2. 程式人生 > >跨域問題&cors解決跨域

跨域問題&cors解決跨域

阿新 發佈:2019-01-05

跨域問題

跨域:瀏覽器對於javascript的同源策略的限制 。

以下情況都屬於跨域:

跨域原因說明 示例
域名不同 www.jd.comwww.taobao.com
域名相同,埠不同 www.jd.com:8080www.jd.com:8081
二級域名不同 item.jd.commiaosha.jd.com

如果域名和埠都相同,但是請求路徑不同

,不屬於跨域,如:

  • www.jd.com/item
  • www.jd.com/goods

而我們剛才是從manage.leyou.com去訪問api.leyou.com,這屬於二級域名不同,跨域了。

為什麼有跨域問題?

跨域不一定會有跨域問題。

因為跨域問題是瀏覽器對於ajax請求的一種安全限制:一個頁面發起的ajax請求,只能是與當前頁域名相同的路徑,這能有效的阻止跨站攻擊。

因此:跨域問題 是針對ajax的一種限制

但是這卻給我們的開發帶來了不便,而且在實際生產環境中,肯定會有很多臺伺服器之間互動,地址和埠都可能不同,怎麼辦?

解決跨域問題的方案

目前比較常用的跨域解決方案有3種:

  • Jsonp
    最早的解決方案,利用script標籤可以跨域的原理實現。
    限制:

    • 需要服務的支援
    • 只能發起GET請求

  • nginx反向代理
    思路是:利用nginx把跨域反向代理為不跨域,支援各種請求方式
    缺點:需要在nginx進行額外配置,語義不清晰

  • CORS
    規範化的跨域請求解決方案,安全可靠。
    優勢:

    • 在服務端進行控制是否允許跨域,可自定義規則
    • 支援各種請求方式

    缺點:

    • 會產生額外的請求

我們這裡會採用cors的跨域方案

cors解決跨域

1.什麼是cors

CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。
它允許瀏覽器向跨源伺服器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。

CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。

  • 瀏覽器端:

    目前,所有瀏覽器都支援該功能(IE10以下不行)。整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。

  • 服務端:

    CORS通訊與AJAX沒有任何差別,因此你不需要改變以前的業務邏輯。只不過,瀏覽器會在請求中攜帶一些頭資訊,我們需要以此判斷是否允許其跨域,然後在響應頭中加入一些資訊即可。這一般通過過濾器完成即可。

2.原理有點複雜

瀏覽器會將ajax請求分為兩類,其處理方案略有差異:簡單請求、特殊請求。

2.1.簡單請求

只要同時滿足以下兩大條件,就屬於簡單請求。:

(1) 請求方法是以下三種方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的頭資訊不超出以下幾種欄位:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限於三個值application/x-www-form-urlencodedmultipart/form-datatext/plain

當瀏覽器發現發起的ajax請求是簡單請求時,會在請求頭中攜帶一個欄位:Origin.
在這裡插入圖片描述
Origin中會指出當前請求屬於哪個域(協議+域名+埠)。服務會根據這個值決定是否允許其跨域。

如果伺服器允許跨域,需要在返回的響應頭中攜帶下面資訊:

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8
  • Access-Control-Allow-Origin:可接受的域,是一個具體域名或者*(代表任意域名)
  • Access-Control-Allow-Credentials:是否允許攜帶cookie,預設情況下,cors不會攜帶cookie,除非這個值是true

有關cookie:

要想操作cookie,需要滿足3個條件:

  • 服務的響應頭中需要攜帶Access-Control-Allow-Credentials並且為true。
  • 瀏覽器發起ajax需要指定withCredentials 為true
  • 響應頭中的Access-Control-Allow-Origin一定不能為*,必須是指定的域名

2.2.特殊請求

不符合簡單請求的條件,會被瀏覽器判定為特殊請求,,例如請求方式為PUT。

預檢請求

特殊請求會在正式通訊之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。

瀏覽器先詢問伺服器,當前網頁所在的域名是否在伺服器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。

一個“預檢”請求的樣板:

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

與簡單請求相比,除了Origin以外,多了兩個頭:

  • Access-Control-Request-Method:接下來會用到的請求方式,比如PUT
  • Access-Control-Request-Headers:會額外用到的頭資訊

預檢請求的響應

服務的收到預檢請求,如果許可跨域,會發出響應:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-OriginAccess-Control-Allow-Credentials以外,這裡又額外多出3個頭:

  • Access-Control-Allow-Methods:允許訪問的方式
  • Access-Control-Allow-Headers:允許攜帶的頭
  • Access-Control-Max-Age:本次許可的有效時長,單位是秒,過期之前的ajax請求就無需再次進行預檢了

如果瀏覽器得到上述響應,則認定為可以跨域,後續就跟簡單請求的處理是一樣的了。

3.實現非常簡單

雖然原理比較複雜,但是前面說過:

  • 瀏覽器端都有瀏覽器自動完成,我們無需操心
  • 服務端可以通過攔截器統一實現,不必每次都去進行跨域判定的編寫。

事實上,SpringMVC已經幫我們寫好了CORS的跨域過濾器:CorsFilter ,內部已經實現了剛才所講的判定邏輯,我們直接用就好了。

leyou-gateway中編寫一個配置類,並且註冊CorsFilter:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.新增CORS配置資訊
        CorsConfiguration config = new CorsConfiguration();
        //1) 允許的域,不要寫*,否則cookie就無法使用了
        config.addAllowedOrigin("http://manage.leyou.com");
        //2) 是否傳送Cookie資訊
        config.setAllowCredentials(true);
        //3) 允許的請求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允許的頭資訊
        config.addAllowedHeader("*");

