2. 程式人生 > 程式設計 >包教不包會系列-跨域

包教不包會系列-跨域

阿新 發佈:2019-12-31

前言

這段時間心態上有點放鬆了,收收心了

昨天晚上無聊,把 SpringBoot 的官方檔案看了一遍,對於一個英語渣來說,真難得

想學的東西很多,但是時間不允許啊。前端 Or 後端,早日決斷吧 ???,太難了

跨域

跨域解決的方案有好幾種,掌握 Cors 就行了,別的瞭解下就可以了

什麼情況下回跨域呢?

跨域是指從一個源去請求另一個源的資源,瀏覽器基於完全考慮並遵循同源策略,禁止跨域訪問。但是我們可以通過一些手段(jsonp 或者 Cors)來實現跨域。

簡單理解:當 url 中的協議/域名/埠 不同時,就產生了跨域。

跨域只會發生在瀏覽器中,後端服務之間的介面呼叫是沒有跨域一說的

跨域的解決方案?

  • nginx 反向代理,將請求的介面全部轉發就行了
  • jsonp
  • cors

nginx 反向代理解決跨域

location /api {
    proxy_pass  http://192.168.202.50:8082/;
}

匹配 url 中以 /api 開頭的路徑
http://192.168.202.50:8081/api -->  http://192.168.202.50:8082
http://192.168.202.50:8081/api/users/2 --> http://192.168.202.50:8082/users/2 
複製程式碼

來自 8081 的頁面請求了 /api/users/2 代理介面,nginx 經過路徑匹配,找到對應的 location 處理,將其轉發到實際介面 /8082/users/2,從而規避跨域。

jsonp 解決跨域

jsonp 解決跨域了跨域,但是也有自己的缺陷,服務端需要對跨域和非跨域做不同的處理。

$.ajax({
    url:'http:192.168.202.50:8082/users/2'
    type:'get',dataType:'jsonp',success(data){},error(error){}
});
複製程式碼

在傳送請求的時候,瀏覽器會多攜帶一個 callback 引數

// 服務端使用 SpringBoot 處理
@GetMapping(value = "/users/2")
public String domainAjaxJsonpNoCookie
 
(HttpServletRequest request){
    HashMap<Object,Object> ret = new HashMap<>(16);
    ret.put("key1","ajax-jsonp-no-cookie");
    ret.put("key2",Math.random());
    
    String callback = request.getParameter("callback");
    
    String retString= JSON.toJSONString(ret);
    
    // 跨域處理,當不是跨域的時候,這樣處理ajax 會拿不到正確的資料
    retString=callback+"("+retString+")";
    return retString;
}
複製程式碼

Cors

推薦看下 阮一峰-跨域資源共享 CORS 詳解

cors 解決跨域,只需要服務端配合就行,瀏覽器會自動判斷是否跨域,新增 origin 請求頭,服務端只需要新增請求頭 Access-Control-Allow-Origin:* (這樣 cookie 不能攜帶) Access-Control-Allow-Origin:http://192.168.202.8080 (這樣可以攜帶 cookie)

SpringBoot 使用註解 @CrossOrigin

// 註解可以新增到類上或者方法上
@CrossOrigin(value = "http://192.168.202.50:8080",allowCredentials="true")
@GetMapping(value = "/domain/cors/cookie")
public Map domainCorsCookie(HttpServletRequest request,HttpServletResponse response){
    Cookie[] cookies = request.getCookies();
    HashMap<Object,Object> ret = new HashMap<>(16);
    if(cookies!=null){
        for (Cookie cookie1 : cookies) {
            if (Objects.equals("corsCookie",cookie1.getName())) {
                ret.put(cookie1.getName(),cookie1.getValue());
            }
        }
    }
    return ret;
}
複製程式碼

CorsFilter 過濾器

@Configuration
public class MyCorsConfig {
    @Autowired
    private AppProperties appProperties;
    /**
     * 配置 cors 過濾器
     */
    private CorsConfigurationSource getMyCorsConfigurationSource(String path){
        CorsConfiguration config = new CorsConfiguration();
        // 設定跨域允許攜帶 cookie
        config.setAllowCredentials(true);
        // 配置允許那些 網址跨域
        config.setAllowedOrigins(appProperties.getAllowIp());
        // 配置多長時間不用跨域預檢請求
        config.setMaxAge(1800L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration(path,config);
        return source;
    }

