跨域问题及其解决思路

最新推荐文章于 2025-03-01 10:20:49 发布
最新推荐文章于 2025-03-01 10:20:49 发布
阅读量300 收藏
点赞数
分类专栏: 技术分析

什么是跨域

Cross-Origin Resource Sharing(CORS) 是W3C为浏览器制定的可以跨域通信的规范。通过使用 XMLHttpRequest 对象, CORS可以让开发者方便的进行跨域通信, 就像在使用同域通信一样。

CORS的使用十分简单。想象一下有一个网站 a.com 想要获取另一个网站 b.com 的数据。但由于浏览器的同源策略, 这样的请求将会被禁止. 这时我们可以使用CORS, 通过添加一些特殊的请求\响应头, 可以让 a.com 访问 b.com 的数据。

根据浏览器的同源策略, 当请求的地址与来源地址的协议、域名、端口中的任一值不相同时, 均视为是一个跨域的请求。

解决跨域问题

  1. jsonp跨域

    JSONP(JSON with Padding:填充式JSON),应用JSON的一种新方法,JSON、JSONP的区别:

    • JSON返回的是一串数据、JSONP返回的是脚本代码(包含一个函数调用)
    • JSONP 只支持get请求、不支持post请求(类似往页面添加一个script标签,通过src属性去触发对指定地址的请求,故只能是Get请求)

  2. nginx反向代理:

    www.baidu.com/index.html 需要调用 www.sina.com/server.php ,可以写一个接口 www.baidu.com/server.php ,由这个接口在后端去调用 www.sina.com/server.php 并拿到返回值,然后再返回给 index.html

  3. 服务器端修改header
    如PHP

    header(‘Access-Control-Allow-Origin:*);//允许所有来源访问
header(‘Access-Control-Allow-Method:POST,GET);//允许访问的方式

  4. document.domain

    跨域分为两种,一种xhr不能访问不同源的文档,另一种是不同window之间不能进行交互操作;

    • document.domain 主要是解决第二种情况,且只能适用于主域相同子域不同的情况;
    • document.domain 的设置是有限制的,我们只能把 document.domain 设置成自身或更高一级的父域,且主域必须相同。例如: a.b.example.com 中某个文档的 document.domain 可以设成 a.b.example.comb.example.comexample.com 中的任意一个,但是不可以设成 c.a.b.example.com ,因为这是当前域的子域,也不可以设成 baidu.com ,因为主域已经不相同了。
    • 兼容性:所有浏览器都支持;
    • 优点:可以实现不同window之间的相互访问和操作;
    • 缺点:只适用于父子window之间的通信,不能用于xhr;只能在主域相同且子域不同的情况下使用;

java版本

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

/**
 * 支持 CORS 跨域
 * web先OPTIONS请求,若 Access-Control-Allow-Origin:*,则发送真正的请求
 * @author
 * @since 1.0.0
 */
public class CorsFilter implements Filter {

    private String allowOrigin;
    private String allowMethods;
    private String allowCredentials;
    private String allowHeaders;
    private String exposeHeaders;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        allowOrigin = filterConfig.getInitParameter("allowOrigin");
        allowMethods = filterConfig.getInitParameter("allowMethods");
        allowCredentials = filterConfig.getInitParameter("allowCredentials");
        allowHeaders = filterConfig.getInitParameter("allowHeaders");
        exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
     throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        if (!CStringUtils.isEmpty(allowOrigin)) {
            if("*".equals(allowOrigin)){
                response.setHeader("Access-Control-Allow-Origin", "*");
            }else {
                List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
                if (!CollectionUtils.isEmpty(allowOriginList)) {
                    String currentOrigin = request.getHeader("Origin");
                    if (allowOriginList.contains(currentOrigin)) {
                        response.setHeader("Access-Control-Allow-Origin", currentOrigin);
                    }
                }
            }
        }
        if (!StringUtils.isEmpty(allowMethods)) {
            response.setHeader("Access-Control-Allow-Methods", allowMethods);
        }
        if (!StringUtils.isEmpty(allowCredentials)) {
            response.setHeader("Access-Control-Allow-Credentials", allowCredentials);
        }
        if (!StringUtils.isEmpty(allowHeaders)) {
            response.setHeader("Access-Control-Allow-Headers", allowHeaders);
        }
        if (!StringUtils.isEmpty(exposeHeaders)) {
            response.setHeader("Access-Control-Expose-Headers", exposeHeaders);
        }
        if("OPTIONS".equals(request.getMethod())){
            return;
        }
        chain.doFilter(req, res);
    }

