fetch配合java web配置CORS跨域

最新推荐文章于 2025-03-06 22:36:06 发布
最新推荐文章于 2025-03-06 22:36:06 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: java 文章标签: 浏览器 java web java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xcg132566/article/details/78908531
版权
本文介绍了CORS跨域的基本概念,包括简单请求和非简单请求的区别。重点讲解了Java Web如何配置允许CORS请求,包括在响应头中设置Access-Control-Allow-Origin等字段。同时,提到了预检请求(OPTIONS)的机制以及在fetch请求中启用withCredentials发送cookie的注意事项。最后,展示了使用过滤器在Java Web中实现CORS配置的例子。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨域:不符合浏览器同源策略的请求不能执行,同源即域名、协议、端口都相同。这里主介绍CORS。

CORS两种请求:

  • 简单请求 simple request
    • 请求方法为HEAD、GET、POST之中任意一个
    • 请求头只有以下字段
      • Accept
      • Accept-Language
      • Content-Language
      • Last-Event-ID
      • Content-type (只限于用application/x-www-form-urlencoded、multipart/form-data、text/plain)
  • 非简单请求 not-so-simple request
    • 不满足简单请求条件都属于非简单请求

简单请求

  • 简单请求

    浏览器发出CORS请求,就是在头信息中增加一个Origin字段,用来说明此次请求是由那个源(协议、域名、端口)供服务器参考选择是否同意请求。如果服务器允许,会在响应头中添加如下字段:

    • Access-Control-Allow-Origin:

      如果服务器允许某个源进行访问则该字段为必要字段,他的值一般与请求头中的Origin字段相同,设置成*代表允许所有请求,但存在安全问题,并且在要发送cookie的情况中不适用。

    • Access-Control-Allow-Credentials:

      可选字段布尔类型,表示是否允许发送cookie。

    • Access-Control-Expose-Headers

      可选字段,CORS请求中,XMLHTTPRequest对象getResponseHeader()方法只能拿到6个基本字段,Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。若需要其他,则需要在这里指定。

    • 客户端cookie问题:

      CORS请求默认不发送cookie和http认证信息,如果要发送cookie,除了服务端认证之外:

      Access-Control-Allow-Credentials: true

      还需要请求打开withCredentials属性,js中:

      var xhr = new XMLHttpRequest();
xht.withCredentials = true;

      fetch中:

      options.headers = {
    credentials: 'include',
}
fetch(url,options)

非简单请求

非简单CORS请求会在正式通信前先发送一个OPTIONS类型的预检(preflight)请求。服务器在响应头中添加一些字段通知浏览器是否可以请求,否则报错。

  • 预检请求一般为OPTIONS请求,请求头中包含以下信息:

    • Origin 请求源
    • Access-Control-Request-Method
      请求会使用哪些方法
    • Access-Control-Request-Headers
      该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段

  • 预检请求回应

        Access-Control-Allow-Credentials:true
    Access-Control-Allow-Headers:Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token
    Access-Control-Allow-Methods:POST, GET, OPTIONS, DELETE
    Access-Control-Allow-Origin:http://demo.com.cn
    Access-Control-Max-Age:0
    Allow:GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
    Content-Length:0
    Content-Type:text/html;charset=UTF-8
    Date:Wed, 27 Dec 2017 00:18:29 GMT
    Server:Apache-Coyote/1.1
    XDomainRequestAllowed:1

    其中,关键字段为Access-Control-Allow-Origin:...
    表示同意了跨域请求。如果服务器拒绝了预检请求,则会没有该字段和相关字段。

java web配置允许CORS请求

java编写的服务端应用程序配置CORS方法很多,原理差不多,介绍一种简单实现:手动编写过滤器:

    public class CorsFilter implements Filter{
    public void init(FilterConfig filterConfig) throws ServletException {  
    // TODO Auto-generated method stub  

    }  

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,  
    ServletException {  
    // TODO Auto-generated method stub  
    HttpServletResponse res = (HttpServletResponse) response;  
    HttpServletRequest req = (HttpServletRequest)request;
    String origin = req.getHeader("Origin");
    res.setContentType("text/html;charset=UTF-8");  
       res.setHeader("Access-Control-Allow-Origin", origin);  
       res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");  
       res.setHeader("Access-Control-Max-Age", "0");  
       res.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");  
       res.setHeader("Access-Control-Allow-Credentials", "true");  
       res.setHeader("XDomainRequestAllowed","1");  
       chain.doFilter(request, response);  
    }  

    public void destroy() {  
    // TODO Auto-generated method stub  

    }  
}

在web.xml中注册过滤器:

    <filter>  
     <filter-name>cors</filter-name>  
     <filter-class>com.mysoft.filter.CorsFilter</filter-class>  
    </filter>  
    <filter-mapping>  
     <filter-name>cors</filter-name>  
     <url-pattern>/*</url-pattern>  
    </filter-mapping>

fetch请求也要有一定修改:

    fetch('http://172.0.0.1:8000/api/getAllUser', {
        method: 'POST',
        body: params,
        mode:'cors',
        headers: {
            'Content-Type': 'application/json',
             credentials: 'include',
             Accept: 'application/json',
        }
      });

主要是添加mode:'cors'

CORS问题全解:原理、问题与解决方案
私聊前往站内信:https://i.youkuaiyun.com/#/msg/chat/weixin_44976692
08-19 2万+
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
react中fetchcors请求的实现方法
08-27
本篇文章主要介绍了react中fetchcors请求的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
fetch请求】cors
漫游学海之旅
03-26 3万+
当使用fetch 发起请求时,CORS资源共享Cross-origin resource sharing)请求fetch const body = {name:"Good boy"}; fetch("http://localhost:8000/API",{ headers:{ 'content-type':'application/json' }
fetch为什么加了允许请求mode: ‘no-cors‘,添加的多个header就丢失了?
03-06 772
CORS 是一种现代浏览器的安全机制,用于控制请求。当浏览器发起请求时,会根据请求的类型(简单请求或预检请求)和服务器端的配置来决定是否允许该请求。简单请求通常可以直接发送,而预检请求(复杂请求)会先发送一个OPTIONS请求到服务器,以确认服务器是否允许该请求。当你设置时,浏览器会严格遵循上述规则。如果你添加了除简单请求头之外的自定义请求头(如等),浏览器会忽略这些自定义请求头,以确保请求符合no - cors模式的要求。
Fetch请求的处理
qq_36400206的博客
03-25 9685
Ajax和Fetch请求的处理      浏览器安全的基石是"同源政策"(same-origin policy),这里的三源是指协议,端口和名。同源政策是为了保护用户的安全,如下将介绍,的解决办法。 一. Jsonp 由于这种方式只支持get方法的,本身具有一定的局限性,因此在这里不详细的介绍。 二. Nginx反向代理 如今项目多采...
Fetch
显磊的博客
02-11 2万+
问题: fetch('http://localhost:3000/myWebSite/praise', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSO...
请求:Fetch实现请求与POST方式参数提交
热门推荐
不吃_花椒的博客
09-20 4万+
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以源通信。 以下以SPRING+React+ Fetch进行示例。 上面也说了,CORS需要浏
详解Spring MVC CORS
08-30
CORS Web 开发中一个非常重要的概念,Spring MVC 提供了多种方式来实现 CORS ,包括使用 `@CrossOrigin` 注解和配置文件。通过使用 CORS ,我们可以实现不同名下的资源共享,提高 Web 应用程序的...
fetch请求问题
qq_43574083的博客
03-28 1286
fetch是比较基础的API,很多参数需要自家设置。在进行POST请求时,有以下一个重要参数: method 指定请求方式,可选值:GET | POST | PUT | DELETE | OPTIONS。默认值:GET。 credentials 指定在发送cookies的情况,可选值:omit | same-origin | include。 默认值:same-origin。 omit: ...
详解React Native 采用Fetch方式发送POST请求
11-30
Fetch以后是趋势,势必要取代传统的Ajax,而且RN框架支持Fetch。下面仅做了一个请求的例子,在本请求是一样的,而且更简单一些。客户端环境用的是RN写的一个页面,也可以用浏览器的console控制台模拟。后端服务用的是NodeJs express框架。 1)Fetch请求 //发送Ajax请求 sendAjax(){ //POST方式,IP为本机IP fetch("http://192.168.111.102:8085", { method: "POST", mode: "cors", headers: { "Content-Type
