静态资源跨域问题——cors解决

最新推荐文章于 2025-03-10 21:55:23 发布
最新推荐文章于 2025-03-10 21:55:23 发布
阅读量9.4k 收藏 8
点赞数
分类专栏: bug解决 文章标签: nginx 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/superermiao/article/details/105563222
版权
本文探讨了前端开发中常见的跨域问题,详细解析了跨源资源共享(CORS)的原理与实现方法,包括HTTP首部字段的作用及配置,如Access-Control-Allow-Origin等,并介绍了JSONP作为另一种解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于静态资源一般会在另一个服务器里,所以如果前端访问,由于浏览器的同源策略,域名,端口号,协议不一样就容易引起跨域问题。
主要解决方案:

方案一

cors解决方案:
跨源资源共享 Cross-Origin Resource Sharing(CORS) 是一个新的 W3C 标准,它新增的一组HTTP首部字段,允许服务端其声明哪些源站有权限访问哪些资源。换言之,它允许浏览器向声明了 CORS 的跨域服务器,发出 XMLHttpReuest 请求,从而克服 Ajax 只能同源使用的限制。

另外,规范也要求对于非简单请求,浏览器必须首先使用 OPTION 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求,在服务器确定允许后,才发起实际的HTTP请求。对于简单请求、非简单请求以及预检请求的详细资料可以阅读HTTP访问控制(CORS) 。

HTTP 协议 Header 简析
下面对 CORS 中新增的 HTTP 首部字段进行简析:

Access-Control-Allow-Origin

响应首部中可以携带这个头部表示服务器允许哪些域可以访问该资源,其语法如下:

Access-Control-Allow-Origin: | *
其中,origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。

Access-Control-Allow-Methods

该首部字段用于预检请求的响应,指明实际请求所允许使用的HTTP方法。其语法如下:

Access-Control-Allow-Methods: [, ]*
Access-Control-Allow-Headers

该首部字段用于预检请求的响应。指明了实际请求中允许携带的首部字段。其语法如下:

Access-Control-Allow-Headers: [, ]*
Access-Control-Max-Age

该首部字段用于预检请求的响应,指定了预检请求能够被缓存多久,其语法如下:

Access-Control-Max-Age:

Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。其语法如下:

Access-Control-Allow-Credentials: true
另外,如果要把 Cookie 发送到服务器,除了服务端要带上Access-Control-Allow-Credentials首部字段外,另一方面请求中也要带上withCredentials属性。

但是需要注意的是:如果需要在 Ajax 中设置和获取 Cookie,那么Access-Control-Allow-Origin首部字段不能设置为* ,必须设置为具体的 origin 源站。详细可阅读文章CORS 跨域 Cookie 的设置与获取

