CORS跨域问题服务端的一个解决方法

最新推荐文章于 2025-10-25 17:47:55 发布
原创 最新推荐文章于 2025-10-25 17:47:55 发布 · 1w 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CORS #服务端跨域支持

本文详细记录了在遇到CORS跨域问题时,由于预检请求(OPTIONS)不携带参数和cookie导致服务端返回403错误,进而前端显示405错误的排查过程。解决方案是在全局拦截器中对OPTIONS请求进行特殊处理,返回带有CORS支持的200响应。

上次写了一篇吐槽CORS的博客之后,今天再次出现此类问题。虽然对CORS已经了解的比较透彻,但这次的问题是一系列连锁问题引起的,最终对外表现为与一个不相关的错误,比较有迷惑性,所以有必要记录下来。

 

1.错误表现

先贴前端的报错异常:

OPTIONS http://foo.com/test 405 (Method Not Allowed)
Failed to load http://foo.com/test: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://originfoo.com' is therefore not allowed access.

这是服务端不支持CORS跨域的典型错误,导致接下来的真实请求被拦截了,而从预检请求的响应上看,也是服务端没有提供CORS支持,下面是OPTIONS请求的响应:

返回的支持的方法里只有GET和POST。

 

2.错误排查

首先需要声明的是,我们的系统本来有一个全局拦截器为所有请求设置CORS跨域头部,但这个预检请求收到的响应,Allow-Methods里面仍然没有OPTIONS方法,所以脑子直一点的可能认为是拦截器的代码出问题了。但是他就是找到天荒地老也不会找到一个错误的,因为我们的请求会经过很多道拦截器,所以我们需要换个思路了。

 

通过后台日志打印traceId可以发现,这个请求走到LoginInterceptor就断掉了,登录拦截器检测到未登录就会返回403错误。(那么问题来了,既然我后台返回的403响应,为什么到了浏览器变成405了,别着急,答案就在最后一段)

这让问题变得更加扑朔迷离,前端显示用户明明是登录状态。

在大脑里排除了其他所有可能之后,我意识到,这里请求被登录拦截器拦截了,一定是因为前端没有传sessionId。

然后猛然想起,这是OPTIONS请求,的确是一个参数和cookie都不会带的喔。

 

结论:所有问题的根源,是因为预检请求不会携带任何请求参数和cookie。

 

3.解决方法

解决方法就是,为了让预检请求顺利得到他想要的跨域头部,就要在全局拦截器里(这个全局拦截器必须放在其他业务拦截器的最前面),对预检请求做一个特殊处理。代码如下:

public void intercept(Invocation arg0) {
        HttpServletRequest request=arg0.getController().getRequest();
        HttpServletResponse response=arg0.getController().getResponse();
		String origin = request.getHeader("Origin");
		response.setHeader("Access-Control-Allow-Origin", origin);
		response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers",
                "Content-Type, Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, " +
                        "Last-Modified, Cache-Control, Expires");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
        if(OPTIONS_METHOD.equals(request.getMethod())){
            logger.info("options method");
            arg0.getController().renderJson();
        }else {
            arg0.invoke();
        }
}

这里我们检测到,如果请求方法是OPTIONS(预检专用请求方法),请求就不传递下去了,直接返回一个不带任何内容的正常响应(200)

 

4.问题分析

我们来从头到尾分析一下,OPTIONS预检请求不携带任何参数和cookie,是如何导致前端收到405响应的。

这里画了一张简图,应该很明了了

 

 

