2. 程式人生 > >SpringBoot+Ajax跨域安全問題及解決方法

SpringBoot+Ajax跨域安全問題及解決方法

阿新 發佈:2018-06-04
谷歌瀏覽器 響應 dem -o 開發 數據 sin -a filter

〇、遇到跨域安全問題

  在學習SpringBoot過程中,遇到了這樣一個問題。當時用SpringBoot開發Rest服務接口,然後用Ajax請求獲取數據,來實現前後端分離。但是在前端請求時,始終不能顯示應該顯示的數據。從瀏覽器的控制臺報錯來看(如下圖),應該是遇到了跨域安全的問題。

技術分享圖片

技術分享圖片

技術分享圖片一、為什麽會出現跨域安全問題?

  要解決這個問題,首先得知道為什麽會出現這個問題。通過了解,出現跨域安全問題的原因一般是以下三個問題:瀏覽器收到了正確的返回數據但是做出了限制、發出去的請求是XMLHttpRequest請求而不是JSON請求、前後端協議域名端口等不一樣造成了跨域。

二、怎麽去解決出現的跨域安全問題?

  根據上面的三個問題,去解決這次出現的跨域安全問題。

  1. 讓瀏覽器不去做限制

  不同的瀏覽器應該有不同的設置參數的方法。例如谷歌瀏覽器就是disable-web-security。不過我們在應用中應該不會讓我們的用戶去改瀏覽器的參數,所以我沒有采用這種方法。

  2. 讓發出去的請求不是XMLHttpRequest請求

  在網上搜了一下,不少解決方法是把請求數據類型設為JSONP。但是存在一個問題就是如果用JSONP類型請求那麽後臺的服務接口也要做改動,因為用JSONP數據類型的請求雖然不是XHR但也不是JSON而是Script。而我想用的是JSON來實現前後端傳輸數據,而且JSONP對GET方式以外的請求不支持(我想用REST啊怎麽可以木有POST\PUT\DELETE),所以我也沒有采用這種方法。

  3. 解決前後端協議域名端口等不一樣造成的跨域。

  解決跨域可以從客戶端考慮,也可以從服務端考慮。從客戶端考慮,可以用代理來將服務端的請求轉換成與客戶端相同的域的請求從而解決跨域問題;從服務端考慮,可以考慮在響應頭裏增加字段。因為服務端就是我用SpringBoot寫的,而增加字段並不需要對每個接口進行改動,只要添加一個攔截器在所有的返回裏添加返回頭就可以了。當然,如果是調用別人家的接口,無法改動別人的服務端,那就只能考慮在客戶端這邊加代理了。   根據控制臺的錯誤信息,可以在服務端添加請求頭Access-Control-Allow-Origin,來告訴瀏覽器服務端允許這個跨域。SpringBoot中我用的實現方式是增加一個Filter來攔截所有的請求在返回頭裏添加Access-Control-Allow-Origin和Access-Control-Allow-Method字段。事例代碼如下(僅供參考):
 1 /*SpringBoot啟動類*/
 2 package net.tsingmo.SpringBootDemo;
 3 
 4 import org.springframework.boot.SpringApplication;
 5 import org.springframework.boot.autoconfigure.SpringBootApplication;
 6 import org.springframework.boot.web.servlet.FilterRegistrationBean;
 7 import org.springframework.context.annotation.Bean;
 8 
 9 @SpringBootApplication
10 public class SpringBootDemoApplication {
11 
12     public static void main(String[] args) {
13         SpringApplication.run(SpringBootDemoApplication.class, args);
14     }
15 
16     @Bean
17     public FilterRegistrationBean filterRegistrationBean () {
18         FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
19         filterRegistrationBean.addUrlPatterns("/*");
20         filterRegistrationBean.setFilter(new ResponseHeaderFilter());
21         return filterRegistrationBean;
22     }
23 }
 1 /*ResponseHeaderFilter類*/
 2 package net.tsingmo.SpringBootDemo;
 3 
 4 import javax.servlet.*;
 5 import javax.servlet.http.HttpServletResponse;
 6 import java.io.IOException;
 7 
 8 public class ResponseHeaderFilter implements javax.servlet.Filter {
 9     @Override
10     public void init(FilterConfig filterConfig) throws ServletException {}
11 
12     @Override
13     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
14         HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
15         httpServletResponse.addHeader("Access-Control-Allow-Origin", "*");
16         httpServletResponse.addHeader("Access-Control-Allow-Methods", "GET");
17         filterChain.doFilter(servletRequest, httpServletResponse);
18     }
19 
20     @Override
21     public void destroy() {}
22 }

SpringBoot+Ajax跨域安全問題及解決方法

相關推薦

AJAX原因解決方法

3.服務端增加過濾器,將瀏覽器判斷跨域請求的頭加上。例如跨域報錯:Failed to load http://localhost:8080/get1: No 'Failed to load http://localhost:8080/get1: No 'Access-Control-Allow-Origin'

SpringBoot+Ajax安全問題解決方法

谷歌瀏覽器 響應 dem -o 開發 數據 sin -a filter 〇、遇到跨域安全問題   在學習SpringBoot過程中,遇到了這樣一個問題。當時用SpringBoot開發Rest服務接口,然後用Ajax請求獲取數據,來實現前後端分離。但是在前端請求時,始終不能顯

Ajax原理解決方案

一次 變化 mes iframe 實現 type .ajax 一個 min 跨域請求的產生 跨域請求歸根結底是由於瀏覽器的“同源策略”引起的,同源策略指的是域名相同、協議相同、端口相同, 假設有http://www.a.com/test.html,下面的示例 域名不同 h