因为我使用的nginx服务,所以直接在静态资源库配置允许跨域。

注意:允许跨域是后面加上的,本来最外层http配置了,但是因为静态资源设置了缓存,所以需要再设置跨域。
在这里插入图片描述

方案二

JSONP
参考这篇文章

Nginx 代理静态资源解决问题
甘蓝的专栏
01-01 1629
Nginx 代理静态资源,实现请求同源,解决请求报错问题
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 879
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的名(网站)那获取资料,即读取数据。JSONP实现请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
静态资源解决方案
u011442726的博客
07-28 2777
Access to font at 'http://static.xxx.com/css/element-ui/fonts/element-icons.woff' from origin 'http://lw.xxx.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 这是出现问题的现象 nginx静态资源允许访问 在.
NGINX配置】史上最强大的静态资源配置
最新发布
向技术大牛致敬
03-10 180
项目说明:前后端分离部署,名访问。后端为Hyperf集成的MineAdmin系统,php提供的web服务默认为9501。在地图调用静态资源时出现报错:在程序内多次设置CORS中间件失效,无奈之下还是从nginx.conf下手了。如下是宝塔面板通过伪静态设置界面设置。。。
解决Nginx静态资源问题
泯灭于众生,高歌于孤夜!
04-28 737
解决nginx静态资源 add_header 'Access-Control-Allow-Origin' '*';
nginx 静态资源访问问题
ethan的博客
06-12 2155
最近做了一个nginx的静态服务,可是前端访问出现问题。网上一大堆的方法,不外乎 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Ali...
Nginx解决静态资源问题
ybb_ymm的专栏
01-15 3407
今天遇到一个很棘手的问题,明明已经解决了服务端的问题了,为什么访问数据资源还是。错误提示: Access to font at '
常见的Web漏洞——CORS
江左盟的博客
06-05 3053
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞。CORS的漏洞原理、检测和利用方法。
Vue动态加载图片在时无法显示的问题解决方法
10-15
本文主要探讨了在Vue项目开发中遇到的一个常见问题——动态加载的图片在环境下无法正常显示的问题。这个问题的根源在于浏览器安全策略限制,导致前端应用无法直接从不同源(名、协议或端口)的服务器上加载...
Spring Boot项目中解决问题(四种方式)
m0_74825238的博客
02-15 969
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
【技术栈——00047】问题总结-分为多中情况的解决方案。
12-14 249
问题总结问题描述问题解决方案解决方案1:解决方案2:解决方案3: 问题描述 问题解决方案 解决方案1: CORS(app, supports_credentials=True) 解决方案2: 这个方法的*号,对前端可能有不 @app.after_request def af_request(resp): """ #请求钩子,在所有的请求发生后执行,加入headers。 :param resp: :return: """
解决nginx/apache静态资源访问问题详解
01-20
1. apache静态资源访问 找到apache配置文件httpd.conf 找到这行 #LoadModule headers_module modules/mod_headers.so 把#注释符去掉 LoadModule headers_module modules/mod_headers.so 目的是开启apache头信息自定义模块 在独立主机配置文件中新增header Header set Access-Control-Allow-Origin * 例如: <VirtualHost> ServerAdmin admin@example.com Documen
springBoot CORS
江湖行骗老中医
06-04 200
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpHeaders; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.
Nginx 缓存引发的惨案
java的平凡之路
08-22 1711
1. 前言 贵金属wap版直播间上线后,偶尔有用户反馈,在进入wap直播间的时候,出现空白页面,但是重新刷新又可以正常显示了。我们曾一度认为是网络请求异常或兼容问题,直到开发PC版直播间,在进行调试中,同样遇到了“白屏”问题,才引起了足够重视,并进行了问题跟踪与分析。现在跟大家分享一下,这种偶然现象出现的原因。 我们的直播间落地页在fa.163.com 系统,而
ThinkPhp项目解决静态资源请求的问题解决思路
我的专栏
01-18 523
虽然我的ThinkPhp项目已经配置了的,但是对于请求这个静态文件还是报问题。折腾了好久,各种配置还是不行。背景:我在前端使用vue语言开发的,请求的后端是用ThinkPhp项目开发的。我vue项目里的请求php接口,自带header参数的问题通过网上查询到的server端配置方法已经解决了。现在有一个新的问题,我在Thinkphp项目里有一个静态的json文件,H5要通过<link>的方式要请求它。这样之后前端项目通过axios接口请求不再报的错了,这一阶段的问题已经解决
04-nginx静态资源防盗链、rewrite
qq_43788522的博客
08-29 1064
nginx静态资源防盗链、rewrite
入门Nginx之-静态资源服务器及配置
Heartsuit的博客
04-29 3830
简介 这里静态资源就以之前的一个项目文章地址为例,源码 Github,项目本身很简单,只是分别对第三方的服务端、自己的服务端发起请求。 不论是调用第三方服务端接口,还是自己的后端服务,如果未在服务器端处理,那么 Vue 部署时需要在生产环境下处理。下面以 Windows 为例,采用 Nginx 两个步骤,来实现针对 Vue 项目的静态资源服务器及配置。 Notes: 补充一...
SpringBoot 静态资源 使用项目外部路径图片 问题CORS 解决 been blocked by CORS policy header field authorization
心猿意码
05-25 7347
配置类 package com.zz.config; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annota...
jwt取消静态资源token验证
03-01
### 配置JWT以取消或绕过静态资源的Token验证 为了使应用程序能够识别并跳过特定路径下的请求(如静态资源),可以利用`WebSecurityConfigurerAdapter`中的方法来自定义安全配置。通过重写`configure(WebSecurity web)`方法,允许指定哪些URL模式不需要经过Spring Security过滤器链的安全检查。 对于静态资源而言,通常位于项目的`/resources/**`, `/static/**`, 或者其他预设目录下。因此,在实现自定义的安全配置时,应当明确指出这些位置作为无需身份验证即可访问的目标: ```java @Override public void configure(WebSecurity web) throws Exception { web.ignoring() .antMatchers("/css/**", "/js/**", "/images/**"); } ``` 上述代码片段展示了如何忽略对CSS、JavaScript以及图片文件夹内所有内容的身份验证需求[^1]。 另外一种做法是在基于`WebMvcConfigurer`接口创建配置类的情况下,同样可以通过覆盖相应的方法达到相同的效果。不过具体到JWT场景,则更倾向于调整其拦截逻辑而非整个框架层面的行为控制。此时可以在构建用于解析JSON Web Tokens (JWTs) 的过滤器过程中加入条件判断语句,当检测到来自静态资源路径的请求时不执行token校验流程[^2]。 例如,如果使用的是类似于Shiro这样的权限管理工具配合JWT插件的话,那么就可以在编写Filter的时候做如下处理: ```java if (!request.getRequestURI().startsWith(request.getContextPath() + "/api/") || request.getRequestURI().matches("^/(css|img|fonts)/.*")) { chain.doFilter(req, res); } else { // 进行jwt token 解析 和 用户信息填充... } ``` 此段伪代码表示只有那些不是API调用也不是加载静态资源的HTTP请求才会被送入后续的身份验证环节;而对于匹配上正则表达式的静态资源请求,则直接放行[^3]。 至于设置响应头中携带cookie的操作并不直接影响到此处讨论的主题——即如何让某些类型的网络请求免受JWT机制的影响。但是值得注意的是,在实际开发当中确实经常会在返回给客户端的数据包里附加诸如session id之类的标识符以便维持会话状态。而这里提到的方式则是另一种常见的资源共享(CORS)解决方案的一部分[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值