自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

配置跨域后,框架幫我們做了什么?

作者:李立敏
開發(fā) 前端
現(xiàn)在絕大多數(shù)公司的項目都是前后端分離的,前后端分離后勢必會遇到跨域問題。

[[337604]]

跨域問題

現(xiàn)在絕大多數(shù)公司的項目都是前后端分離的,前后端分離后勢必會遇到跨域問題。如下圖

 

繼續(xù)debug發(fā)現(xiàn),reponse為undefined,提示消息為Network Error。

 

所以當(dāng)你和前端聯(lián)調(diào)的時候一直請求失敗,報網(wǎng)絡(luò)錯誤,一般情況下是后端沒有做跨域配置。

注意此時并不是后端沒有收到請求,而是收到請求了,也返回結(jié)果了,但是瀏覽器將結(jié)果攔截了,并且報錯。

 

同源策略

那么瀏覽器為什么會報錯呢?

因為瀏覽器基于安全考慮而引入的同源策略

 

當(dāng)協(xié)議+域名+端口三者都相同時,才不會產(chǎn)生跨域問題,即同源。此時才能讀取到服務(wù)端的響應(yīng)

當(dāng)前url 請求url 是否跨域
https://www.javashitang.com http://www.javashitang.com 是,協(xié)議不同
https://www.javashitang.com http://book.javashitang.com 是,域名不同
https://www.javashitang.com http://www.javashitang.com:8000 是,端口不同

為什么要有同源策略呢?

當(dāng)然是為了安全起見,舉個例子,以銀行轉(zhuǎn)賬為例,看看你的錢是怎么沒的

 

這就是著名的CSRF攻擊(跨站請求偽造,當(dāng)然還有很多其他方式),還有如果第5步不對請求的來源進(jìn)行校驗,那么你的錢已經(jīng)被轉(zhuǎn)走了

html頁面中的如下三個標(biāo)簽是允許跨域加載資源的

  1.  <img src=XXX> 
  2.  
  3. <link href=XXX> 
  4.  
  5. <script src=XXX> 

如何解決跨域

雖然同源策略保證了安全,但一些合理的用途也會受到影響。解決跨域的方式有很多種,簡單介紹2個

JSONP

JSONP主要是利用<script>標(biāo)簽將請求發(fā)送出去,來實現(xiàn)數(shù)據(jù)的加載,但這種方式有一個缺點(diǎn),即只能支持GET請求,其他請求都不能支持,因為JSONP這種方式已經(jīng)很少使用了,所以不做過多的介紹

CROS

非簡單請求

在正式的跨域請求前,發(fā)送一個OPTIONS請求去詢問服務(wù)器是否接受接下來的跨域請求,攜帶如下header

Origin:發(fā)起請求原來的域

  • Access-Control-Request-Method:將要發(fā)起的跨域請求方式(GET/POST/…)
  • Access-Control-Request-Headers:將要發(fā)起的跨域請求中包含的請求頭字段

服務(wù)器在返回中增加如下header來表明是否允許這個跨域請求。瀏覽器收到后進(jìn)行檢查如果不符合要求則不會發(fā)起后續(xù)請求

  • Access-Control-Allow-Origin:允許哪些域來訪問(*表示允許所有域的請求)
  • Access-Control-Allow-Methods:允許哪些請求方式
  • Access-Control-Allow-Headers:允許哪些請求頭字段
  • Access-Control-Allow-Credentials:是否允許攜帶Cookie

簡單請求

每次都要發(fā)送二次請求是不是很麻煩?所以做了優(yōu)化

當(dāng)請求方法是HEAD、GET、POST

并且請求頭只有如下幾個時,被定義為簡單請求

  1. Accept 
  2. Accept-Language 
  3. Content-Language 
  4. Last-Event-ID 
  5. Content-Type:(application/x-www-form-urlencoded、multipart/form-data、text/plain) 

簡單請求會在請求中加入Origin頭,直接發(fā)起請求,不會先詢問了。后端返回相應(yīng)的header即可

Spring支持跨域

理解了跨域的本質(zhì),再看各種配置其實就是根據(jù)請求往reponse中增加header

利用Filter

配置如下Filter,CrossDomainFilter是對javax.servlet.Filter的封裝,本質(zhì)上是一個Filter。

可以看到我多返回了一個header,Access-Control-Max-Age,他表明了詢問結(jié)果的有效期限,即在3600s之內(nèi)瀏覽器可以不必再次詢問

