跨域之CORS

最新推荐文章于 2025-09-12 18:08:49 发布
最新推荐文章于 2025-09-12 18:08:49 发布
阅读量93 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java web.xml
原文链接:https://my.oschina.net/zjg23/blog/798895
本文介绍了一种使用CORS过滤器解决跨域问题的方法,并详细解释了如何在Tomcat服务器中配置cors-filter来允许跨域请求。此外还提供了一个简单的HTML示例用于演示跨域调用的过程。

为什么80%的码农都做不了架构师?>>>   hot3.png

实验环境准备:

本地存在一个web应用,模拟服务端。调用其接口http://127.0.0.1:8080/PanServer/files/dir/1235/query返回如下

image

客户端用一个html模拟(直接在tomcat的webapps下建一个Cors的文件夹,将html放到Cors下面),源码如下:

<html>
<head>
<meta charset="utf-8" />
<script>
function success(text) {
var textarea = document.getElementById('test-response-text');
textarea.innerHTML = text;
}

function fail(code) {
var textarea = document.getElementById('test-response-text');
textarea.innerHTML = 'Error code: ' + code;
}

function helloAjax() {
var request = new XMLHttpRequest(); // 新建XMLHttpRequest对象

request.onreadystatechange = function () { // 状态发生变化时,函数被回调
if (request.readyState === 4) { // 成功完成
    // 判断响应结果:
    if (request.status === 200) {
        // 成功,通过responseText拿到响应的文本:
		//alert('request.responseText');
        return success(request.responseText);
    } else {
        // 失败,根据响应码判断失败原因:
		//alert('request.status');
        return fail(request.status);
    }
} else {
    console.log('continuing……');
}
}

// 发送请求:
request.open('GET', 'http://localhost:8080/PanServer/files/dir/1235/query');
request.send();

alert('请求已发送,请等待响应...');
}

</script>
</head>
<body>
<div>
<p id="test-response-text"></p>
<p><button type="button" onclick="helloAjax()">刷新</button></p>
</div>
</body>
</html>

跨域测试:

1、浏览器内通过http://127.0.0.1:8080/Cors/corstest.html发起客户端调用,点击“刷新”按钮触发http://localhost:8080/PanServer/files/dir/1235/query的跨域调用

(注,localhost和127.0.0.1 作为主机名,不同,故为跨域调用),浏览器中会受到调用失败的提示

image

2、浏览器内通过http://localhost:8080/Cors/corstest.html发起客户端调用,点击“刷新”按钮触发http://localhost:8080/PanServer/files/dir/1235/query的调用

此时协议、主机名、端口均相同则不为跨域调用,可以成功返回

image

问题解决:

既然模拟出了跨域场景,接着就是用CORS的方式来让跨域调用成功。

 

tomcat下的配置
下载cors-filter-1.7.jar,java-property-utils-1.9.jar这两个库文件,放到lib目录下。(可在
http://search.maven.org上查询并下载。)服务端的工程项目中web.xml中添加如下配置: 

<filter>  
    <filter-name>CORS</filter-name>  
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>  
    <init-param>  
     <param-name>cors.allowOrigin</param-name>  
        <param-value>*</param-value>  
    </init-param>  
    <init-param>  
     <param-name>cors.supportedMethods</param-name>  
        <param-value>GET, POST, HEAD, PUT, DELETE</param-value>  
    </init-param>  
    <init-param>  
     <param-name>cors.supportedHeaders</param-name>  
        <param-value>Accept, Origin, X-Requested-With, Content-Type, Last-Modified</param-value>  
    </init-param>  
    <init-param>  
        <param-name>cors.exposedHeaders</param-name>  
        <param-value>Set-Cookie</param-value>  
    </init-param>  
    <init-param>  
        <param-name>cors.supportsCredentials</param-name>  
        <param-value>true</param-value>  
    </init-param>  
</filter>  
<filter-mapping>  
    <filter-name>CORS</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>

 

可以看到之前失败的跨域调用已经可以成功调用

image

CORS的原理:

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

以刚才成功的跨域请求为例

浏览器发现这次跨域请求是简单请求(什么是简单请求参看跨域资源共享 CORS 详解),就自动在头信息之中,添加一个Origin字段。

image

Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误;如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。

image

这几个字段就是我们刚才添加的fileter添加的。浏览器看到这几个头消息之后,就可以正常响应了,不会再进行拦截。上面只是简单介绍了CORS的原理,详细可以 看参考文档。

参考文档:

http://www.ruanyifeng.com/blog/2016/04/cors.html

转载于:https://my.oschina.net/zjg23/blog/798895

CORS filter解决ajax越问题解决及源码分析
隔壁老瓦的专栏
06-07 1万+
&lt;!--CORS 资源访问--&gt; &lt;filter&gt; &lt;filter-name&gt;CORS&lt;/filter-name&gt; &lt;filter-class&gt;com.thetransactioncompany.cors.CORSFilter&lt;/filter-class&gt; &lt;init...
前端CORS
王宜明的个人博客
07-19 1632
在前端开发中出于种种原因,总会有需要访问其它名数据的时候.比如说,因为某项业务你需要调用一下第三方的一个接口.或者说你需要与其他名的网站交互一下数据等等.不一而足.但是,与此同时我们也知道.浏览器在出于安全方面的考虑,有一个同源策略.只要是不同名,不同端口,不同协议之间的通讯都会被浏览器阻止.而在这个情况下,这个概念也就油然而生了.什么是 一词从字面意思看,就
前端CORS详解
风萧萧兮易水寒
09-19 6578
CORS源资源分享Cross-Origin Resource Sharing。 它是W3C标准,是源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没...
浅谈CORS
Mr_RedStar的博客
03-28 1553
CORS简介 CORS是全称是Cross-Origin Resource Sharing(资源共享),是基于http1.1的一种解决方案。值得注意的是,CORS对不同请求模式有不同的处理规范,我们将之分成简单请求、需要预检的请求、携带身份凭证的请求。 简单请求 问题:如何定义一个简单请求? 请求方法仅限于get、post、head; 请求头仅包含安全的字段,常见的安全字段大概是Accept、Accept-Language、Content-Language、Content-Type、DPR、Down
解决方案之CORS
跟佟格码路一起学习计算机知识吧~
05-23 1269
CORS(Cross-Origin Resource Sharing,资源共享)是一种解决 Web 应用访问问题的标准机制。在 Web 开发中,浏览器遵循同源策略限制不同源(协议、名、端口不一致)之间的资源访问,而 CORS 通过服务器端设置特定的响应头,允许浏览器在安全的前提下,实现资源的请求与获取,是目前解决问题的主流方案。
cors--简单请求、复杂请求
qq_36582776的博客
03-22 2238
1.简单请求: 1、使用下列方法之一: GET、 POST、 HEAD。 2、不得人为设置该集合之外的其他首部字段。该集合为: Accept Accept-Language Content-Language Content-Type 3、Content-Type 的值仅限于下列三者之一: text/plain multipart/form-data application/x-www-form-urlencoded 4、请求中的任意XMLHttpRequestUpload 对象均
nginx代理解决问题CORS错误
u014644574的博客
11-21 928
nginx代理解决问题CORS错误
CORS 的后台配置
weixin_33859844的博客
06-21 2412
#如果服务端是 Nginx 的以参考# Acts as a nginx HTTPS proxy server# enabling CORS only to domains matched by regex # /https?://.*\.mckinsey\.com(:[0-9]+)?)/## Based on: # * http://blog.themillhousegroup.com/2013/...
CORS 原理解析
三两肉的博客
08-19 1459
CORS,全称为“资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个(不同于该网页所在的)请求资源。这样可以在服务器和客户端之间进行安全的通信。预检请求(Preflight Request):对于某些类型的请求(如使用 HTTP 方法PUT、DELETE,或者请求带有非简单头部),浏览器会首先发送一个OPTIONS请求,这个请求称为“预检请求”。
