JessicaWind

Spring Boot CORS跨域资源共享实现方案

同源策略

同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能
同源策略限制cookie 等信息的跨源网页读取，可以保护本地用户信息
同源策略限制跨域 ajax 请求，可以保护被跨域请求的服务器中数据库用户信息
简单来说，限制cookie 等信息的跨源网页读取是为了保护自己的信息，而限制跨域 ajax 请求，是为了保护别人的信息。
跨域请求的本质是请求别人的信息，所以能否跨域请求，是由被请求的服务器决定的。

同源定义

一个 URL 有三部分组成：协议、域名(指向主机)、端口，只有这三个完全相同的 URL 才能称之为同源。下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例：

URL	结果	原因
`http://store.company.com/dir2/other.html`	同源	只有路径不同
`http://store.company.com/dir/inner/another.html`	同源	只有路径不同
`https://store.company.com/secure.html`	失败	协议不同
`http://store.company.com:81/dir/etc.html`	失败	端口不同 ( `http://` 默认端口是 80)
`http://news.company.com/dir/other.html`	失败	主机不同

源的继承

在页面中通过 about:blank 打开新的页面(about:blank)或通过使用javascript:执行脚本时（<a href="javascript:js_method();"/>，url 执行的脚本会继承打开该 URL 的文档的源，因为这些类型的 URLs 没有包含源服务器的相关信息。

源的更改

满足某些限制条件的情况下，页面可以修改它的源。可以通过脚本将 document.domain 的值设置为其当前域或其当前域的父域。如果将其设置为其当前域的父域，则这个较短的父域将用于后续源检查。

例如：假设 http://store.company.com/dir/other.html 文档中的一个脚本执行以下语句：

document.domain = "company.com";

这条语句执行之后，页面将会成功地通过与 http://company.com/dir/page.html 的同源检测（通过检查的前提是http://company.com/dir/page.html 也将其 document.domain 设置为“company.com”，以表明它允许子域名通过修改document.domain 的方式与其进行通信，使用 document.domain 来允许子域安全访问其父域时，必须在父域和子域中设置document.domain 为相同的值）。

company.com 不能设置 document.domain 为 othercompany.com，因为它不是 company.com 的父域。

跨域资源共享CORS

跨域请求的本质是请求别人的信息，所以能否跨域请求，是由被请求的服务器决定的。

简单请求

同时满足以下条件的请求称之为简单请求：

请求方法是以下三种方法之一：
- HEAD
- GET
- POST
HTTP的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Content-Type
- DPR
- Downlink
- Save-Data
- Viewport-Width
- Width
如果设置了Content-Type，Content-Type的值只能是以下三种中的一种
- text/plain
- multipart/form-data
- application/x-www-form-urlencoded

简单请求的响应头：

Access-Control-Allow-Origin（必含）
- 不可省略，否则请求按失败处理。
- 该项控制数据的可见范围，如果希望数据对任何人都可见，可以填写"*"
- 如果希望对某些origin可见，可以指定具体的一个或几个origin："https://store.company.com,https://example.company.com"
Access-Control-Allow-Credentials（可选)
- 该项标志着是否允许请求当中包含cookies信息。
- 这一项与XMLHttpRequest对象当中的withCredentials属性应保持一致，即withCredentials为true时该项也为true；withCredentials为false时，该项也为false。
Access-Control-Expose-Headers（可选）
- 该项确定XMLHttpRequest对象当中getResponseHeader()方法所能获得的额外信息。
- 通常情况下，getResponseHeader()方法只能获得如下的信息：
  - Cache-Control
  - Content-Language
  - Content-Type
  - Expires
  - Last-Modified
  - Pragma

我们前面提到过，同源策略是浏览器的限制，不是服务器的限制，所以对于简单请求而言，服务器实际上已经将数据返回给了浏览器，同时服务器通过设置这些response header来通知浏览器它返回的数据可以给哪些源进行使用。浏览器会对response header进行检查，判断服务器返回的数据是否能返回给当前源的执行脚本。

如果服务器返回的Access-Control-Allow-Origin包含当前源，并且请求满足Access-Control-Allow-Credentials，那浏览器就会将数据返回给请求，否则的话就会报错。对于Access-Control-Expose-Headers，只有当脚本试图读取不被允许的header时才会报错，不会影响脚本拿到server返回的数据。