  1. @Component 
  2. @WebFilter(filterName = "crossDomain", urlPatterns = "/*"
  3. public class CrossDomainFilter extends OncePerRequestFilter { 
  4.  
  5.     @Override 
  6.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { 
  7.         // 此處可以進(jìn)行白名單檢測 
  8.         if(CorsUtils.isCorsRequest(request)) { 
  9.             response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); 
  10.             response.setHeader("Access-Control-Allow-Credentials""true"); 
  11.             response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers")); 
  12.             response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access-Control-Request-Method")); 
  13.             response.setHeader("Access-Control-Max-Age""3600"); 
  14.         } 
  15.         // 是個OPTIONS請求,header已設(shè)好,不用執(zhí)行后續(xù)邏輯,直接return 
  16.         if(CorsUtils.isPreFlightRequest(request)) { 
  17.             return
  18.         } 
  19.         filterChain.doFilter(request, response); 
  20.     } 

看一下用到的工具類

  1. public abstract class CorsUtils { 
  2.  
  3.     // 請求中有 origin 這個header則返會true 
  4.     public static boolean isCorsRequest(HttpServletRequest request) { 
  5.         return (request.getHeader(HttpHeaders.ORIGIN) != null); 
  6.     } 
  7.  
  8.     public static boolean isPreFlightRequest(HttpServletRequest request) { 
  9.         return (isCorsRequest(request) && HttpMethod.OPTIONS.matches(request.getMethod()) && 
  10.                 request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD) != null); 
  11.     } 
  12.  

利用CorsRegistry

  1. @Configuration 
  2. public class GlobalCorsConfig { 
  3.  
  4.     @Bean 
  5.     public WebMvcConfigurer corsConfigurer() { 
  6.         return new WebMvcConfigurer() { 
  7.             @Override 
  8.             public void addCorsMappings(CorsRegistry registry) { 
  9.                 // 添加映射路徑 
  10.                 registry.addMapping("/**"
  11.                         // 允許的域 
  12.                         .allowedOrigins("*"
  13.                         // 允許攜帶cookie 
  14.                         .allowCredentials(true
  15.                         // 允許的請求方式 
  16.                         .allowedMethods("GET","POST""PUT""DELETE"
  17.                         // 允許的請求頭 
  18.                         .allowedHeaders("*"); 
  19.             } 
  20.         }; 
  21.     } 

利用@CrossOrigin注解

支持更細(xì)粒度的配置,可以用法方法上或者類上

  1. @RestController 
  2. @RequestMapping("resource"
  3. @CrossOrigin({"http://127.0.0.1:8080"}) 
  4. public class ResourceController 

其他方式支持跨域

看到這你可能會產(chǎn)生疑問,我們的項目中沒有跨域的配置啊,怎么還能支持跨域?那估計是把設(shè)置header這些活交給網(wǎng)關(guān)層來做了。

本文轉(zhuǎn)載自微信公眾號「Java識堂」,作者Java識堂 。轉(zhuǎn)載本文請聯(lián)系Java識堂公眾號。

 

責(zé)任編輯:武曉燕 來源: Java識堂
配置跨域框架
相關(guān)推薦

2010-03-12 14:28:52

三層交換技術(shù)

2020-12-31 08:14:39

VueAxiosJavaScript

2015-08-04 09:33:24

Coding.net

2022-12-26 00:00:01

Go框架前端

2021-11-28 08:32:34

shell命令系統(tǒng)

2019-04-10 10:32:16

CORSNginx反向代理

2016-11-01 21:51:03

phpjavascript

2016-01-29 10:05:13

酒店服務(wù)業(yè)大數(shù)據(jù)大數(shù)據(jù)分析

2022-11-29 21:26:26

跨域配置

2022-09-07 07:05:25

跨域問題安全架構(gòu)

2021-11-07 14:34:26

跨域網(wǎng)絡(luò)后端

2021-12-30 11:16:31

大數(shù)據(jù)年終總結(jié)APP

2021-04-27 15:20:41

人工智能機(jī)器學(xué)習(xí)技術(shù)

2021-06-15 07:32:59

Cookie和Sess實現(xiàn)跨域

2019-09-02 07:42:50

nginx服務(wù)器跨域

2013-04-10 10:13:21

云計算存儲

2014-03-26 14:23:36

Microsoft AWindows Azu微軟

2009-12-28 14:21:44

2018-12-07 15:50:52

Java編程語言框架

2024-05-20 09:28:44

Spring客戶端瀏覽器
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號