No ‘Access-Control-Allow-Origin‘ header is present之 为什么会跨域及解决方案

最新推荐文章于 2025-06-19 21:20:32 发布
原创 最新推荐文章于 2025-06-19 21:20:32 发布 · 9.6w 阅读 · 106 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了浏览器跨域请求的工作原理,包括简单请求与非简单请求的区别,并提供了多种跨域解决方案,如禁用浏览器校验、使用JSONP、服务端响应头配置等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 浏览器的限制

2 跨域

3 浏览器发送的是 XHR (XMLHttpRequest)请求

当以上三个条件都满足时浏览器会抛出跨域请求异常(记住是浏览器抛出的异常,和服务端没太大关系),在讲跨域请求解决方案前先了解几个问题。

1 http请求中,哪些是常见的简单请求,哪些是非简单请求

常见的简单请求:请求方法为:GET ,HEAD,POST,请求header里面无自定义头,Content-Type为以下几种:text/plain  multipart/form-data application/x-www-form-urlencoded

常见的非简单请求 :请求方法为:put delete的ajax请求,发送json格式的ajax请求,带自定义头的ajax请求

2 浏览器在发送跨域请求时候,会有哪些过程

如果是简单请求,浏览器会先发送请求,然后判断服务器返的返回头中是否支持跨域请求,否则抛出跨域异常

如果是非简单请求,浏览器会先发出OPTIONS请求方法的检测命令,判断服务器是否支持跨域请求,如果支持则发送真正的请求,如果不支持则抛出跨域异常,因此一个非简单请求每次会发送两个请求,后面跨域解决方案会讲到缓存OPTIONS预检请求

跨域解决方案

方案1:  禁用浏览器跨域校验,即允许跨域访问,(这种方案不可取,不可能让所有的浏览器设置允许跨域访问)

谷歌浏览器禁用跨域校验: 创建一个快捷方式发送到桌面 ,快捷方式--》右键---》属性页面中的目标输入框里追加  --disable-web-security --user-data-dir=C:\Program Files (x86)\Google\Chrome\Application (注意:--user-data-dir的值就是浏览器安装目录。)不一定生效

方案2: 采用jsonp方式,需要后台和前台同时改动代码,

1 前台需要设置callback参数,如果使用的是jquery ajax 那么dateType属性设置为jsonp,jquery框架会自动设置参数名为callback的请求参数,也可以通过jsonp属性修改jsonp请求参数名,其他js框架根据具体api使用,

2 后台接收到callback参数后认为是jsonp请求,需要返回jsonp格式,普通json请求返回的content-Type是application/json,而jsonp返回的是application/javascript,同时也证明了jsonp请求服务端返回的是js脚本

3 jsonp请求参数名前后约定需要相同,例如jquery默认使用的是callback

弊端:jsonp 需要前后端都去修改代码,且jsonp是通过动态创建script脚本发送请求,仅支持 GET方法,jsonp发出的请求不是xhr请求,也是能解决跨域的原因

方案3 服务端解决跨域问题

通过编写filter在response对象中添加响应头,告诉浏览器允许跨域访问,* 号代码允许所有的请求域名,所有的请求方法跨域访问

@WebFilter("/*")
public class CORSFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;

        // 告诉浏览器允许所有的域访问
        // 注意 * 不能满足带有cookie的访问,Origin 必须是全匹配
        // resp.addHeader("Access-Control-Allow-Origin", "*");
        // 解决办法通过获取Origin请求头来动态设置
        String origin = request.getHeader("Origin");
        if (StringUtils.hasText(origin)) {
            resp.addHeader("Access-Control-Allow-Origin", origin);
        }
        // 允许带有cookie访问
        resp.addHeader("Access-Control-Allow-Credentials", "true");

        // 告诉浏览器允许跨域访问的方法
        resp.addHeader("Access-Control-Allow-Methods", "*");

        // 告诉浏览器允许带有Content-Type,header1,header2头的请求访问
        // resp.addHeader("Access-Control-Allow-Headers", "Content-Type,header1,header2");
        // 设置支持所有的自定义请求头
        String headers = request.getHeader("Access-Control-Request-Headers");
        if (StringUtils.hasText(headers)) {
            resp.addHeader("Access-Control-Allow-Headers", headers);
        }