    @Override
    public void destroy() {
    }
}

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>com.sgai.sadp.core.cors.CorsFilter</filter-class>
  <init-param>
    <param-name>allowOrigin</param-name>
    <param-value>*</param-value>
  </init-param>
  <init-param>
    <param-name>allowMethods</param-name>
    <param-value>GET,PUT,DELETE,POST</param-value>
  </init-param>
  <init-param>
    <param-name>allowHeaders</param-name>
    <param-value>Origin,X-Requested-With,Content-Type,Accept</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
解决问题8种方法,含网关、Nginx和SpringBoot~
m0_67597657的博客
02-04 4867
问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、名和端口)的资源,当 JavaScript 发起的请求越了同源策略,即请求的目标与当前页面的名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
从单领:知识图谱在AI原生应用中的扩展
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
08-09 554
本报告系统探讨知识图谱从单领扩展的技术演进与AI原生应用实践。通过解析单领知识图谱的局限性,阐述扩展的核心挑战(异构性融合、开放推理、动态演化),并基于第一性原理构建知识图谱的理论框架。结合架构设计、实现机制与实际案例,揭示其在AI原生系统中的关键作用(自进化、上下文感知、多模态交互),最终提出未来扩展的技术路径与战略建议。本文适用于AI系统架构师、知识工程研究者及企业AI转型决策者,兼顾理论深度与实践指导。异构性融合。
问题解决思路
泷泷养的乔小胖
12-04 354
问题解决思路 1、两种解决思路 隐藏:如果被调用方是其他业务方,可以自己修改代理服务器(Nginx or Apache),使用隐藏方式解决; 支持:被调用方自己支持,一般在响应头里添加支持字段; 2、解决思路流程图 根据产生问题原因,制定解决方法: 浏览器限制 XHR(XMLHttpRequest请求)    ...
解决问题的这6种方案,真香!
03-01 2813
我后端接口明明通了,Postman也能调,为啥浏览器就报红字?其实这事儿得怪浏览器的“同源策略”简单说,浏览器觉得“不同源的请求都是耍流氓”。比如你的前端跑在http://localhost:8080。而后端在https://api.xxx.com:8000。只要协议名端口任何一个不同,就会被浏览器直接掐断。// 前端代码(http://localhost:8080)// 浏览器控制台报错:这时候,你就需要“解决方案”来帮浏览器松绑了!那么,如何解决问题呢?简单粗暴。
解决js问题思路及实践
@EddieYuan
08-05 1037
js问题是比较头疼的问题,因为最近的项目都是基于webview这个组件来写的。我加载本地的html文件,文件中有些连接去请求服务器,这时候就会报错,因为安全服务器拒绝js去请求。还有一种问题就是我自己在本地搭建的web服务器(Tomcat,node.js构建的服务器)。去请求另外远程服务器的数据,也会发生上述问题。因此很多时候开发的时候,不好测试。今天碰到了一种好方法。特此记录一下。首先我搭建了
问题解决方法
小森努力努力再努力i
02-28 634
问题定义:解决方法: 定义: 资源共享),Cross-origin Resources Sharing [CORS ]它是浏览器的保护机制 只允许网页请求同一名下的服务(协议名端口都保持一致,即“同源策略”,若有一项不同, 那么就是请求) 解决方法: 在前后端分离的项目中解决问题可以从三种情况下手: 配置后端 浏览器是否启用保护机制是根据后端的响应来决定的 —> 浏览器根据的是响应的access control allow origin响应头来决定的(若次
Ajax问题及其解决方案.docx
10-26
### Ajax问题及其解决方案 #### 一、Ajax问题概述 在现代Web开发中,前后端分离架构越来越流行。这种模式下,前端页面与后端服务通常部署在不同的服务器上,甚至可能位于不同的名下。当浏览器发起对不同...
Vue.js 中 axios 访问错误问题解决方法