Origin与Access-Control-Allow-Origin不匹配
- 服务器没有设置Access-Control-Allow-Origin header
  - Access to XMLHttpRequest at 'http://localhost:8080/cors/simple?type=NO_ORIGIN' from origin 'http://localhost:8081' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource
  - GET http://localhost:8080/cors/simple?type=NO_ORIGIN net::ERR_FAILED 200
- 当前源不在Access-Control-Allow-Origin header指定的源中
  - Access to XMLHttpRequest at 'http://localhost:8080/cors/simple?type=DIFFERENT_ORIGIN' from origin 'http://localhost:8081' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header has a value 'http://test.com' that is not equal to the supplied origin.
  - GET http://localhost:8080/cors/simple?type=DIFFERENT_ORIGIN net::ERR_FAILED 200
withCredentials 为true，Access-Control-Allow-Credentials为false或未设置
- Access-Control-Allow-Credentials未设置
  - Access to XMLHttpRequest at 'http://localhost:8080/cors/simple?type=FALSE_CREDENTIAL' from origin 'http://localhost:8081' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is 'false' which must be 'true' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.
  - GET http://localhost:8080/cors/simple?type=FALSE_CREDENTIAL net::ERR_FAILED 200
- Access-Control-Allow-Credentials为false
  - Access to XMLHttpRequest at 'http://localhost:8080/cors/simple?type=NO_CREDENTIAL' from origin 'http://localhost:8081' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.
  - GET http://localhost:8080/cors/simple?type=NO_CREDENTIAL net::ERR_FAILED 200
试图读取Access-Control-Expose-Headers未指定的header
- 请求会返回200
- xhr.getResponseHeader("test")会报错：Refused to get unsafe header "test"

复杂请求

非简单请求即为复杂请求。复杂请求在实际进行请求之前，需要发起预检请求。

对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求），浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨域请求。
服务器确认允许之后，才发起实际的 HTTP 请求。
在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证（包括 Cookies 和 HTTP 认证相关数据）

预检请求头

Access-Control-Request-Methodd
Access-Control-Request-Headers

复杂请求的响应头(预检请求和实际请求的响应头)：

Access-Control-Allow-Origin（必含）
- 不可省略，否则请求按失败处理。
- 该项控制数据的可见范围，如果希望数据对任何人都可见，可以填写"*"
- 如果希望对某些origin可见，可以指定具体的一个或几个origin："https://store.company.com,https://example.company.com"
Access-Control-Allow-Methods（必含）
- 对预请求当中Access-Control-Request-Method的回复，回复可以时一个逗号分隔的列表。
- 尽管客户端或许只请求某一方法，但服务端仍然可以返回所有允许的方法，以便客户端将其缓存。
Access-Control-Allow-Headers（当预请求中包含Access-Control-Request-Headers时必须包含）
- 对预请求当中Access-Control-Request-Headers的回复，以逗号分隔的列表，可以返回所有支持的头部。
- 如果所有支持的头部一时不能完全写出来，而又不想在这一层做过多的判断，可以通过request的header可以直接取到Access-Control-Request-Headers，直接把对应的value设置到Access-Control-Allow-Headers即可
Access-Control-Allow-Credentials（可选）
- 该项标志着是否允许请求当中包含cookies信息
Access-Control-Max-Age（可选）
- 以秒为单位的缓存时间，如果预检验证通过，则会缓存指定的时间，在该时间内，再次发起该请求时，将不会发起预检请求，直接发起实际请求
- 预请求的的发送并非免费午餐，允许时应当尽可能缓存

复杂请求与简单请求的区别

对于简单请求，服务器实际上已经将结果返回给了浏览器，浏览器会根据同源策略的限制以及服务器返回的响应头的设置决定是否将结果返回给脚本。
对于复杂请求，则需要首先发起一个预检请求，浏览器会根据同源策略的限制以及服务器返回的预检请求响应头的设置决定是否发起实际请求，如果预检请求没有通过，则不会发起实际请求，只有当预检请求通过时才会发起实际请求。

测试代码（spring boot project）

pom.xml



    4.0.0
    
        org.springframework.boot
        spring-boot-starter-parent
        2.7.0
        
    
    com.jessica
    cors
    jar
    0.0.1-SNAPSHOT
    cors
    spring boot project with cors example

    
    	
			org.springframework.boot
			spring-boot-starter-web
		
		
			org.projectlombok
			lombok
			1.18.24
			provided

CorsApplication.java

package com.jessica;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@SpringBootApplication
@ServletComponentScan
public class CorsApplication {
	public static void main(String[] args) {