        // 告诉浏览器缓存OPTIONS预检请求1小时,避免非简单请求每次发送预检请求,提升性能
        resp.addHeader("Access-Control-Max-Age", "3600");

        chain.doFilter(request, resp);
    }
}

方案4 Spring框架提供了跨域解决方案

spring提供了 @CrossOrigin注解用户解决跨域问题,同时支持全局配置
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/api/**")
			.allowedOrigins("http://domain2.com")
			.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
			.exposedHeaders("header1", "header2")
			.allowCredentials(false).maxAge(3600);
	}
}

方案5 服务端通过ngnix解决跨域问题 

location /{
            proxy_pass http://localhost:8080/;
           
            #告诉浏览器允许跨域访问的方法
            add_header Access-Control-Allow-Methods *;
            # 告诉浏览器缓存OPTIONS预检请求1小时
            add_header Access-Control-Max-Age 3600;
            #允许带有cookie访问
            add_header Access-Control-Allow-Credentials true;
            #注意 * 不能满足带有cookie的访问,Origin 必须是全匹配,这里通过变量获取
            add_header Access-Control-Allow-Origin $http_origin;
            #设置支持所有的自定义请求头
            add_header Access-Control-Allow-Headers $http_access_control_request_headers;
            #如果预检请求,则返回成功,不需要转发到后端
            if ($request_method = OPTIONS){
                return 200;
            }
        }

方案6 客户端通过nginx隐藏跨域

#转发全部以/api开头的请求到web服务器
   location  /api
   {
        proxy_pass http://127.0.0.1:8080/api;
   }