10-17
在Vue.js开发中,由于浏览器的同源策略限制,经常会遇到请求的问题。当使用axios库发起HTTP请求时,尤其容易遇到这...总的来说,本文为使用Vue.js和axios开发的开发者提供了一个有效的问题解决思路和操作方法。
问题的原因及解决对策
Apollo的博客
03-25 3233
内容来自两篇非常好的文章 https://zhuanlan.zhihu.com/p/145837536 https://zhuanlan.zhihu.com/p/66484450 问题的由来 相信很多人都或多或少了解过问题,尤其在现如今前后端分离大行其道的时候。 你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spring boot 提供的,端口号是7001。 当你调用一个服务端接口时,很可能得到类似下面这样的一个错误: 然后你在发送请求的地方debug
解决IOS12复杂兼容问题的方案与思路
05-17 5423
文章目录一. 故事的起因二. 什么是资源访问三. CORS安全标准1. 简单请求2. 复杂请求四. 发现问题的步骤1. 对不同硬件平台不同系统进行测试2.确定类型,及接口端的实现五. 解决问题的步骤1. 能否在原生开发层面解决问题:2. 能否通过外部条件解决问题:1. Access-Control-Allow-Origin2. Access-Control-Allow-Credentials3. Access-Control-Expose-Headers六. 结论 一. 故事的起因 对
及其解决方案
Astar的博客
07-03 588
为什么会有? 出于安全性考虑,浏览器限制脚本内发起的源HTTP请求。例如,XMLHttpRequest和Fetch API遵循同源策略。这意味着使用这些API的Web应用程序只能从加载应用程序的同一个请求HTTP资源,除非响应报文包含了正确CORS响应头。 同源策略:如果两个URL的protocol、port(如果有指定的话)和host都相同的话,则这两个URL是同源。 解决方案 1. JSONP 在CORS之前,开发人员也有请求资源的需求,他们提出了多种方案,其中JSONP为常见的一种
关于ajax问题的几种常见解决方案,附代码。
03-01
什么是出现的场景,模拟,springmvc下解决,springboot下解决。绝对原创。
解决问题(详解9种方法)
TongJ_的博客
08-14 8316
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为。为了保证用户信息的安全性,防止恶意窃取当前网站的数据,禁止不同直接与js代码交互。分布式项目:把后台放在一个服务器里,把前台放在一个服务器中,防止文件相互损坏,防止一个模块导致所有程序运行不起来,可以前后台同时开发,用来节省时间。...
问题解决方案(转)
baobaodehao1991的博客
08-30 470
      当前端页面与后台运行在不同的服务器时,就必定会出现这一问题,本篇简单介绍解决的三种方案,部分代码截图如下,仅供参考:方式一:使用ajax的jsonp 前端代码  服务器代码  使用该方式的缺点:请求方式只能是get请求方式二:使用jQuery的jsonp插件 插件下载网址:https://github.com/jaubourg/jquery-jsonp 前端代码 服务器...
一文详解最常见的六种解决方案
很多时候犯错都是在不知情的情况下发生的
04-04 5029
就是当在页面上发送ajax请求时,由于浏览器同源策略的限制,要求当前页面和服务端必须同源,也就是协议、名和端口号必须一致。如果协议、名和端口号中有其中一个不一致,则浏览器视为,进行拦截。jsonp的原理是利用了script标签不受浏览器同源策略的限制,img和link标签也是不受浏览器同源策略限制的。是浏览器限制,服务端和服务端之间通信是不受浏览器同源策略限制的。所有解决方案都是需要服务端配合的。最常用的解决方案是CORS、Node代理服务器和Nginx反向代理方式。
详解(最全的解决方案)
lgxzzz的博客
11-29 2524
1. 什么是 ,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 2. 常见的场景 所谓的同源是指,名、协议、端口均为相同。 http://www.nealyang.cn/index.html 调用 http://www.nealyang.cn/server.ph
的十种解决方案详解(总结)
MoXinXueWEB的博客
07-26 8216
小菜鸟在总结
九种常见的解决方案(详解)
热门推荐
qq_44741577的博客
03-07 2万+
在前端领中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值