		SpringApplication.run(CorsApplication.class, args);
	}
}

CorsController.java

package com.jessica.controller;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import lombok.extern.slf4j.Slf4j;

@RestController
@RequestMapping("/cors")
@Slf4j
public class CorsController {

	@RequestMapping(path = "/test", method = RequestMethod.GET)
	public String test(@RequestParam(name = "type") OriginTestType type, HttpServletResponse res) {
		res.addHeader("test", "test-header");
		return "test";
	}

}

OriginTestType.java

package com.jessica.controller;

public enum OriginTestType {
	NO_ORIGIN, DIFFERENT_ORIGIN, NO_CREDENTIAL, FALSE_CREDENTIAL, NOT_ALLOWED_HEADER, SUCCESS;
}

CorsFilter.java

package com.jessica.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import com.jessica.controller.OriginTestType;

import lombok.extern.slf4j.Slf4j;

@WebFilter(urlPatterns = { "/cors/*" })
@Slf4j
public class CorsFilter implements Filter {
	private static final String ACCESS_CONTROL_ALLOW_HEADERS = "content-type,cookie,test";
	private static final String ACCESS_CONTROL_EXPOSE_HEADERS = "test";

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;

		String type = req.getParameter("type");
		if (type != null) {
			OriginTestType originTestType = OriginTestType.valueOf(type);
			if (OriginTestType.DIFFERENT_ORIGIN.equals(originTestType)) {
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, "http://test.com");
			} else if (OriginTestType.NO_CREDENTIAL.equals(originTestType)) {
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, req.getHeader(HttpHeaders.ORIGIN));
			} else if (OriginTestType.FALSE_CREDENTIAL.equals(originTestType)) {
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, req.getHeader(HttpHeaders.ORIGIN));
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "false");
			} else if (OriginTestType.NOT_ALLOWED_HEADER.equals(originTestType)) {
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, req.getHeader(HttpHeaders.ORIGIN));
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");
			} else if (OriginTestType.SUCCESS.equals(originTestType)) {
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, req.getHeader(HttpHeaders.ORIGIN));
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");
				res.addHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS, ACCESS_CONTROL_ALLOW_HEADERS);
				res.addHeader(HttpHeaders.ACCESS_CONTROL_EXPOSE_HEADERS, ACCESS_CONTROL_EXPOSE_HEADERS);
			}
		}
		res.addHeader(HttpHeaders.ACCESS_CONTROL_MAX_AGE, "300");
		if (RequestMethod.OPTIONS.name().equals(req.getMethod())) {
			res.setStatus(HttpStatus.OK.value());
			return;
		}
		chain.doFilter(request, response);
	}
}

测试页面index.html








	Simple Request
	
		Test no ACCESS_CONTROL_ALLOW_ORIGIN header set by server
		
	
	
		Test origin not allowed by ACCESS_CONTROL_ALLOW_ORIGIN header set by server
		
	
	
		Test withCredentials is not set by server
		
	
	
		Test withCredentials is set to false by server
		
	
	
		Test get not allowed response header
		
	
	
		Test request success
		
	
	Complex Request
	
		Test no ACCESS_CONTROL_ALLOW_ORIGIN header set by server
		
	
	
		Test origin not allowed by ACCESS_CONTROL_ALLOW_ORIGIN header set by server
		
	
	
		Test withCredentials is not set by server
		
	
	
		Test withCredentials is set to false by server
		
	
	
		Test get not allowed response header
		
	
	
		Test request success
		
	
	
		Test request success

测试脚本index.js

function testRequest(type, withHeader, test) {
	var xhr = new XMLHttpRequest();
	const requestUrl = test ? `http://localhost:8080/cors/test?type=${type}&test=2`:`http://localhost:8080/cors/test?type=${type}`;
	xhr.open('GET', requestUrl, true);
	xhr.withCredentials = true;
	if(withHeader) {
		xhr.setRequestHeader('Content-Type', 'application/json;charset=UTF-8');
    	xhr.setRequestHeader('test', window.location.href);
    }
	xhr.send();
	xhr.onreadystatechange = function() {
	    if(this.readyState === 4) {
			console.log(`respose: ${xhr.responseText}`);
		}
		if(this.readyState === this.HEADERS_RECEIVED) {
			console.log(`test header: ${xhr.getResponseHeader("test")}`);
		}
	}
}

