跨域原理及前端开发环境解决

跨域解决方案
原创 已于 2024-03-27 17:41:48 修改 · 897 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

于 2022-12-01 11:02:58 首次发布
本文介绍了浏览器同源策略下产生的跨域问题及其解决方案,包括proxy代理、Nginx代理及CORS等方法,并详细解释了简单请求与非简单请求的区别。

跨域

跨域的出现:

  1. 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能.
    ps:注意只存在浏览器中,app与小程序不存在跨域这一说。即使这个app是h5套壳。
  2. 注意同源策略,是因为浏览器,所以跨域的出现根本原因是浏览器,因此postman测试请求可以的接口,出现跨域很正常.
  3. 解决方法:在服务端解决.

proxy代理(本地开发环境)

  1. wabpack设置proxy代理:本质nodejs开的服务. 语法是node语法.
  2. 只支持本地环境,如上线后是同源最好,如上线后不同源,需配置Nginx代理.
    devServer: { //nodejs服务端代理
        proxy: {
            host: "0.0.0.0",
            port: 8088,
            https: false,
            hotOnly: false,
            proxy: { //nodejs服务端代理
            '/jacloud-web': {
                target: "http://110.53.177.22:8200/jacloud-web", //目标地址 即nodejs遇到前缀开头的会在前加上该地址。
                ws: true, //webSocket长连接
                changeOrigin: true, //是否跨域
                pathRewrite: { //路径重写 作用去掉/jacloud-web 如果前缀重复的情况.
// 原请求地址为/jacloud-web/todos 不替换时,http://110.53.177.22:8200/jacloud-web/jacloud-web/todos.               
     // 原请求地址为 /jacloud-web/todos 将'/jacloud-web'替换''时,
     // 代理后的请求地址为:http://110.53.177.22:8200/jacloud-web/todos
                    "^/jacloud-web": "" //将会作用在url地址中。
                }
            }
        }
    },

Nginx代理

  1. 服务端设置Nginx反向代理.
  2. **注意:**传参id_token在使用ningx转发代理时候会导致请求内容丢失情况。
    原因:nginx不会识别"_"这个符号,默认情况下它会忽略,所以后端没接收到,也就是说请求时候将这个id_token转发为idtoken导致的。

cors(简单请求、非简单请求,优化option请求)

@Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        req.setAttribute("org.apache.catalina.ASYNC_SUPPORTED", true);
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", ((HttpServletRequest) req).getHeader("Origin"));//解决跨域关键代码
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Disposition,Origin, X-Requested-With, Content-Type, Accept,Authorization,id_token");
        response.setHeader("Access-Control-Allow-Credentials","true");
        response.setHeader("Content-Security-Policy", "default-src 'self' 'unsafe-inline'; script-src 'self'; frame-ancestors 'self'; object-src 'none'");
        response.setHeader("X-Content-Type-Options", "nosniff");
        response.setHeader("X-XSS-Protection", "1; mode=block");
        chain.doFilter(req, res);
    }
  • 虽然有cors解决跨域,但是呢,cors会有一个情况,它会将请求分为简单请求和非简单请求。

简单请求:

满足以下几点是简单请求:
1、只限于get、post、head方法
2、请求头不超出以下字段(且没有其他自定义字段):
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
如果不满足以上其中之一,那就是非简单请求!

非简单请求会发送一个预检请求options,用来嗅探服务端是否允许非简单请求跨域访问资源。

  • 注意:这个options请求是浏览器自己发出的!

当然这是后端需要避免这方面的设置,避免踩坑.