CORS解决
2301_82024244的博客
09-08 650
allowCredentials(true) // 是否允许在的情况下传递Cookie。.allowedOriginPatterns("*") // 允许请求来源的规则。// 允许所有的请求头。CORS的一种解决方案,CORS 给了web服务器一种权限:服务器可以选择是否允许请求访问到它们的资源。registry.addMapping("/**") // 添加路径规则。@Operation(summary = "登陆的测试")
cors扩展插件chrome
12-13
标题中的“cors扩展插件chrome”指的是用于解决Web应用程序问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
资源共享 CORS 详解
09-02
资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
vue axios 解决问题CORS
07-08
在开发Web应用时,我们经常会遇到“”(CORS)的问题,特别是在使用Vue.js框架和axios库进行API调用时。Vue.js是一个轻量级的前端框架,而axios则是一个基于Promise的HTTP库,它广泛用于Vue项目中进行数据获取和...
Spring boot 总结之处理cors的方法
08-28
Spring Boot 处理 CORS 的方法 Spring Boot 是一个基于 Java 的框架,用于快速构建生产级别的应用程序。然而,在构建前后端分离的项目时,我们经常会遇到问题。问题是指当我们的页面和接口在不同名下...
react中fetch之cors请求的实现方法
08-27
React 中的 CORS 请求实现方法 React 是一个流行的前端框架, Fetch 是一个内置的 JavaScript 函数,用于发送网络请求。然而,在使用 Fetch 时,经常会遇到问题,即无法从不同名下的服务器获取数据。这篇...
性能测试工具JvisualVM/jconsole使用
最新发布
平时的经验总结,学习历程
09-12 248
port是jmx的另一个通信端口。可以不设置,启动后系统会自动随机指定端口。如果关闭了防火墙,没有网络访问策略,可以不设置。如果服务器需要开通端口访问策略此处需要配置开通策略的端口。然后在windows客户机,安装jdk目录下的bin目录下找到jvisualvm.exe或jconsole,通过远程连接方式监控jvm的cpu 内存 线程 类加载的情况。com.sun.management.jmxremote.port 是客户端连接的端口。主要介绍远程使用方式,在启动参数添加如下参数。
还在重启应用改 Topic?Spring Boot 动态 Kafka 消费的“终极形态”
郑龙飞
09-10 758
/ 用于存储 @KafkaListener 的“蓝图”// ... 可按需添加 concurrency, autoStartup 等其他属性(元数据采集与注册)@Component@OverrideClass<?= null &&!通过巧妙地结合和动态配置中心,我们实现了一个功能极其强大的动态 Kafka 消费管理方案。
【lucene】bitsetiterator
risc123456的博客
09-09 554
某些自定义 `FieldCache` 或 `DocValues` 去重逻辑,会先把出现过的 docID 记到 `BitSet`,再用 `BitSetIterator` 一次性吐出。`BitSet` 本身只有 `get()/set()/nextSetBit(int)`,没有标准的迭代器语义,于是就有了 `BitSetIterator` 做适配。- `cost()` 直接返回 `cardinality()`,方便上层 `ConjunctionDISI/DisjunctionDISI` 做排序、选 lead。
计算机毕设 java 高校饭堂点餐系统 基于微信小程序 + SSM 的高校餐饮服务平台 Java+MySQL 的点餐与运营系统
毕设源码伍学长
09-10 1044
在高校饭堂就餐需求增长的背景下,传统点餐依赖窗口排队、效率低,存在高峰期拥堵、菜品信息不透明等问题,难以满足师生便捷就餐需求。采用 Java 技术、SSM 框架、Uni-weixin 技术及 MySQL 数据库,开发高校饭堂点餐系统(微信小程序端 + 服务端),整合菜品展示、在线点餐、订单跟踪等功能,支持管理员、商家、用户三类角色协同,打造专业化餐饮服务平台。该系统既能帮助管理员监管平台内容,商家高效管理菜品与订单,又能让用户便捷查询菜品、完成点餐,提升高校饭堂服务效率与用户体验。
前端问题cors
03-31
### 前端资源共享(CORS)问题及其解决方案 #### 什么是? 当浏览器尝试加载来自不同名、协议或端口的资源时,就会触发问题。这种行为受到同源策略(Same-Origin Policy)的约束[^1]。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值