github

GitHub - JessicaWin/cors

Spring Boot中实现跨域请求 BABA8891 spring boot 后端 java
在SpringBoot中实现跨域请求（CORS，Cross-OriginResourceSharing）可以通过多种方式，以下是几种常见的方法：1.使用@CrossOrigin注解在SpringBoot中，你可以在控制器或者具体的请求处理方法上使用@CrossOrigin注解来允许跨域请求。在控制器上应用：importorg.springframework.web.bind.annotation.
在Flask中实现跨域请求（CORS） ac-er8888 flask python 后端
在Flask中实现跨域请求（CORS，Cross-OriginResourceSharing）主要涉及到对Flask应用的配置，以允许来自不同源的请求访问服务器上的资源。以下是在Flask中实现CORS的详细步骤和方法：一、理解CORSCORS是一种机制，它使用额外的HTTP头部来告诉浏览器，让运行在一个origin（域）上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源
面试题篇: 跨域问题如何处理(Java和Nginx处理方式) guicai_guojia java nginx 开发语言
1.服务器端解决方案最常见的解决方案是在服务器端配置CORS头。服务器需要在响应中添加适当的Access-Control-Allow-头来允许跨域请求。1.1NGINX配置在NGINX配置中，你可以通过add_header指令来设置CORS头。配置示例：server{ listen80; server_nameapi.example.com; location/{ proxy_pass
xwiki html和css,MediaWiki vs. XWiki Ake阿科多语言信息技术编程数据库操作系统
140Afar,Abkhazian,Afrikaans,Amharic,Arabic,Assamese,Aymara,Azerbaijani,Bashkir,Byelorussian,Bulgarian,Bihari,Bislama,Bengali;Bangla,Tibetan,Breton,Catalan,Corsican,Czech,Welsh,Danish,German,Bhutani,Gr
Etcd 配置详解 SkTj
配置标记成员标记—name—data-dir—wal-dir—snapshot-count—heartbeat-interval—election-timeout—listen-peer-urls—listen-client-urls—max-snapshots—max-wals—cors集群标记—initial-advertise-peer-urls—initial-cluster—initia
Django跨域问题一个简短且非常好记的ID django python
简介由于本站以及很大部分项目都是前后端分离模式，前后端所配置的域名并不相同，所以会受到浏览器的同源策略限制，导致不能正确的请求资源，以下内容先用最简单的方法实现Django后端的跨域问题解决，后续原理再慢慢补充实现跨域（省流版）安装core依赖pipinstalldjango-cors-headers声明app在settings.pyINSTALLED_APPS元组中添加corsheadersIN
控制台报错Access to XMLHttpRequest at ‘http://‘ from origin ‘http://‘ has been blocked by CORS policy Peter-Lu #前端报错合集 http 网络协议网络 axios
具体错误信息AccesstoXMLHttpRequestat'http://'fromorigin'http://'hasbeenblockedbyCORSpolicy:No'Access-Control-Allow-Origin'headerispresentontherequestedresource.问题缘由这个问题，纠缠了我很久期初我是在写前端代码进行调试，其中用到了axios，打开控制台
vue3 + vite + js 配置Eslint + prettier_vite+js+vue3配置eslint 2401_84446882 程序员 javascript vue.js 前端
server:{port:3300,cors:true,proxy:{}},build:{outDir:path.resolve(__dirname,‘…/dist’)}})#####第四步安装eslint-parser（ESLint解析器）pnpmadd@babel/core-D//某些代码需要调用Babel的API进行转码，就要使用@babel/core模块。pnpmadd@babel/esl
【Spring Boot 3】【Web】处理跨域资源共享 CORS 又言又语 Spring spring spring boot cors 跨域
【SpringBoot3】【Web】处理跨域资源共享CORS背景介绍开发环境开发步骤及源码工程目录结构总结背景软件开发是一门实践性科学，对大多数人来说，学习一种新技术不是一开始就去深究其原理，而是先从做出一个可工作的DEMO入手。但在我个人学习和工作经历中，每次学习新技术总是要花费或多或少的时间、检索不止一篇资料才能得出一个可工作的DEMO，这占用了我大量的时间精力。因此本文旨在通过一篇文章即能还