正确解决NoAccess-Control-Allow-Originheader is present on the requested resource异常的有效解决方法
wbajsjhhhhh的博客
05-03 1万+
正确解决NoAccess-Control-Allow-Originheader is present on the requested resource异常的有效解决方法
No 'Access-Control-Allow-Origin' header is present on the requested resource. 问题!
开心就好~~~专栏
01-23 19万+
问题项目背景车祸现场解决问题总结 项目背景 前端:VUE 后端:Java JDK 1.8 Springboot 1.5.12 maven 3.3.9 服务器环境:Linux nginx 数据库:mysql 车祸现场 1、废话不说直接上干货 仔细一点可以看出,NoAccess-Control-Allow-Originheader is present on the requested...
NoAccess-Control-Allow-Originheader is present on the requested resource异常的解决方案
2301_79779756的博客
05-10 1万+
当浏览器尝试从不同于其源(、协议或端口)的服务器加载资源时,会触发同源策略(Same-Origin Policy)。然而,有时我们确实需要从不同的源加载资源,这时就需要使用源资源共享(CORS,Cross-Origin Resource Sharing)机制。
Nginx “Access-Control-Allow-Origin” 安全配置
最新发布
qq_42184486的博客
06-19 646
通过白名单限制允许名,避免使用Access-Control-Allow-Origin *,以减少CSRF等安全风险。以上配置通过动态名匹配、严格限制方法/头部、正确处理预检请求及补充安全头,实现既灵活又安全的CORS策略15。)中不重复设置头,防止响应头冲突。若需携带Cookie等凭证,需显式设置。确保在错误处理块(如。
完美解决:NoAccess-Control-Allow-Originheader is present on the requested resource
white0718的博客
07-24 1万+
分析:当我们请求一个接口的时候,出现如:Access-Control-Allow-Origin 字眼的时候说明请求了。前端是vue,后端是springcloud,完全的前后端分离的项目,前端在向后端发送请求的时候出现如下的错误。把我工作中遇到的问题和解决的问题的过程记录下来,同时希望也可以帮到大家!文件,在该文件内新增配置。
NoAccess-Control-Allow-Originheader is present on the requested resource关于vue问题
qq_42212557的博客
12-06 2万+
No 'Access-Control-Allow-Origin' header is present on the requested resource关于vue问题
uniapp 解决NoAccess-Control-Allow-Originheader is present on the requested resource.
qq_33192454的博客
10-11 3625
在 UniApp 开发中,如果你遇到。
静态文件访问不到报No Access-Control-Allow-Origin处理办法
06-11
当一个网页尝试从不同的源(协议、名或端口)请求资源时,如果目标服务器没有允许这个源的权限,浏览器会阻止该请求,从而出现"No 'Access-Control-Allow-Origin' header is present on the requested resource"的...
已解决:No 'Access-Control-Allow-Origin'问题
08-19
总的来说,解决"No 'Access-Control-Allow-Origin'"问题的关键在于理解浏览器的同源策略,并在后端服务器中正确配置CORS策略。在实际开发中,应当兼顾安全性和便利性,根据项目需求来设定合适的策略。
Nginx设置Access-Control-Allow-Origin无效的解决办法
01-10
add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = '...
解决方案Access-Control-Allow-Originheader in the response must not be the wildcard ‘*’
12-20
标题 "解决方案Access-Control-Allow-Originheader in the response must not be the wildcard ‘*’" 提到的是一个在Web开发中常见的问题。`Access-Control-Allow-Origin` 是一个用于控制资源访问的...
解决CORS : NoAccess-Control-Allow-Originheader is present on the requested问题 ,Nginx配置。
bk_陈龙伟
03-16 5114
解决CORS : NoAccess-Control-Allow-Originheader is present on the requested问题 ,Nginx配置。
NOAccess-Control-Allow-Originheader is present on the request resource异常问题解析及解决方案
m0_53951384的博客
09-09 2890
浏览器去请求学生列表页面时先从前端服务器获取该页面,此时页面中只有静态数据并没有学生列表数据,这时在浏览器的学生列表页面就自动调用获取学生列表数据的方法,所以请求是由浏览器发起的,而不是前端服务器获取所有学生列表数据后返回学生信息列表页面给浏览器。由于获取数据的请求是浏览器发起的,而浏览器有同源策略,非同源的响应数据会被认为不安全进行拦截。只要协议、主机、端口之一不同,就不同源同源检查是浏览器的行为,而且只针对 fetch、xhr(ajax)请求。
解决问题:NoAccess-Control-Allow-Originheader is present on the requested resource.
一起加油吧!
12-10 9858
CORS,全称Cross-Origin Resource Sharing,是一种允许当前(domain)的资源(比如html/js/web service)被其他(domain)的脚本请求访问的机制,通常由于同安全策略(the same-origin security policy)浏览器会禁止这种请求。
NoAccess-Control-Allow-Originheader is present on the requested resource.
weixin_42235173的博客
03-13 586
NoAccess-Control-Allow-Originheader is present on the requested resource. 请求出错,在config/index.js中 // 代理配置表,在这里可以配置特定的请求代理到对应的API接口 // 例如将'localhost:8080/api/xxx'代理到'www.example.com/api/xxx' proxyTable: { '/api': { // 匹配所有以 '/api'开头的请求路径 ta