        //2.新增對映路徑,我們攔截一切請求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

結構:
在這裡插入圖片描述

相關推薦

問題&cors解決

跨域問題 跨域:瀏覽器對於javascript的同源策略的限制 。 以下情況都屬於跨域: 跨域原因說明 示例 域名不同 www.jd.com 與 www.taobao.c

Django 【第二十篇】後端CORS解決問題

lds class device img ssl 響應 value ajax請求 客戶 一、為什麽會有跨域問題? 是因為瀏覽器的同源策略是對ajax請求進行阻攔了,但是不是所有的請求都給做跨域,像是一般的href屬性,a標簽什麽的都不攔截。 二、解決跨域問題的兩種方式

Web API中使用CORS解決(暫存)

content attribute 註冊 serve color def erro 簡單 style Web API中使用Cros解決跨域   如果兩個頁面的協議,端口和域名都相同,則兩個頁面具有相同的源,註:IE不考慮端口,同源策略不會阻止瀏覽器發送請求,但是它會阻止

cors解決

gist lang rdquo 內部 ajax 判斷 delet port policy 什麽是cors CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。 它允許瀏覽器向跨源服務器,發出XMLHttpReq

通過cors解決

1.跨域概念       因為跨域問題是瀏覽器對於ajax請求的一種安全限制:一個頁面發起的ajax請求,只能是於當前頁同域名的路徑,這能有效的阻止跨站攻擊。因此:跨域問題 是針對ajax的一種限制。 【解決跨域問題的方法】  1.1、Jsonp最

CORS解決問題

一 CORS 隨著技術的發展,現在的瀏覽器可以支援主動設定從而允許跨域請求,即:跨域資源共享(CORS,Cross-Origin Resource Sharing),其本質是設定響應頭,使得瀏覽器允許跨域請求 簡單請求 OR 非簡單請求 1 條件: 2 1、請求方式:HEAD、GET、

easy-springboot-web-cors | 配置cors解決請求問題

全域性配置 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public v

Django學習【第26篇】:後端CORS解決問題 解決問題

解決跨域問題 一、為什麼會有跨域問題? 是因為瀏覽器的同源策略是對ajax請求進行阻攔了,但是不是所有的請求都給做跨域,像是一般的href屬性,a標籤什麼的都不攔截。

後端CORS解決問題

簡單 創建 標簽 兩種 jsonp 詳細 ack json 繞過 一 . 為什麽會有跨域問題   是因為瀏覽器的同源策略是對ajax請求進行阻攔了,但是不是所有的請求都給做跨域,像是一般的href 屬性,a標簽什麽的都不攔截. 二 .

go、spring boot、vert.x 用CORS解決

go gin 使用github.com/gin-contrib/cors package main import "github.com/gin-gonic/gin" import "github.com/gin-contrib/cors" func main() {

配置CORS解決呼叫—反思思考問題的方式

導讀:最近都在用一套完整的Java EE的體系做系統,之前都是用spring框架,現在弄這個Java EE,覺得新鮮又刺激。但,由於之前沒有過多的研究和使用,在應用的過程中,也出現了不少的問題。累積了

HTTP訪問控制(CORS),解決問題

當一個資源請求一個其它域名的資源時會發起一個跨域HTTP請求(cross-origin HTTP request)。比如說,域名A(http://domaina.example)的某 Web 應用通過<img>標籤引入了域名B(http://domainb.f

SpringMVC + Cors 解決問題

1、首先在web.xml配置攔截器:2、定義一個類實現Filter介面:設定響應頭資訊,其中:Access-Control-Allow-Origin:允許訪問該資源的路徑Access-Control-Allow-Methods:訪問該資源允許使用的方法Access-Contr

使用cors解決,ionic打包到android手機上發post請求報403錯誤

如題,百度了一圈也沒有找到答案,最後翻了個牆,最終找到了外國友人的答案: My backend is using Tomcat, one of the tomcat filters is designed for handle CORS request, it named

springboot cors解決問題

actor authent pan let cross cred mat n) tps https://www.cnblogs.com/lnas01/p/10343165.html 轉載請註明出處 Suppose a user visits http://www.examp

Spring Boot使用CORS解決問題

一、跨域問題描述 Web開發經常會遇到跨域問題,解決方案有:jsonp,iframe,CORS等等。 CORS 與 JSONP 相比: 1、 JSONP 只能實現 GET 請求,而 CORS 支援所有型別的 HTTP 請求。 2、 使用 CORS,開發者

Springboot通過cors解決問題(解決spring security oath2的/oauth/token問題)

在工程裡新增兩個類: CorsConfig.java: 實現全域性過濾器,設定CORS,注意一定要是全域性。網上說多加一個註解(Spring官網)或者加Cors Mapper只能解決自定義介面的跨域,對於spring security oath2的預設介面,例

SpringBoot配置Cors解決請求問題

con w3c -h 兩個 cat set 通信 turn flat 一、同源策略簡介 同源策略[same origin policy]是瀏覽器的一個安全功能,不同源的客戶端腳本在沒有明確授權的情況下,不能讀寫對方資源。 同源策略是瀏覽器安全的基石。 什麽是源 源[o

Spring Boot2 系列教程(十四)CORS 解決問題

今天和小夥伴們來聊一聊通過CORS解決跨域問題。 同源策略 很多人對跨域有一種誤解,以為這是前端的事,和後端沒關係,其實不是這樣的,說到跨域,就不得不說說瀏覽器的同源策略。 同源策略是由 Netscape 提出的一個著名的安全策略,它是瀏覽器最核心也最基本的安全功能,現在所有支援 JavaScript 的瀏覽

什麼是?以及如何解決問題?

首先我們來想一想               為什麼會有跨域這個名詞的出現呢?               跨域又是什麼呢?為何要跨域?