【HTTP、Web常用协议等等】前端八股文面试题菜鸟una 前端八股文面试题前端网络 websocket web安全
HTTP、Web常用协议等等文章目录HTTP、Web常用协议等等1.网络请求的状态码有哪些？1）1xx信息性状态码2）2xx成功状态码3）3xx重定向状态码4）4xx客户端错误状态码5）5xx服务器错误状态码2.在Web开发中常用的协议和标准有哪些？1）协议2）标准3.如何处理跨域问题？1）CORS（跨源资源共享）2）JSONP（JSONwithPadding）3）代理4）iframe+postM
CORS 跨域问题解决&&预检（OPTIONS）请求解释码农爱java 【随笔--杂记】CORS 跨域 OPTIONS spring boot nginx
场景：业务要求从把系统B嵌入到系统A中，系统A和系统B是完成不同的两个域名，前端同事完成系统嵌入后，从A系统内部调用B系统的接口时候发现跨域错误（CORSerror），如下：什么是跨域？跨域(CrossOrigin)指浏览器不允许当前页面所在的源去请求另一个源的数据，跨域也就是跨源的意思。什么是同源？同源策略(SOPSameoriginpolicy)：是一种约定，由Netscape公司1995年引
CORS是什么，功能如何实现茶卡盐佑星_ javascript es6
CORS，全称为“跨域资源共享”（Cross-OriginResourceSharing），是一种浏览器技术的规范，允许浏览器向跨源服务器发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。CORS是Web安全领域的一个重要概念，旨在确保浏览器端与服务器端之间安全地进行跨域通信。CORS的功能CORS的主要功能是：安全跨域通信：允许前端页面从与其不同源的服务器请求资源，如A
对财务管理小程序main.py的理解 xinyueyueyueyyyy 小程序
目录一、导入模块和库二、自定义SwaggerUI和ReDoc三、创建FastAPI应用四、异常处理五、CORS中间件六、路由导入七、根路由八、数据库初始化九、启动服务器十、总结本部分代码是使用FastAPI框架和Tortoise-ORM构建的一个后端服务示例，主要用于支持财务管理小程序的后台功能。以下是对代码主要部分的总结：一、导入模块和库fromfastapiimportFastAPI,Requ
蓝易云 - 描述Java中处理跨域问题的解决方案。蓝易云 java 开发语言 spring mvc 数据库 sql
当JavaWeb应用需要处理来自不同源（域名、协议、端口）的客户端请求时，就会面临跨域问题。由于浏览器的同源策略限制，Web应用对跨域请求默认不予响应。为了解决这一问题，可以采取以下几种方法。CORS(跨源资源共享):CORS是一种机制，允许多个来源之间共享资源。服务器设置特殊的HTTP头信息，明确声明允许哪些源访问资源。在Java中，可以在响应对象上设置这些头信息，或者使用JavaEE的@Cro
使用 Express 写接口過尽千帆_YL
1.创建基本的服务器//导入expressconstexpress=require('express')//创建服务器实例constapp=express()//配置解析表单数据的中间件app.use(express.urlencoded({extended:false}))//必须在配置cors中间件之前，配置JSONP的接口app.get('/api/jsonp',(req,res)=>{//
前端怎么实现跨域请求？开发小途前端
前端实现跨域请求（Cross-OriginResourceSharing,CORS）通常涉及到后端服务器的配置，因为浏览器的同源策略（Same-OriginPolicy）会阻止前端代码直接发起跨域请求。然而，有几种方法可以在前端和后端的配合下实现跨域请求。CORS后端配置：最简单且最常用的方法是配置后端服务器以支持CORS。这通常涉及到在HTTP响应头中设置一些特定的CORS头，如Access-C
跨域解决 | 面试常问问题二川bro 前端 JS 前端
跨域解决|面试常问问题跨域问题一直是前端开发中不可避免的一部分，它涉及到浏览器的同源策略和安全机制。本文将深入解析跨域问题的本质，并探讨前端和后端的多种解决方案，同时分享一些扩展与高级技巧。最后，我们还将总结跨域解决方案的优缺点，并列出一些面试中常见的问题。目录跨域解决|面试常问问题一、为什么会出现跨域问题二、前端解决方案1.JSONP2.CORS3.代理服务器4.PostMessage5.Web
前后端分别解决跨域问题 CORS错误 ZhaZha_Yi 前端 nginx java
一、前端：配置nginx#跨域配置location^~/api/{proxy_passhttp://127.0.0.1:8080/api/;add_header'Access-Control-Allow-Origin'$http_origin;add_header'Access-Control-Allow-Credentials''true';add_headerAccess-Control-Al
fetch请求cors错误发生从来あ前端 javascript ajax node.js
从客户端向服务器发起fetch请求时，发生了以下错误，查了好多网页，大体有两点在服务器端要设置。(关于第二点花了好久才找到。。。)localhost/:1Accesstofetchat'http://localhost:8080/v1/login'fromorigin'http://localhost:3000'hasbeenblockedbyCORSpolicy:No'Access-Contro