weiweiweb888
关注
前端】代理服务器如何解决问题?
wujianrenn的博客
03-06 830
代理服务器通过 “隐藏” 请求的源头,巧妙地绕过了浏览器的同源策略限制,是解决问题的高效方案无论是本地开发的工具链集成,还是生产环境的Nginx反向代理,都能快速实现通信然而,代理服务器也需权衡维护成本和安全风险。在实际项目中,可结合CORS等其他方案,选择最适合业务场景的策略。
Vue开发中遇到的问题及解决方法
10-15
综上所述,Vue开发过程中遇到的问题主要通过JSONP和CORS两种技术手段来解决,而开发环境下的API代理则是一种工程实践上的应对策略。随着前端技术的发展,各种脚手架工具和后端服务也提供了更便捷的方式来解决这...
Nginx安全策略 “frame-ancestors ‘self‘“
可乐要加冰!!!
11-23 7103
nginx 的安全策略问题
frame-ancestors 'self'
吕小仙的欧巴的博客
12-30 8494
做iframe的时候渲染突然给我报了个错 in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’ 赶紧去百度一下什么是Content Security Policy CSP ---- 内容安全策略 意思是限制iframe只能访问...
禁止iframe技术:X-Frame-Options frame-ancestors
sh2018的博客
10-24 1万+
X-Frame-Options DENY:禁止iframe SAMEORIGIN:只允许相同名下的网页iframe,同源政策保护 ALLOW-FROM: https://example.com:白名单限制 但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法! php代码如下: header("X-Frame-Options: allow-from http://...
点击劫持:CSP frame-ancestors 缺失
ylldzz的博客
06-06 5192
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。
Content Security Policy (CSP) 中的 frame-ancestors ‘self‘ 指令介绍
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
01-19 1748
通过使用,我们加强了网站的安全性,防止了点击劫持攻击。这种 CSP 设置是一项有力的安全措施,尤其对于处理敏感信息的网站来说至关重要。除了这个例子,CSP 还有许多其他指令和配置,可以根据具体需求来进一步提高 Web 应用程序的安全性。在构建现代 Web 前端应用时,除了精通各种前端框架和渲染技术,理解和正确配置安全策略也是不可忽视的一部分。
问题解决方案及前端开发环境搭建
(Cross-Domain)是前端开发中一个非常常见且重要的技术问题,尤其在现代Web应用广泛使用前后端分离架构的背景下,请求处理成为开发者必须掌握的核心技能之一。本文将围绕标题“cross-domain”以及描述中...
解决ajax不能访问本地文件问题(利用js原理
10-20
本文将探讨如何利用JavaScript的原理解决这个问题。 首先,我们要理解什么是是指一个源(Origin,由协议、名和端口组成)试图访问另一个源的资源时,如果这两个源不相同,就会被浏览器视为,...
前端项目细节及疑难点:涵盖测试调试、请求、数据安全等关键领解决方案
最新发布
05-05
使用场景及目标:①帮助前端开发人员解决H5页面在多设备和环境下的兼容性和性能问题;②指导开发者处理请求、数据安全和隐私保护等常见难题;③提供优化前端项目性能、实现响应式布局和解决浏览器兼容性的方法;...
iframe加载报错,不符合策略
wyk760629476的专栏
03-11 1826
问题详情: 问题描述:访问指定地址的url作为iframe内容,不符合策略报错 解决方方法:frame-src 'unsafe-inline' http: ; frame-ancestors 'self' http://*
uniapp中使用web-view报错“frame-ancestors-self”
typ的blog,记录工作中的问题、学习中的笔记、生活中的感想。
03-07 1189
使用了内容安全策略(Content Security Policy,CSP),其中包含了一个指令 “frame-ancestors ‘self’”,该指令限制了允许嵌套该网站内容的父级页面。因此,当尝试在一个不符合该策略的页面中嵌套该网站时,浏览器会拒绝加载该内容并显示这个错误信息。''报错 网页无法打开 位于https://xxx的网页无法加载,因为:net:ERR_BLOCKED_BY_RESPONSE"在想要跳转的网站页面,像网站管理者申请,设置允许该网站进行嵌套,访问。这个错误提示表明网站。
点击劫持漏洞
Zeker62的博客
08-23 1890
目录什么是点击劫持?如何构建基本的点击劫持攻击使用预填表单输入进行点击劫持帧破坏脚本将点击劫持与 DOM XSS攻击相结合多步点击劫持如何防止点击劫持攻击X-Frame-Options内容安全策略 ( CSP )什么是点击劫持? 点击劫持是一种基于界面的攻击,通过点击诱饵网站中的一些其他内容,诱使用户点击隐藏网站上的可操作内容。考虑以下示例: 网络用户访问诱饵网站(可能这是电子邮件提供的链接)并...
nginx 的安全策略问题
zhangiser的专栏
05-09 3692
不允许被嵌入,包括, , , 和 在nginx的 nginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
iframe嵌入第三方链接页面不展示、cookie丢失等问题总结
热门推荐
dong__xue的博客
08-23 4万+
需求是这样的:有一个第三方开发的系统的页面需要嵌入到我们的项目中,对方提供了一个地址:http://ip:port/path?name=xxx&pw=xxx。 当我们想使用iframe来展示这个地址的时候,出现以下现象和错误: 并且控制台报错: Refused to frame 'http://10.65.78.23:30002/' because an ancestor violates the following Content Security Policy directive: "
安全头响应头(二)​X-Frame-Options​
wzj_110的博客
07-06 5013
Sources源形式。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
解决iframe嵌套第三方网址不能访问
Davi的博客
05-11 3万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
内容安全策略 (CSP)
allway2的博客
09-05 7837
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值