.Net 站點問題解決方法

1、什麼是站點跨域 瞭解跨域之前, 先了解下什麼同源策略?百度百科:同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現。同源:同一個協

js常見問題解決方法

什麼是跨域? 概念:只要協議、域名、埠有任何一個不同,都被當作是不同的域。 URL 說明 是否允許通訊 http://www.a.com/a.js http://www.a.com/b.js 同一域名下

jQuery ajax請求的解決方法

由於JS同源策略的影響,因此js只能訪問同域名下的文件。因此要實現跨域,一般有以下幾個方法: 一、處理跨域的方式: 1.代理 2.XHR2 HTML5中提供的XMLHTTPREQUEST Level2(及XHR2)已經實現了跨域訪問。但ie10以下不支援 只需要在服務端

ajax本地請求以及解決方法

同源策略 AC something 三種 n) req apache2.4 策略 cor 什麽是跨域? ??我們通常所說的跨域是狹義的,是由瀏覽器同源策略限制的一類請求場景。所謂同源是指"協議+域名+端口"三者相同,即便兩個不同的域名指向同一個ip地址,也非同源,只要沒有同

JQuery - Ajax和Tomcat請求問題解決方法

頁面 解析json turn 圖片 fault $.ajax action 配置 span 在JQuery裏面使用Ajax和Tomcat服務器之間進行數據交互,遇到了跨域請求問題,無法成功得到想要的數據! 錯誤信息部分截圖: 通過錯誤信息判斷知道已經發生在Ajax跨域請求

PHP Ajax 問題最佳解決方案

ajax 跨域 域名 -c php文件 解決 tle ron 跨域訪問 客戶端 本文通過設置Access-Control-Allow-Origin來實現跨域。 例如:客戶端的域名是client.runoob.com,而請求的域名是server.runoob.com。 如

.net webapi項目問題解決方案

prot net 方案 ted access 節點 跨域訪問 架構師資料 eth 問題: 1.項目完成,部署到不同的iis版本上,跨域訪問有的通有的不通 解決辦法: 1.將復雜請求改為簡單請求 2.代碼中去掉所有跨域設置,配置中添加或修改節點 <system

關於ajax的一些解決方案

dst control 關於 請求 method request 進行 前端 請求方式 1、JSONP方式解決跨域問題 jsonp解決跨域問題是一個比較古老的方案(實際中不推薦使用),當然,在實際項目中如果要使用JSONP,一般會使用JQ等對JSONP進行了封裝的

PHP ajax問題最佳解決方案

var cell clear 一定的 OS 添加 會有 request TP 一、本文通過設置Access-Control-Allow-Origin來實現跨域。 例如:客戶端的域名是client.runoob.com,而請求的域名是server.runoob.com。 如

PHP Ajax 問題最佳解決方案 【摘自菜鳥教程】

set color ray quest origin tty 所有 $origin con PHP Ajax 跨域問題最佳解決方案 分類 編程技術 http://www.runoob.com/w3cnote/php-ajax-cross-border.html 本文

幾種解決方法

跨域 -o head 反向 content nbsp ces methods 函數 1.jsonp 目標服務器設置callback 函數 服務器操作 2.cors 服務器設置header :Access-Control-Allow-Origin 服務器操作

&& 解決方法

為什麼會出現跨域問題 —— 同源策略 跨域限制僅僅是瀏覽器的行為,伺服器沒有跨域限制。 同時滿足以下三個條件才有可能發生跨域問題: 瀏覽器限制 跨域 XMLHttpRequest 請求 跨域的概念:協議、域名、埠都相同才叫同域,否則都叫跨

ajax訪問問題解決

本文為轉載的一篇ajax跨域訪問問題解決方案 知跨域而不知如何解決 知道問題的確切原因,剩下的就是找到解決問題的方法了。google了好久,再次在同事的指點下知道jQuery的ajax有jsonp這樣的屬性可以用來解決跨域的問題。 找到一種解決方式 現在也知

JQuery的Ajax請求的解決方式

        今天在專案中須要做遠端資料載入並渲染頁面,直到開發階段才意識到ajax跨域請求的問題,隱約記得Jquery有提過一個ajax跨域請求的解決方式,於是即刻翻出Jquery的API出來研究,發現JQuery對於Aja

php 和ajax問題的解決方案

本文通過設定Access-Control-Allow-Origin來實現跨域。 例如:客戶端的域名是client.runoob.com,而請求的域名是server.runoob.com。 如果直接使用ajax訪問,會有以下錯誤: XMLHttpRequest cannot load http://s

Web學習之問題解決方案

在做前端開發時,我們時常使用ajax與伺服器通訊獲取資源,享受ajax便利的同時,也知道它有限制:跨域安全限制,即同源策略。 同源策略(SOP),核心是確保不同源提供的檔案之間是相互獨立的 預設情況下,XHR物件只能訪問與包含它的頁面處於同一域中的資源,這種限制可以預防某些惡意攻擊,但同

微信授權存在的問題以及解決方法

【問題描述】 在前後端徹底分離的情況下,當我們的前端通過Ajax訪問某個後臺提供的介面地址的時候,瀏覽器會提示錯誤(通過檢視控制檯檢視),並且不能看到微信授權後的結果。總而言之就是出現了跨域問題。 【第一種解決方法】 後臺程式碼不要企圖一次性完成所有的授權服務並且直接返