十、Spring Cloud Gateway-跨域（CORS）配置侯文_ad82
网关可以配置为控制CORS行为。“全局”CORS配置是SpringFrameworkCorsConfiguration的URL模式映射。在上面的示例中，对于所有GET请求的路径，将允许来自docs.spring.io的CORS请求。
fetch跨域请求数据的前端设置和后端php的header设置 cdcdhj javascript学习日记 php学习笔记前端 php 开发语言
跨源请求，也称为CORS（Cross-OriginResourceSharing）请求，是Web开发中常见的一种需求，允许一个网页的JavaScript代码向与该网页不同源的服务器发出HTTP请求。以下是使用JavaScript中的fetch函数进行跨源请求的一个基本示例：这里做测试的是前端http://127.0.0.1:5500/fetchcors.html后端：http://xuejx.xy
Spring Cloud微服务安全 z.haoui Spring Cloud java 微服务系统安全
JWT-网络安全第一站CORS-跨域安全解决SpringSecurity-服务安全卫士一、JWT介绍JWT的身份认证：1、JWT全称-JSONWebToken2、JWT主要用于身份认证和信息加密3、JWT是一个简单而有效的安全认证方式二、JWT进阶特性1、JWT可以携带数据进行传输，方便后端使用2、JWT可以对传输数据进行签名，增加安全性三、JWT组成1、Header：存储关于签名算法的信息2、P
uniapp上传图片跨域报错解决方案 Champagne_7 uni-app php javascript vue
项目场景：用uniapp做图片上传的时候出现了跨域问题前端：uniapp后端：thinkphp问题描述AccesstoXMLHttpRequestat'xxxx'fromorigin'http://localhost:8080'hasbeenblockedbyCORSpolicy:Responsetopreflightrequestdoesn'tpassaccesscontrolcheck:Red
Elasticsearch8 - Docker安装Elasticsearch8.12.2 王谷雨_ ElasticSearch elasticsearch docker
前言最近在学习ES，所以需要在服务器上装一个单节点的ES服务器环境：centos7.9安装下载镜像目前最新版本是8.12.2dockerpulldocker.elastic.co/elasticsearch/elasticsearch:8.12.2创建配置新增配置文件elasticsearch.ymlhttp.host:0.0.0.0http.cors.enabled:truehttp.cors.
kubernetes解决nginx跨域问题滴流乱转的小胖子
官方文档出处：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#enable-cors%20%E4%BD%9C%E8%80%85%EF%BC%9AKaliArch%20%E9%93%BE%E6%8E%A5%EF%BC%9Ahttps://www.imooc.com/artic
axios Refused to set unsafe header has been blocked by CORS policy 未金涛 Python vue 前端爬虫
前言事情是这样的，我准备复制一个资源下载类的网站。第一步肯定是爬取目标网站的资源了。我在用python写爬虫的时候，当我提取完网页中的基础数据之后。就发现，目标网站后面大部分的数据都是通过有规律的api返回的json数据源。这个时候作为一个白飘党，我就在想能不能直接白嫖对面的api，直接拿来用呢？然后，在前端遇到了些问题，我感觉以我现在的技术水准无法解决。前端axios请求示例axios({met
跨域及解决跨域问题的详细解释佩淇呢 javascript 跨域前端 javascript
本文介绍了什么是跨域，以及常见的解决跨域的5种方法的具体解释，会举例分别解释每一种方法是怎么使用的。目录1.什么是跨域2.解决跨域问题的方法（1）JSONP（JSONwithPadding）（2）CORS（Cross-OriginResourceSharing）（3）跨文档消息传递（postMessage）（4）Nginx代理跨域（5）WebSocket3.总结1.什么是跨域跨域是一个浏览器安全策
如何在springboot中解决跨域的问题程序员阿瓜后端前端 Java java spring boot
在使用springboot框架时，因项目大多用于前后端分离的设计，因此就会产生跨域问题。只需要在后端java代码中加入以下配置类即可importorg.springframework.context.annotation.Configuration;importorg.springframework.web.servlet.config.annotation.CorsRegistry;import
Vue-Ajax核心知识整理是小蟹呀^ Vue vue.js ajax javascript
在Vue框架中可以有很多方式实现ajax,其中有xhr、jQuery、fetch、axios、vue-resource,其中Vue的作者尤雨溪推荐使用axios，所以在使用Vue框架时，尽量还是使用axios但是当我们使用ajax时，经常会遇到跨域的问题，比如你本地的端口号是8080，而服务器的端口号是5050，当你向服务器请求数据时，就会存在跨域的问题。跨域也有很多的解决方案：【1】cors方法