ajax&fetch
weixin_45801225的博客
07-12 257
ajax XMLHttpRequest(); readystatechange() status 200 - 300 304 open(); get post send(); json JSON.parse(); JSON.stringfy();
AJAX网络请求 —— Fetch:发送请求(三)
秋天,黄叶坠地,凉风有信。
03-17 5999
文章目录Fetch源请求为什么需要 CORS源请求简史)使用表单使用 script简单的请求用于简单请求的 CORSResponse header“非简单”请求Step 1 预检请求(preflight request)Step 2 预检响应(preflight response)Step 3 实际请求(actual request)Step 4 实际响应(actual response)凭据(Credentials)总结 Fetch源请求 如果我们向另一个网站发送 fetch 请求,则该请求可
fetch 请求
weixin_34162695的博客
08-13 558
CORS cors是"Cross-Origin Resource Sharing"的简称,是实现的一种方式,相对于其他方式,比较灵活,而且不限制发请求使用的method,以下从几种情况分析cors使用。 GET请求 前端代码 fetch('http://localhost:6888/test_get',{ meth...
fetch请求数据的前端设置和后端php的header设置
cdcdhj的博客
08-14 908
源请求,也称为CORS(Cross-Origin Resource Sharing)请求,是Web开发中常见的一种需求,允许一个网页的JavaScript代码向与该网页不同源的服务器发出HTTP请求。// 允许的HTTP方法这几种。这里做测试的是前端http://127.0.0.1:5500/fetchcors.html。
fetch问题
ken_ding的博客
01-15 3249
既然是ajax库,就不可避免与扯上关系;XHR2是支持请求的,只不过要满足浏览器端支持CORS,服务器通过Access-Control-Allow-Origin来允许指定的源进行,仅此一种方式。 与XHR2一样,fetch也是支持请求的,只不过其请求做法与XHR2一样,需要客户端与服务端支持;另外,fetch还支持一种,不需要服务器支持的形式,具体可以通过其mode的配置
fetch实现问题
赳赳万里鲲
04-03 1万+
CORS cors是"Cross-Origin Resource Sharing"的简称,是实现的一种方式, 相对于其他方式,比较灵活,而且不限制发请求使用的method。 const Headers = new Headers({ 'Access-Control-Allow-Origin':'*', "Content-Type":'text/plain' }) fetch(`h...
转base64 fetch请求会触发cors错误
最新发布
04-02
### 解决 fetch 请求中 Base64 转换导致的 CORS 问题 当使用 `fetch` 发送带有 Base64 编码的数据时,可能会遇到资源共享 (CORS) 的问题。这是因为服务器未正确配置以处理来自不同源的请求[^1]。 #### 配置服务器端支持 CORS 为了使服务器能够接受并响应请求,需确保其设置了合适的 CORS 头部信息。例如,在 Node.js 中可以借助 `cors` 包来实现这一功能: ```javascript const express = require('express'); const cors = require('cors'); // 引入 cors 包 const app = express(); app.use(cors()); // 允许来自任何源的请求 ``` 上述代码片段展示了如何通过中间件启用全局 CORS 支持[^2]。如果需要更精细地控制允许的名或其他参数,则可以通过传递选项给 `cors()` 方法完成自定义设置。 #### 修改 Fetch 请求头部 客户端发起 `fetch` 请求前应加入必要的预检请求头 (`Access-Control-Request-Method`) 和实际请求中的特定方法声明(如 PUT)。这有助于告知目标资源预期的操作方式以及所需权限级别: ```javascript fetch(url, { method: 'POST', headers: { 'Content-Type': 'application/json', 'Access-Control-Request-Method': 'PUT' // 明确指定 HTTP 动词 }, body: JSON.stringify({ data: base64Data }) }) .then(response => response.blob()) // 将 responseType 设置为 blob 来接收二进制数据流 .catch(error => console.error('Error:', error)); ``` 这里还调整了 `responseType` 属性至 `'blob'` 类型以便更好地兼容图片或者其他多媒体文件形式的内容传输需求[^3]。 #### 总结 综合以上措施——即合理配置服务端 CORS 策略与优化前端 fetch API 使用习惯两方面入手,可有效规避由 Base64 数据交换引发的相关异常状况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值