前端和后端解决跨域问题的一些方式详解
目前很多java web开发都是采用前后端分离框架进行开发,相比于单体项目容易产生跨域问题。
一、跨域问题CORS
1.什么是跨域问题?
后端接收到请求并返回结果了,浏览器把这个响应拦截了。
2.跨域问题是怎么产生的?
浏览器基于同源策略,如果请求的网页和当前的服务不是同源的,并且发送的是XHR(XMLHttpRequest)请求,就会产生跨域问题。
同源策略:url中的协议、域名、端口号任意一个不同就不同源。注意两个不同的域名指向同一个主机ip也叫不同源。
3.为什么要有同源策略?
CSRF攻击:借助本地浏览器缓存的cookie信息,以当前登陆者的身份模拟发送请求,完成攻击者期待的操作。当攻击者拿到管理员的信息时可能对整个web程序造成重大打击。
csrf防御:
- 规范使用各个请求方法,比如get请求只能检索信息,不能修改信息。
- 当用户访问站点时生成一个随机数,并设置成用户发送请求时的cookie。用户提交表单时,要携带随机数。当csrf攻击者发送请求时,由于没有这个随机数,所以请求失败。
- 在非get请求中增加token并使用拦截器校验。
- HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址,在访问敏感数据时,先检查referer字段,查看请求来源于哪个地址。如果是本页面的url就可以访问,如果是别的网页的url就禁止访问。
- 自定义属性加到请求头。通过 XMLHttpRequest 这个类,一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性。
- 客户端中RequestRodeo 工具通过在客户和服务器之间充当代理来防止CSRF攻击
- 客户端下载某些插件,对于拦截的请求用户可以自己设置白名单。
二、解决方法
前端解决方式
1.JSONP方案:(只能解决get请求不能解决post请求)
不受同源策略影响的标签:img、script、link 、iframe
通过在前端动态创建script标签,指定跨域资源的URL,服务器返回的是一段JavaScript代码,前端通过回调函数处理数据。
2.vue解决devServer配置
module.exports = {
devServer: {
proxy: {
'/api': { // 请求的代称,写在Axios里的BaseUrl
target: 'http://localhost:8088/spring', // 真实请求URl
ws: true,
changeOrigin: true, // 允许跨域
pathRewrite: { //替换,通配/api的替换成对应字符
// /* 重写路径,当我们在浏览器中看到请求的地址为:http://localhost:8080/api/core/getData/userInfo 时
// 实际上访问的地址是:http://localhost:8088/spring/core/getData/userInfo,因为重写了 /api
// */
'^/api': '' //当你的接口中没有/api字眼时,采用这种,直接替换成空即可
// '^/api': '/api' //当你的接口中刚好有/api 时,采用这种方式
}
}
}
}
}3.Nginx代理
正向代理:顺着请求方向代理,由用户配置,为用户代理服务。拿到要访问的资源。
反向代理:充当响应服务器,对目标服务器提供了请求转发的功能。
nginx使用的是反向代理:浏览器访问A服务器,A服务器再将请求发送到B浏览器,拿到内容返回给浏览器。
下载negix,完成配置
服务器监听80端口,请求带着“/api”就代理到指定的服务器,也可以配置重写url。
上面的场景:前端发送一个api/xxx请求,negix代理对请求做处理。将这个请求代理到后端服务器,并重写了请求的url。
ssm项目后端表现层解决方案
1.在响应头中添加属性
在controller代码中写下面这行代码。
response.addHeader("Access-Control-Allow-Origin","http://127.0.0.1:8081");springboot项目中,跨域问题后端怎么解决?
CORS:跨域同源共享。在响应头中设置一些配置。access-control-allow-origin属性设置
1.在目标方法上添加@CrossOrigin注解
2.添加cors的过滤器统一解决,不用每个方法都加注解
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter(){
CorsConfiguration corsConfiguration=new CorsConfiguration();
//允许那些域访问
corsConfiguration.addAllowedOrigin("*");
//允许请求头字段
corsConfiguration.addAllowedHeader("*");
//允许请求的方法
corsConfiguration.addAllowedMethod("*");
UrlBasedCorsConfigurationSource source=new UrlBasedCorsConfigurationSource();
//添加映射路径
source.registerCorsConfiguration("/**",corsConfiguration);
return new CorsFilter(source);
}
}3.实现WebMvcConfigurer接口,重写addCorsMappings方法
@Override
public void addCorsMappings(CorsRegistry registry){
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("*")
.allowCredentials(true) //是否允许携带cookie
.maxAge(3600) //有效时间
.allowedHeaders("*");
}4.使用代理工具。
总结
到此这篇关于前端和后端解决跨域问题的一些方式的文章就介绍到这了,更多相关前端和后端解决跨域内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
本文主要介绍了MybatisPlus中selectPage的使用方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-05-05
hadoop运行java程序(jar包)并运行时动态指定参数
这篇文章主要介绍了hadoop如何运行java程序(jar包)并运行时动态指定参数,使用hadoop 运行 java jar包,Main函数一定要加上全限定类名,需要的朋友可以参考下2021-06-06
这篇文章主要介绍了Java连接PostgreSql数据库及基本使用方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-03-03
这篇文章主要介绍了Java中如何获取图片文件格式(后缀),具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-06-06
MybatisPlus处理四种表与实体的映射及id自增策略分析
在最近的工作中,碰到一个比较复杂的返回结果,发现简单映射已经解决不了这个问题了,只好去求助百度,学习mybatis表与实体的映射应该怎么写,将学习笔记结合工作碰到的问题写下本文,供自身查漏补缺,同时已被不时之需2022-10-10
在云计算和微服务架构日益普及的今天,Docker已成为一种主流的应用部署方式,本文将详细介绍如何将基于Spring Boot的项目部署到Docker容器中,需要的朋友可以参考下2023-07-07
这篇文章主要介绍了Java枚举详解及使用实例(涵盖了所有典型用法),本文直接给出实例代码,代码中包含详细注释,需要的朋友可以参考下2015-05-05
JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。接下来通过本文给大家介绍springSecurity+jwt实现互踢功能,需要的朋友可以参考下2021-11-11
Struts2中提供了数据校验验证数据例如验证邮件、数字等,本篇文章介绍了Struts2之Validator的详细介绍,有兴趣的可以了解一下。2017-03-03
Spring单元测试类ApplicationTests错误的解决
这篇文章主要介绍了Spring单元测试类ApplicationTests错误的解决,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-01-01
最新评论