相关文章的一个小结。 什么是浏览器的同源策略? 同源策略是浏览器的一种为了保护用户信息安全而制订的安全策略。 为什么要有同源保护? 既然是一种安全策略,那肯定是没有它的时候,会有安全问题,也就是说,没有它 = 不安全,有它 = 有了基本的安全保障,下面为了解释没有同源保护存在时可能出现的安全问题,先解释cookie。 什么是cookie? 学习web开发的朋友,或者cs从业人员肯定都知道cookie这个东西的存在。简单来说,它是用户的一个会员卡,就好像在现实生活中,去超市(超市
源资源共享 (CORS)|学习学习
画个圆圆的地球
11-09 563
源资源共享(CORS) (或通俗地译为资源共享)是一种机制,该机制使用附加的HTTP头来告诉浏览器,准许运行在一个源上的Web应用访问位于另一不同源选定的资源。当一个Web应用发起一个与自身所在源(,协议和端口)不同的HTTP请求时,它发起的即HTTP请求。 HTTP请求的一个例子:运行在 http://domain-a.com的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。 出于安全性...
资源共享——CORS
weixin_34259559的博客
11-25 277
资源共享(Cross-Origin Resource Sharing)是一种机制,它使用额外的 HTTP 头部告诉浏览器可以让一个web应用进行资源请求。 请求类型 简单请求 若一个请求同时满足下述所有条件,则该请求可视为“简单请求”(注:灰色字体内容了解即可): 使用的方法为 GET HEAD POST 手动设置的头部字段只能是(注意:也可以设置 Forbidden header...
资源共享Cors
m_iNoError的博客
04-14 952
资源共享Cors CORS是什么 资源共享(CORS,Cross-origin resource sharing),是W3C标准,是一种机制,它使用额外的HTTP头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的或端口请求一个资源时,资源会发起一个 HTTP 请求。 http://localhost:9000请求http://localhost:8761/eureka/...
http请求返回405 (Method Not Allowed)
weixin_48014441的博客
10-13 2747
一、问题描述 使用post请求json文件中的数据时,返回报错405(Method Not Allowed) 二、解决方法 由post请求改为get请求,请求静态资源时用get请求; 原因: 使用post请求并且发送的URL是一个具体的资源的时候例如JSON文件, 网站解析的时候会把整个URL当作名解析,也就是说我并没有传参数给服务端, 而是直接访问服务端的具体资源, 所以要用get请求. 参考:https://www.checkupdown.com/status/E405_zh.html ...
AJax与Jsonp访问问题小结
10-23
AJAX与JSONP访问问题小结 AJAX(Asynchronous JavaScript and XML)是一种在无需重新加载整个页面的情况下,能够更新部分网页的技术。它通过使用XMLHttpRequest对象来与服务器进行异步通信。XMLHttpRequest对象...
详解vue-cli项目中的proxyTable问题小结
08-28
CORS 是现代浏览器支持的一种策略,它通过在服务器端设置特定的 HTTP 头信息,允许浏览器发起请求。例如,设置 `Access-Control-Allow-Origin` 头指定允许访问的源,`Access-Control-Allow-Methods` 指定...
详解iframe的几种常用方法(小结)
11-26
【详解iframe的几种常用方法(小结)】 在互联网业务不断发展的背景下,为了实现代码的复用和提升效率,公共组件的构建变得尤为重要。然而,由于各项目技术栈的差异,直接引用这些组件可能会遇到困难。为了解决这...
js问题小结
03-24
2. CORS(Cross-Origin Resource Sharing):CORS是一种现代浏览器支持的机制,服务器通过设置HTTP响应头`Access-Control-Allow-Origin`来允许特定的源进行访问CORS可以处理所有类型的HTTP请求,包括POST...
CORS介绍及HTTP请求解决方法
廊坊吴彦祖
01-14 1231
CORS介绍及HTTP请求解决方法 CORS 资源共享 CORS(Cross-Origin Resource Sharing 资源共享)是一个W3C标准,是一种网络浏览器的技术规范。它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个...
浅谈CORS
技术杠精的博客
10-31 5084
资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。
什么是以及如何解决 HTTP访问控制CORS
weixin_43021174的博客
08-21 1269
什么是 当一个资源从与该资源本身所在的服务器不同的或端口请求一个资源时,资源会发起一个HTTP请求 。浏览器限制从脚本内发起的HTTP请求。 XMLHttpRequest和FetchAPI遵循同源策略。 所谓同源是指名,协议,端口均相同。 浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。 如何解决 1资源共享(C...
CORS问题解决方案
IT飞牛
05-26 306
问题主要是由于浏览器同源策略限制引起,简单来说,就是只相信自己人,不相信外人,只响应同名发来的http请求,不相信其他名发来的http请求。好处是减少上当受骗的几率,缺点是不符合webapi的大趋势,api访问会受限。 浏览器同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以...
HTTP访问控制CORS)一文讲解透彻http的来龙去脉
ailiandeziwei的专栏
04-16 1000
资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。 比如,站点http://domain-a.com的某 HTML 页面通过<img> 的 ...
JSONPCORS
weixin_34125592的博客
05-31 139
什么是:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:名、协议、端口均相同。 浏览器执行JavaScript脚本时,会检查这个脚本属于那个页面,如果不是同源页面,就不会被执行。 JSONP 只支持GET请求,不支持POST等其它请求,也不支持复杂请求,只支持简单请求。 CORS 支持所有的请求,包含...
前端浏览器的问题
qq_40409143的博客
06-28 1245
相信前端开发必定少不了这个问题。 什么是是浏览器的行为,问题其实就是浏览器的同源策略所导致的。同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 当的时候会报如下错误: 以下协议、名、端口一致。 http://www.example.com:80/a.js http://www.example.com:80/b.js 以下这种看上去再相似也没有用,都不是同源。 http:
从原理上认识, 以及如何解决问题
tiechui1994的博客
08-04 457
资源共享 资源共享(CORS) 资源共享(CORS)是一种机制, 它使用额外的 HTTP头 来告诉浏览器让运行在一个origin(domain)上的Web应用被准许访问来 自不同源服务器上的指定的资源. 当一个资源从 与该资源本身所在的服务器不同的,协议或端口 请求另外一个资源时, 该资源 会发起一个 HTTP 请求. 例如: 前端主机: www.fontend.com, 后端主机: www.backend.com. 当 前端 向 后端 发送API请求的时候, 由于名不同, 导致该请求是
CORS发送两次请求原理及解决方法
kaosini的专栏
02-22 2186
CORS时,为何会发送两次请求? 资源共享(CORS)是什么? 资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。 CORS需要浏览器和服务器同时支持...
SpringBoot配置CORS实现访问详解
"本文主要介绍了如何在SpringBoot框架下实现前后端分离的访问,重点讲解了CORS资源共享)的工作原理和配置方法。" 在SpringBoot中处理访问问题,主要是通过CORS(Cross-OriginResourceSharing)机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值