    @Bean
    public FilterRegistrationBean  registrationCorsFilterBean(){
        FilterRegistrationBean filterRegistrationBean =new FilterRegistrationBean();
        // 所有的請求都允許跨域
        CorsConfigurationSource myCorsConfigurationSource = getMyCorsConfigurationSource("/**");
        CorsFilter corsFilter = new CorsFilter(myCorsConfigurationSource);
        filterRegistrationBean.setFilter(corsFilter);
        return filterRegistrationBean;
    }
}

@Configuration
@ConfigurationProperties(prefix = "app.cors")
@Data
public class AppProperties {
    private List<String> allowIp;
}
複製程式碼

遇到的坑

  • 跨域的時候 cookie 不能攜帶

這個需要客戶端和服務端同時配合,服務端才能拿到 cookie

$.ajax({
    url:'http:192.168.202.50:8082/users/2'
    type:'get',// 告訴瀏覽器要攜帶 cookie
    xhrFields: {
        withCredentials: true
    },error(error){}
});
複製程式碼
// Access-Control-Allow-Origin:http://192.168.202.8080,
// 這個屬性需要設定對應的地址,設定 * 不行
// allowCredentials  服務端配置允許攜帶 cookie
@CrossOrigin(value = "http://192.168.202.50:8080",allowCredentials="true")
複製程式碼
// 配置過濾器屬性,Access-Control-Allow-Origin 和 allowCredentials
 private CorsConfigurationSource getMyCorsConfigurationSource(String path){
        CorsConfiguration config = new CorsConfiguration();
        // 設定跨域允許攜帶 cookie
        config.setAllowCredentials(true);
        // 配置允許那些 網址跨域
        config.setAllowedOrigins(appProperties.getAllowIp());
        // 配置多長時間不用跨域預檢請求
        config.setMaxAge(1800L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration(path,config);
        return source;
    }
複製程式碼

cookie Path 設定錯誤

上圖只能看到當前頁面可以訪問的 cookie

檢視域名下所有的 cookie

進入下級頁面即可看到 cookie 選項

可以檢視某個域名下的全部 cookie 

        Cookie retCookie=new Cookie("serverCookie",String.valueOf(Math.random()));
        retCookie.setMaxAge(10000000);
        retCookie.setHttpOnly(true);
        // 跨域設定 cookie 必須設定 path
//        retCookie.setPath("/");
        response.addCookie(retCookie);
複製程式碼

當你沒有設定 Path 的時候,預設設定請求介面路徑。

比如說,你登陸介面(/login)返回 cookie(name=login),cookie 沒有設定 path,會自動給你設定 /login。而當你請求/users/2 的介面的時候,是不會攜帶 cookie(name=login)。

相關推薦

系列-

前言 這段時間心態上有點放鬆了,收收心了 昨天晚上無聊,把 SpringBoot 的官方檔案看了一遍,對於一個英語渣來說,真難得

Java 系列——泛型

前言 第一次接觸 java 的時候,一次編譯,到處執行,給人的感覺就很強大,必須入坑啊。不過現在 java 主流使用場景還是後端這塊,圖形化介面開發並不擅長。java 在後端語言的競爭中依然屹立倒,和 java 的生態有很

前端專案應用系列--(常用方案)

技術標籤:專案(前端) postMessage postMessage是HTML5 XMLHttpRequest Level 2中的API,且是為數不多可以操作的window屬性之一,它可用於解決以下方面的問題:

TSINGSEE青犀視訊流媒體平臺為什麼存在問題?

在EasyNVR、EasyGBS、EasyDSS這一類視訊平臺中,經常碰到使用者問我們跨域相關的問題,在視訊流的傳輸上,某些專案需要將視訊流嵌入第三方平臺或者app進行直播,這時極大可能產生跨域相關的問題,這並不是傳輸上

@SpringBootApplication的scanBasePackages自定義後走預設掃描主類當前及子的邏輯

現象:spring boot中當前模組引入另外一個模組後,需要用到另一個模組的介面等,因為spring boot中的@SpringBootApplication註解預設掃描主類當前及子做其他配置的話,無法掃描到另一個模組的註解,也就無法