No 'Access-Control-Allow-Origin' header is present on the requested resource.
小猿备忘录
03-29 3060
(1)错误描述:这是在做前后端分离项目时候遇到的,错误的大致意思是没有Access-Control-Allow-Origin 这个头。 Access to XMLHttpRequest at 'http://***.***.**.com/**/**?fromDate=&toDate=&currentPage=1&pageSize=100' from origin ...
No 'Access-Control-Allow-Origin' header is present on the requested resource.'Ajax访问解决方案
热门推荐
M_Jack的博客
05-29 22万+
一、什么是访问 举个栗子:在A网站中,我们希望使用Ajax来获得B网站中的特定内容。如果A网站与B网站不在同一个中,那么就出现了访问问题。你可以理解为两个名之间不能名来发送请求或者请求数据,否则就是不安全的。访问违反了同源策略,同源策略的详细信息可以点击如下链接:Same-origin_policy;  总而言之,同源策略规定,浏览器的ajax只能访问跟它的HTML页面同源...
No 'Access-Control-Allow-Origin' header is present问题及解决方案
weixin_30892889的博客
03-25 1129
如图,是在chome浏览器的Console中显示的信息,很明显,No 'Access-Control-Allow-Origin' header is present on the requested resource这句话表示出现了请求问题,那么什么是请求呢? 一、何为“”? 是浏览器对于javascript的同源策略的限制,一般我们使用ajax发送请求时会出现...
浏览器控制台报错:NoAccess-Control-Allow-Originheader
m0_56088675的博客
03-05 882
浏览器的同源策略(Same-Origin Policy)限制,当网页从不同源(协议、名、端口)请求资源时触发。
no Access-Control-Allow-origin header is present on the requested resource 怎么解决
04-20
### 解决因缺少 `Access-Control-Allow-Origin` 头而导致的 CORS 错误 CORS(资源共享)是一种用于控制浏览器如何允许网页从不同的源加载资源的安全机制。当服务器响应中未包含必要的 `Access-Control-Allow-Origin` 头时,浏览器会阻止前端应用访问这些资源,并抛出 CORS 错误。 --- #### 为什么会出现此问题? 当客户端(通常是浏览器中的 JavaScript 应用程序)尝试向另一个源(即具有不同协议、名或端口号的服务器)发出 HTTP 请求时,浏览器会在后台执行一系列检查来确认目标服务器是否允许此类请求。如果没有设置适当的 CORS 响应头,例如 `Access-Control-Allow-Origin`,则请求会被拒绝[^7]。 --- #### 如何解决? ##### 方法一:在后端添加 CORS 响应头 最直接的方式是在服务器端配置相应的 HTTP 响应头以支持请求。下面是一些常见编程框架的例子: ###### 对于 Flask: 可以手动为每个路由添加所需的 CORS 响应头。 ```python from flask import Flask, make_response app = Flask(__name__) @app.after_request def add_cors_headers(response): response.headers['Access-Control-Allow-Origin'] = '*' # 允许所有来源 response.headers['Access-Control-Allow-Methods'] = 'GET, POST, PUT, DELETE' # 允许的方法列表 response.headers['Access-Control-Allow-Headers'] = 'Content-Type, Authorization' # 允许的头部字段 return response @app.route('/data', methods=['GET']) def get_data(): data = {'key': 'value'} return make_response(data) ``` 此处将 `Access-Control-Allow-Origin` 设定为通配符 (`*`) 表示任何外部站点都可以访问 API 数据;但在涉及敏感信息的情况下应该指定确切的 URL 地址而不是使用星号[^8]。 ###### 对于 Node.js/Express: 同样可以通过中间件实现这一目的。 ```javascript const express = require('express'); const app = express(); // 添加 CORS 支持 app.use((req, res, next) => { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept"); res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); next(); }); app.get('/data', (req, res) => { const data = { key: 'value' }; res.json(data); }); ``` --- ##### 方法二:利用反向代理规避 CORS 限制 另一种方法是通过同一源上的反向代理转发请求到实际的服务端点。这样做的好处是可以完全绕过浏览器级别的 CORS 检查,因为所有的通信都发生在同一个主机内部。 假设我们正在运行一个 Nginx 作为我们的 Web 服务器兼反向代理角色,则可以在其配置文件中加入如下内容: ```nginx server { listen 80; server_name localhost; location /api/ { proxy_pass http://backend_server/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 在这个例子当中,所有发往 `/api/...` 路径下的请求都会被重定向至名为 `backend_server` 的上游服务那里去处理[^9]。 --- ##### 方法三:修改客户端代码 虽然这不是最佳实践,但如果无法更改远程API的行为模式的话,也可以考虑采用JSONP技术或者iframe沙箱等方式间接获取所需的数据。不过需要注意的是这两种方式都有各自的局限性和安全隐患,所以一般只适合非常特殊的情况之下才选用它们[^10]。 --- ### 结论 为了有效应对由于缺乏必要首部而引发的读取失败状况,应当优先调整后端逻辑,在回应消息里附加恰当形式化的权限声明项——主要是指明许可范围内的原始地址以及所接纳的动作类别等内容。与此同时也要留意保护好个人隐私资料免受未经授权方窥探的风险。 ---
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值