CORS 和 JSONP 解决跨域问题如光凌清尘
由于浏览器的同源策略，不同协议、域名、端口的网页是不允许互相请求资源的。但在前后端分离的开发模式中，前后端的域名是不一样的，如果要进行数据的交互就会产生跨域。解决跨域的方案：一：cors设置请求头浏览器的同源安全策略默认会阻止网页“跨域”获取资源。但如果接口服务器配置了CORS相关的HTTP响应头，就可以解除浏览器端的跨域访问限制CORS主要在服务器端进行配置。客户端浏览器无须做任何额外的配置，即
jvm调优总结（从基本概念到深度优化） oloz java jvm jdk 虚拟机应用服务器
JVM参数详解：http://www.cnblogs.com/redcreen/archive/2011/05/04/2037057.html Java虚拟机中，数据类型可以分为两类：基本类型和引用类型。基本类型的变量保存原始值，即：他代表的值就是数值本身；而引用类型的变量保存引用值。“引用值”代表了某个对象的引用，而不是对象本身，对象本身存放在这个引用值所表示的地址的位置。
【Scala十六】Scala核心十：柯里化函数 bit1129 scala
本篇文章重点说明什么是函数柯里化，这个语法现象的背后动机是什么，有什么样的应用场景，以及与部分应用函数(Partial Applied Function)之间的联系 1. 什么是柯里化函数 A way to write functions with multiple parameter lists. For instance def f(x: Int)(y: Int) is a
HashMap dalan_123 java
HashMap在java中对很多人来说都是熟的；基于hash表的map接口的非同步实现。允许使用null和null键；同时不能保证元素的顺序；也就是从来都不保证其中的元素的顺序恒久不变。 1、数据结构在java中，最基本的数据结构无外乎：数组和引用（指针），所有的数据结构都可以用这两个来构造，HashMap也不例外，归根到底HashMap就是一个链表散列的数据
Java Swing如何实时刷新JTextArea，以显示刚才加append的内容周凡杨 java 更新 swing JTextArea
在代码中执行完textArea.append("message")后，如果你想让这个更新立刻显示在界面上而不是等swing的主线程返回后刷新，我们一般会在该语句后调用textArea.invalidate()和textArea.repaint()。问题是这个方法并不能有任何效果，textArea的内容没有任何变化，这或许是swing的一个bug，有一个笨拙的办法可以实现
servlet或struts的Action处理ajax请求 g21121 servlet
其实处理ajax的请求非常简单，直接看代码就行了： //如果用的是struts //HttpServletResponse response = ServletActionContext.getResponse(); // 设置输出为文字流 response.setContentType("text/plain"); // 设置字符集 res
FineReport的公式编辑框的语法简介老A不折腾 finereport 公式总结
FINEREPORT用到公式的地方非常多，单元格（以=开头的便被解析为公式），条件显示，数据字典，报表填报属性值定义，图表标题，轴定义，页眉页脚，甚至单元格的其他属性中的鼠标悬浮提示内容都可以写公式。简单的说下自己感觉的公式要注意的几个地方： 1.if语句语法刚接触感觉比较奇怪，if(条件式子,值1,值2)，if可以嵌套，if(条件式子1，值1，if(条件式子2，值2，值3)
linux mysql 数据库乱码的解决办法墙头上一根草 linux mysql 数据库乱码
linux 上mysql数据库区分大小写的配置 lower_case_table_names=1 1-不区分大小写 0-区分大小写修改/etc/my.cnf 具体的修改内容如下: [client] default-character-set=utf8 [mysqld] datadir=/var/lib/mysql socket=/va
我的spring学习笔记6-ApplicationContext实例化的参数兼容思想 aijuans Spring 3
ApplicationContext能读取多个Bean定义文件，方法是： ApplicationContext appContext = new ClassPathXmlApplicationContext（ new String[]｛“bean-config1.xml”，“bean-config2.xml”，“bean-config3.xml”，“bean-config4.xml
mysql 基准测试之sysbench annan211 基准测试 mysql基准测试 MySQL测试 sysbench
1 执行如下命令，安装sysbench-0.5： tar xzvf sysbench-0.5.tar.gz cd sysbench-0.5 chmod +x autogen.sh ./autogen.sh ./configure --with-mysql --with-mysql-includes=/usr/local/mysql
sql的复杂查询使用案列与技巧百合不是茶 oracle sql 函数数据分页合并查询