彻底理解前端安全面试题(3)—— CORS资源共享,解决问题,建议收藏(含源码)
有一棵树的博客
01-03 2931
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于问题已经总结完成,本篇文章详细介绍了如何使用并配置CORS、JSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
关于前端CORS问题解决和踩坑注意事项
weixin_74771113的博客
07-27 1514
关于:什么是,这个问题,比如这个网址是由协议,主机(),端口号组成,必须要同源(也就是访问地址必须完全相同才可以进行访问),这样会非常不方便。比如一个由公共网站(),需要访问()请求其资源,但是这样显然不行,因为这两个主机地址明显就不一样,是两个不同的。那么那些公共网站如何解决这个问题,这就涉及到了CORS切记只和浏览器有关首先要说明一下从到不属于,而是同源,相当于前端向这个主机发送了一个请求book,假设,我访问了一个前端页面,而这个前端页面所在的服务器地址为。
服务器端解决问题的三种方法
热门推荐
技术博客
03-01 4万+
服务端解决请求
服务端解决方法
05-24
服务端解决方法服务端解决方法服务端解决方法
【PHP问题终极解决方案】:9种场景全覆盖,彻底告别CORS错误
最新发布
CodeNexus的博客
10-25 682
轻松掌握PHP解决方法,覆盖前后端分离、API接口等9大场景。详解CORS配置、反向代理、JSONP等核心方案,兼容各类浏览器与服务器环境,彻底消除错误,值得收藏。
解决问题服务端配置文件
08-12
js 调用 webservice服务,出现的问题,可通过在服务端修改web.config来解决服务端问题
服务器端解决问题
weixin_30533797的博客
03-12 197
是指html文件所在的服务器与ajax请求的服务器是不同的ip+port,例如:- ‘192.168.1.1:8080’ 与 ‘192.168.1.2:8080’是不同的。- ‘192.168.1.1:8080’ 与 ‘192.168.1.1:8081’是不同的解决此类问题方法很多,有需要客户端和服务端都要更改的,例如jsonp,iframe等等;有只需要客户端更改的,这种情况...
服务端解决问题
猴子年华 · 软件工程老师 & 程序员,专注AI、 Python/Node.js、GEO,每日分享技术底层原理、AI 效率工具,用技术帮你提效变强。💪
09-09 448
服务端做手脚,操作起来也很简单,就是服务端在接口response的时候加上如下的header: 就可以解决问题了。 header("Access-Control-Allow-Origin:*"); header("Access-Control-Allow-Methods:POST,GET"); ...
CORS资源共享及解决方案.docx
10-26
### CORS资源共享及其解决方案详解 #### 一、CORS资源共享背景 在现代Web应用开发中,前后端分离已成为一种主流趋势。在这种模式下,前端负责展示逻辑,而后端处理业务逻辑与数据交互。然而,由于浏览器...
Java 之 CORS问题
enjoy.day
04-11 3718
CORS CORS,全称Cross-Origin Resource Sharing,是一种允许当前(domain)的资源(比如html/js/web service)被其他(domain)的脚本请求访问的机制,通常由于同安全策略(the same-origin security policy)浏览器会禁止这种请求。 后端处理问题的几种方法 1.Java过滤器进行过滤 允许整个项目访问,可设置过滤器 @WebFilter("/*") public class SimpleCORSF
服务端配置 CORS解决问题的原理
学习Java技术栈
08-12 1346
CORS资源共享)是浏览器与服务器间的安全协商机制,通过HTTP响应头实现访问控制。服务器检查请求的Origin头,若允许访问则返回Access-Control-Allow-Origin等响应头,浏览器验证通过后解除拦截。复杂请求会触发预检OPTIONS请求。核心在于服务端通过响应头声明允许的源、方法和头部,浏览器执行验证。CORS确保了请求的安全可控,防止恶意网站获取数据,是现代Web开发的基础安全机制。
解决服务端问题
weixin_34927445的博客
09-07 170
方式一: 在web.xml添加filter contextfilter com.cf.hr.filter.WebContextFilter contextfilter /* 方式二: public class HeadersCORSFilter implements Filter{ @Override public void init(FilterConfig fi...
问题——服务器端解决
Annanljz
07-13 364
从服务器端解决问题 Apache: 1、找到Apache配置文件httpd.conf,找到这样一行: #LoadModule headers_module modules/mod_headers.so 把#注释符去掉(也有可能默认去掉了) 用于开启apache头信息自定义模块 2、找到被的网站配置文件,大概长这样: <VirtualHost *:80> DocumentRoot "/www/wwwroot/XXX.com" ServerName XXX...
服务端进行处理
qq_41158525的博客
05-24 438
服务端进行处理 @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry //过滤所有请求 .addMapping("*/**") .allowedOrigins("*", "null") //是否支持Cookie .
服务端问题
SpringBoot
10-19 356
Controller上添加注解@CrossOrigin 表示此Controller中的方法 都可以被访问。
服务端处理原理以及处理
bjrxyz的专栏
01-30 845
随着CROS标准的推广,成了每个服务器开发者必须处理的问题,网上关于如何解决问题的文章数不胜数,但是能用的少之又少,不少文章作者都不清楚原理,不知从哪里抄来一字半句发现有效果就匆匆发表,误导了不知多少人。其实处理的原理并不复杂,本文会介绍处理的原理并给出python实现。
客户端请求与服务端问题解决办法
weixin_44145962的博客
10-11 920
解决办法 一、从服务端配置上解决 重点在于cors模块,提供了一个解决问题的中间件 步骤: (1)npm i cors //安装cors中间件 (2)const cors = require(‘cors’) //导入cors中间件模块 (3)app.use(cors()) // 配置注册全局中间件 二、从客户端请求方式上解决 重点在于jsonp是一个封装的,利用script标签src属性不受同源策略影响的特点,使用回调函数来将服务器将数据转接到客户端的函数。 解决办法如下:在请求中添加一个data
[ 问题 ] 前后端以及服务端 解决的各种方法
李赛赛的专栏
11-19 2666
这篇文章主要介绍了问题,包括其定义、产生原因及各种解决方法。原因是浏览器安全策略限制,方法有 JSONP、CORS、Domain、 postMessage、Nginx配置、.NetCore配置。
问题解决办法(针对服务器)
weixin_40243894的博客
07-25 2686
什么是? 见名知义,就是在一个下去请求别的下的资源。那么为什么两个不同之间访问就有问题呢?因为浏览器的同源策略。 同源策略:同源策略就像一个规定一样,所有支持js的浏览器都会使用这个策略,同源指的是那些要相同呢?名,协议,端口相同就是同源,所以说即使是localhost去访问127.0.0.1也是。如果js去请求不同的资源,浏览器会报错,不允许js去访问,有了同源策略,we...
Java SpringBoot项目中CORS问题解决指南
处理CORS问题一个Web开发中常见的需求,尤其在前后端分离的架构中。Spring Boot提供了简单易用的方式来配置和处理CORS,确保了前后端分离应用的顺利运行。通过配置`WebMvcConfigurer`接口或使用`@CrossOrigin`注解...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值