跨域是指跨網域名稱的訪問,以下情況都屬於跨域:
跨域原因說明
示例網域名稱不同
www.jd.com與www.taobao.com
網域名稱相同,埠不同
www.jd.com:8080與www.jd.com:8081
二級網域名稱不同
item.jd.com與miaosha.jd.com
如果網域名稱和埠都相同,但是請求路徑不同,不屬於跨域,如:
跨域不一定會有跨域問題。
跨域問題都是瀏覽器針對ajax請求的安全限制
因為跨域問題是瀏覽器對於ajax請求的一種安全限制:乙個頁面發起的ajax請求,只能是於當前頁同網域名稱的路徑,這能有效的阻止跨站攻擊。
因此:跨域問題 是針對ajax的一種限制。
但是這卻給我們的開發帶來了不便,而且在實際生產環境中,肯定會有很多臺伺服器之間互動,位址和埠都可能不同,怎麼辦?
目前比較常用的跨域解決方案有3種:
nginx反向**
思路是:利用nginx反向**把跨域為不跨域,支援各種請求方式
缺點:需要在nginx進行額外配置,語義不清晰
cors
規範化的跨域請求解決方案,安全可靠。
優勢:缺點:
我們這裡會採用cors的跨域方案。
cors是乙個w3c標準,全稱是"跨域資源共享"(cross-origin resource sharing)。
它允許瀏覽器向跨源伺服器,發出xmlhttprequest請求,從而克服了ajax只能同源使用的限制。
cors需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,ie瀏覽器不能低於ie10。
當瀏覽器發現發現的ajax請求是簡單請求時,會在請求頭中攜帶乙個字段:origin.
origin中會指出當前請求屬於哪個域(協議+網域名稱+埠)。服務會根據這個值決定是否允許其跨域。
如果伺服器允許跨域,需要在返回的響應頭中攜帶下面資訊:
access-control-allow-origin:注意:access-control-allow-credentials: true
如果跨域請求要想操作cookie,需要滿足3個條件:
特殊請求
不符合簡單請求的條件,會被瀏覽器判定為特殊請求,,例如請求方式為put。
預檢請求特殊請求會在正式通訊之前,增加一次http查詢請求,稱為"預檢"請求(preflight)。
瀏覽器先詢問伺服器,當前網頁所在的網域名稱是否在伺服器的許可名單之中,以及可以使用哪些http動詞和頭資訊字段。只有得到肯定答覆,瀏覽器才會發出正式的xmlhttprequest請求,否則就報錯。
乙個「預檢」請求的樣板:
與簡單請求相比,除了origin以外,多了兩個頭:
預檢請求的響應服務的收到預檢請求,如果許可跨域,會發出響應:
除了access-control-allow-origin和access-control-allow-credentials以外,這裡又額外多出3個頭:
如果瀏覽器得到上述響應,則認定為可以跨域,後續就跟簡單請求的處理是一樣的了。
第一種解決方案最簡單,只需要在controller類上新增註解@crossorigin 即可!這個註解其實是cors的實現。
這種方式需要在每個控制器上加上註解,不推薦這種方式。
springcloudgateway是spring官方出品,他已經把各方面想到了,關於這個跨域,官方文件有詳細解釋:
截圖如下:
什麼是跨域及常用的幾種跨域解決方案
什麼是跨域?瀏覽器從乙個網域名稱的網頁去請求另乙個網域名稱的資源時,網域名稱 埠 協議任一不同,都是跨域。跨域並不是請求發不出去,請求能發出去,服務端能收到請求並正常返回結果,只是結果被瀏覽器攔截了。這是由於瀏覽器的同源策略而導致的,同源策略限制了不同源之間的資源進行互動,用於隔離潛在的惡意檔案的安...
跨域問題及解決方案
閱讀目錄 回到頂部 自 跨域是指我們訪問乙個 如 這個url,從這個頁面中又去訪問這個url,這個時候就引發了跨域,當網域名稱 埠 二級網域名稱不同都會引發跨域。此時9000埠的服務端可以接收到請求,也會給瀏覽器響應資料,但是到達瀏覽器後就被攔截了,因為瀏覽器的同源策略。url結果 原因成功網域名稱...
跨域問題及解決方案
跨域是指我們訪問乙個 如 這個url,從這個頁面中又去訪問這個url,這個時候就引發了跨域,當網域名稱 埠 二級網域名稱不同都會引發跨域。此時9000埠的服務端可以接收到請求,也會給瀏覽器響應資料,但是到達瀏覽器後就被攔截了,因為瀏覽器的同源策略。url結果 原因成功網域名稱 協議 埠相同 失敗協議...