在ASP.NET 5應用程式中的請求功能詳解什麼是“同”新增CORS在應用程式中配置CORSCORS策略選項請求中的憑據設定先行請求的過期時間CORS是怎麼樣工作的先行請求

瀏覽器安全阻止了一個網頁中向另外一個提交請求,這個限制叫做同策咯(same-origin policy),這組織了一個惡意網站從另外一個網站讀取敏感資料,但是一些特殊情況下,你需要允許另外一個站點跨域請求你的網站。

真實感受一下縣比省大郵,省市區鄉鎮多級資料重灌上陣

以前採集的舊版省市區三級或四級城市資料總是覺得怪怪的,經過多方探討,終於下定決心進行了一次重大更新,釋出了這個重(chong)裝版。除了省市區鄉鎮資料外,座標和邊界範圍、還有拼音都是有的。

win10系統彈出提示explorer.exe視窗顯示當前可用怎麼辦

近日有win10系統使用者在使用過程中,發現電腦突然彈出提示explorer.exe視窗,並顯示當前可用的情況,遇到這樣的問題該怎麼辦呢,本教程就給大家帶來win10系統彈出提示explorer.exe視窗顯示當前可用的解決方

IDEA2020.1啟動SpringBoot專案出現java程式:xxx存在

本地啟動springboot專案一直報一個工具類的找到,但是我看了好幾次,那個類明明就在專案中,知道為什麼一啟動專案就報錯,,說這個xxxx存在,,弄了我一晚上沒睡好覺,,整的我都快開始懷疑人生了,。我是誰

解決idea使用maven編譯正常但是執行專案時卻提示很多jar到的問題

如題,編譯和打包都是正常的,pom檔案中依賴存在並且沒有報錯。找到相應的引用位置,也能正常訪問中的內容。而且提示的一般都是基礎的jar到,比如單元測試用到的jar等。。。

Vue中,sessionId一致

前後端分離,前端使用vue-admin-template 後端配置檔案 CommonIntercepter.java import javax.servlet.http.HttpServletRequest;

為什麼在SpringBoot+maven的專案中,所引入的依賴可以指定依賴的版本號?

當在Springboot專案中引入了spring-boot-starter-parent,則可以不用引入依賴版本號,比如:

C#進階系列——WebApi 問題解決方案:CORS

閱讀目錄 一、問題的由來 二、問題解決原理 三、問題解決細節 1、場景描述

暴力破解壓縮可用)

引入依賴,方便解壓加密的壓縮 <!-- 解壓壓縮相關的依賴 --> <dependency>

WebCallbackManager SpringBoot2.2.0 無法導相容問題 主要是Sentinel

今天在整合SpringCloud alibaba Sentinel 時發現一個意想不到的事情,那就是設定攔截資源,自定義返回結果的時候WebCallbackManager類實現UrlBlockHandler 死活

華為表哥手把手你利用Jenkins持續整合iOS專案,我花式拉翔!!!

手把手你利用Jenkins持續整合iOS專案: 前言 眾所周知,現在App的競爭已經到了使用者體驗為王,質量為上的白熱化階段。使用者們都是很挑剔的。如果一個公司的推廣團隊好不容易砸了重金推廣了一個APP,好不容

HTTP系列資源共享機制(CORS)介紹

前言 本文將繼續解析詳解HTTP系列1中的請求/ 響應報文的首部欄位,今天帶來的資源共享(CORS)機制,具體內容包括CORS的原理、流程、實戰,希望能給大家帶來收穫!

Spring session、set-cookie失效、、每次請求sessionid一致,Cookie sameSite坑 之坑

  最近公司做的一個專案,在電腦端開發一直都沒有問題,但是把專案方到微信公眾號裡開啟網頁登入的時候就出現每次請求sessionid一致的問題。

前後端分離,Vue+SpringBoot2.0 + Shiro 問題(操作簡單,無耦合到令人敢相信)

最近公司做的前後端分離的專案(之前沒有做前後端分離),所以這裡就設計到了的問題了

IDEA中Maven依賴下載了的問題解決方案彙總

這個依賴下載了的問題真的是很煩,之前一直把下載上的依賴剪下再貼上到pom.xml檔案中,儲存它就自動下載了,但是今天怎麼剪下貼上都沒用,所以就花了點時間在網上各種搜解決方案,試了一些之後終於從根本上解決了問