跨域访问(Cross-Origin Resource Sharing, CORS)是浏览器安全策略的一部分,用于控制不同源(origin)之间的资源共享,当一个网页尝试从不同的源加载资源时,就会触发跨域访问问题,以下是关于服务器跨域的详细解释:
一、跨域访问的基本流程
1、请求发送:浏览器向服务器发送一个请求(如GET、POST等),尝试访问一个跨域的资源。
2、预检请求(可选):对于某些类型的跨域请求(如POST、PUT等),浏览器会首先发送一个OPTIONS请求到服务器,询问实际请求是否安全,即是否允许跨域,这称为“预检请求”,预检请求中通常包含Access-Control-Request-Method和Access-Control-Request-Headers头部,用于告诉服务器实际请求将使用的方法和头部信息。
3、服务器响应预检请求:如果服务器支持跨域请求,它会在响应中设置Access-Control-Allow-Origin头部,可能还包括Access-Control-Allow-Methods和Access-Control-Allow-Headers等,以指示哪些来源、方法和头部是允许的,如果服务器不支持跨域请求,则不会设置这些CORS相关的头部,或者可能会返回错误状态码(如403 Forbidden)。
4、浏览器处理响应:如果预检请求成功(即服务器返回了适当的CORS头部),浏览器会发送实际的请求,如果预检请求失败(如服务器未设置正确的CORS头部),浏览器会阻止实际请求的发送,并可能向控制台报告错误。
5、实际请求与响应:浏览器发送实际请求到服务器,服务器处理请求,并返回响应,如果响应中包含了正确的CORS头部(Access-Control-Allow-Origin等),浏览器会将响应数据暴露给前端JavaScript代码,如果响应中未包含正确的CORS头部,浏览器会隐藏响应数据,并可能向控制台报告错误。
二、服务器端解决跨域问题的方法
1. Nginx配置允许跨域访问
Nginx配置如下,如果你的前端页面允许跨域访问,则需要在前端资源的location块中配置:
server {
listen 80;
server_name yourdomain.com;
location /api/ {
# 允许所有域跨域访问(不推荐,出于安全考虑应指定具体域名)
# add_header 'Access-Control-Allow-Origin' '*';
# 允许特定域跨域访问(推荐)
add_header 'Access-Control-Allow-Origin' 'https://your-front-end-domain.com';
# 允许的HTTP方法
add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
# 允许的自定义请求头
add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization, X-Requested-With';
# 允许携带Cookie
add_header 'Access-Control-Allow-Credentials' 'true';
# 预检请求的有效期(可选)
add_header 'Access-Control-Max-Age' 1728000;
# 如果请求方法是OPTIONS,则直接返回204状态码,不执行后续操作
if ($request_method = 'OPTIONS') {
return 204;
}
# 其他配置...
}
}
2. Java Web项目中的解决方法
1、在每一个controller的方法当中设置response:适用于所有的JavaWeb项目,但这种方式的缺点是将Access-Control-Allow-Origin设置为时,不能同时设置Access-Control-Allow-Credentials为true。
2、设置一个Filter(过滤器):将第一种方法的代码写到过滤器里,适用于所有的JavaWeb项目,这是对第一种方法的优化,本质没有区别。
3、为每个controller添加@CrossOrigin注解:适用于SpringBoot项目,可以添加在controller类上或方法上,前者表示该类下所有接口都允许跨域请求,后者表示指定的方法(接口)允许跨域请求。
4、为项目添加一个WebMvcConfigurer对象:适用于SpringBoot项目,并推荐使用,通过重写addCorsMappings方法来注册跨域请求。
3. 其他后端框架的解决方法
除了Java Web项目外,其他后端框架也有类似的解决方法,如SpringCloud、Koa等,都是通过修改相应的HTTP头来实现跨域访问控制的。
跨域访问是浏览器安全策略的一部分,用于控制不同源之间的资源共享,通过在服务器端配置CORS策略,可以显式地允许某些域访问其资源,从而解决跨域访问问题,不同的后端框架有不同的配置方法,但原理相似,都是通过修改HTTP头来实现跨域访问控制,在实际应用中,需要根据具体情况选择合适的配置方式,并确保重启服务器以使配置生效。
小伙伴们,上文介绍了“服务器跨域”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/692962.html
微信扫一扫 