devbox
IT小白
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Java跨域问题及解决跨域问题的方案(Jsonp、Nginx反向代理、CORS跨域资源共享)_java api 反向代理解决跨域

作者:IT小白 | 2024-07-22 14:23:36

java api 反向代理解决跨域

1. 什么是跨域呢?

指的是跨域名的访问

举例

跨域原因举例
域名不同www.czxy.com    和    www.itheima.com
域名相同,端口号不同

www.czxy.com:8080    和    www.czxy.com:8081

二级域名不同jiaoshi.czxy.com    和   xuesheng.czxy.com
不同的协议https://www.czxy.com   和  http://www.czxy.com

 

 

因为跨域问题是浏览器对ajax请求的一种安全限制:  一个页面发起的ajax请求,只能是当前页面域名的路径。2. 为什么会跨域呢?

优点:可以有效的阻止跨站攻击。

缺点:给开发带来的不便,因为在实际生产环境中,肯定会有很多服务器之间交互,地址和端口都有可能不同。

3.解决跨域问题的方案

常用的解决跨域方案有3种:

1. jsonp

使用script标签原理实现。是最早的解决方案。

缺点:

  • 需要服务的支持
  • 只能发起GET请求

2.Nginx反向代理

利用Nginx反向代理把跨域变为不跨域,支持各种求情方式

Nginx作为作为程序入口,将请求分发到不同的服务

缺点: 需要额外配置Nginx,语义不清晰。

现在还是有不少公司在用。

3.CORS

一个W3C标准,全称为“跨域资源共享”(Cross-origin resource sharing)。

规范化的跨域请求解决方案,安全可靠。

它允许浏览器向跨域服务器,发出XMLHttpRequest请求,解决了ajax只能同域使用的限制。

CORS需要浏览器和服务器都支持,目前,所有的浏览器都支持。

  • 优点:
    • 在服务端进行控制是否允许跨域,可自定义规则
    • 支持各种请求方式
  • 缺点:
    • 会产生额外的请求

浏览器会将ajax请求分为两种: 简单请求, 特殊请求

简单请求

(1) 请求方法是以下三种方法之一:

HEAD

GET

POST

(2)HTTP的头信息不超出以下几种字段:

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

当浏览器发现发现的ajax请求是简单请求时,会在请求头中携带一个字段:Origin.

Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域。

如果服务器允许跨域,需要在返回的响应头中携带下面信息:

  1. Access-Control-Allow-Origin: http://www.czxy.com
  2. Access-Control-Allow-Credentials: true
  3. Content-Type: text/html; charset=utf-8
  4.
  • Access-Control-Allow-Origin:可接受的域,是一个具体域名或者*,代表任意
  • Access-Control-Allow-Credentials:是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true

注意:

如果跨域请求要想操作cookie,需要满足3个条件:

  • 服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。

  • 浏览器发起ajax需要指定withCredentials 为true

  • 响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名

特殊请求

不符合简单请求的条件,会被浏览器判定为特殊请求,,例如请求方式为PUT。

预检请求

特殊请求会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

一个“预检”请求的样板:

  1. OPTIONS /cors HTTP/1.1
  2. Origin: http://www.czxy.com
  3. Access-Control-Request-Method: PUT
  4. Access-Control-Request-Headers: X-Custom-Header
  5. Host: api.leyou.com
  6. Accept-Language: en-US
  7. Connection: keep-alive
  8. User-Agent: Mozilla/5.0...
  9.

与简单请求相比,除了Origin以外,多了两个头:

  • Access-Control-Request-Method:接下来会用到的请求方式,比如PUT

  • Access-Control-Request-Headers:会额外用到的头信息

预检请求的响应

服务的收到预检请求,如果许可跨域,会发出响应:

  1. HTTP/1.1 200 OK
  2. Date: Mon, 01 Dec 2008 01:15:39 GMT
  3. Server: Apache/2.0.61 (Unix)
  4. Access-Control-Allow-Origin: http://www.czxy.com
  5. Access-Control-Allow-Credentials: true
  6. Access-Control-Allow-Methods: GET, POST, PUT
  7. Access-Control-Allow-Headers: X-Custom-Header
  8. Access-Control-Max-Age: 1728000
  9. Content-Type: text/html; charset=utf-8
  10. Content-Encoding: gzip
  11. Content-Length: 0
  12. Keep-Alive: timeout=2, max=100
  13. Connection: Keep-Alive
  14. Content-Type: text/plain
  15.
wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

除了Access-Control-Allow-OriginAccess-Control-Allow-Credentials以外,这里又额外多出3个头:

  • Access-Control-Allow-Methods:允许访问的方式

  • Access-Control-Allow-Headers:允许携带的头

  • Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了

如果浏览器得到上述响应,则认定为可以跨域,后续就跟简单请求的处理是一样的了。

Cors的使用:

编写配置类

  1. import org.springframework.context.annotation.Bean;
  2. import org.springframework.context.annotation.Configuration;
  3. import org.springframework.web.cors.CorsConfiguration;
  4. import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
  5. import org.springframework.web.filter.CorsFilter;
  6.  
  7. @Configuration
  8. public class GlobalCorsConfig {
  9.     @Bean
  10.     public CorsFilter corsFilter() {
  11.         //1.添加CORS配置信息
  12.         CorsConfiguration config = new CorsConfiguration();
  13.         //1) 允许的域,不要写*,否则cookie就无法使用了
  14.         config.addAllowedOrigin("http://www.czxy.com");
  15.         //2) 是否发送Cookie信息
  16.         config.setAllowCredentials(true);
  17.         //3) 允许的请求方式
  18.         config.addAllowedMethod("OPTIONS");
  19.         config.addAllowedMethod("HEAD");
  20.         config.addAllowedMethod("GET");
  21.         config.addAllowedMethod("PUT");
  22.         config.addAllowedMethod("POST");
  23.         config.addAllowedMethod("DELETE");
  24.         config.addAllowedMethod("PATCH");
  25.         // 4)允许的头信息
  26.         config.addAllowedHeader("*");
  27.  
  28.         //2.添加映射路径,我们拦截一切请求
  29.         UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
  30.         configSource.registerCorsConfiguration("/**", config);
  31.  
  32.         //3.返回新的CorsFilter.
  33.         return new CorsFilter(configSource);
  34.     }
  35. }
  36.
wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif正在上传… 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== uploading.4e448015.gif转存失败 重新上传 取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==uploading.4e448015.gif转存失败重新上传取消 wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/865559
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号