本片博客使用的数据库表是oracle中的scott用户表; ------------------- 自然连接查询查询 smith 的上司(两种方法) &
深入学习Thread类 bijian1013 java thread 多线程 java多线程
一．线程的名字下面来看一下Thread类的name属性，它的类型是String。它其实就是线程的名字。在Thread类中，有String getName()和void setName(String)两个方法用来设置和获取这个属性的值。同时，Thr
JSON串转换成Map以及如何转换到对应的数据类型 bijian1013 java fastjson net.sf.json
在实际开发中，难免会碰到JSON串转换成Map的情况，下面来看看这方面的实例。另外，由于fastjson只支持JDK1.5及以上版本，因此在JDK1.4的项目中可以采用net.sf.json来处理。一.fastjson实例 JsonUtil.java package com.study; impor
【RPC框架HttpInvoker一】HttpInvoker：Spring自带RPC框架 bit1129 spring
HttpInvoker是Spring原生的RPC调用框架，HttpInvoker同Burlap和Hessian一样，提供了一致的服务Exporter以及客户端的服务代理工厂Bean，这篇文章主要是复制粘贴了Hessian与Spring集成一文，【RPC框架Hessian四】Hessian与Spring集成在【RPC框架Hessian二】Hessian 对象序列化和反序列化一文中
【Mahout二】基于Mahout CBayes算法的20newsgroup的脚本分析 bit1129 Mahout
#!/bin/bash # # Licensed to the Apache Software Foundation (ASF) under one or more # contributor license agreements. See the NOTICE file distributed with # this work for additional information re
nginx三种获取用户真实ip的方法 ronin47
随着nginx的迅速崛起，越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速，但是随之也遇到一个问题：nginx如何获取用户的真实IP地址,如果后端是apache,请跳转到<apache获取用户真实IP地址>，如果是后端真实服务器是nginx，那么继续往下看。实例环境：用户IP 120.22.11.11
java-判断二叉树是不是平衡 bylijinnan java
参考了 http://zhedahht.blog.163.com/blog/static/25411174201142733927831/ 但是用java来实现有一个问题。由于Java无法像C那样“传递参数的地址，函数返回时能得到参数的值”，唯有新建一个辅助类：AuxClass import ljn.help.*; public class BalancedBTree {
BeanUtils.copyProperties VS PropertyUtils.copyProperties 诸葛不亮 PropertyUtils BeanUtils
BeanUtils.copyProperties VS PropertyUtils.copyProperties 作为两个bean属性copy的工具类，他们被广泛使用，同时也很容易误用，给人造成困然；比如：昨天发现同事在使用BeanUtils.copyProperties copy有integer类型属性的bean时，没有考虑到会将null转换为0，而后面的业
[金融与信息安全]最简单的数据结构最安全 comsci 数据结构
现在最流行的数据库的数据存储文件都具有复杂的文件头格式，用操作系统的记事本软件是无法正常浏览的，这样的情况会有什么问题呢？从信息安全的角度来看，如果我们数据库系统仅仅把这种格式的数据文件做异地备份，如果相同版本的所有数据库管理系统都同时被攻击，那么
vi区段删除 Cwind linux vi 区段删除
区段删除是编辑和分析一些冗长的配置文件或日志文件时比较常用的操作。简记下vi区段删除要点备忘。 vi概述引文中并未将末行模式单独列为一种模式。单不单列并不重要，能区分命令模式与末行模式即可。 vi区段删除步骤： 1. 在末行模式下使用:set nu显示行号非必须，随光标移动vi右下角也会显示行号，能够正确找到并记录删除开始行
清除tomcat缓存的方法总结 dashuaifu tomcat 缓存
用tomcat容器，大家可能会发现这样的问题，修改jsp文件后，但用IE打开依然是以前的Jsp的页面。出现这种现象的原因主要是tomcat缓存的原因。解决办法如下: 在jsp文件头加上 <meta http-equiv="Expires" content="0"> <meta http-equiv="kiben&qu
不要盲目的在项目中使用LESS CSS dcj3sjt126com Web less
　如果你还不知道LESS CSS是什么东西，可以看一下这篇文章，是我一朋友写给新人看的《CSS——LESS》　　不可否认，LESS CSS是个强大的工具，它弥补了css没有变量、无法运算等一些“先天缺陷”，但它似乎给我一种错觉，就是为了功能而实现功能。　　比如它的引用功能 ? .rounded_corners{
[入门]更上一层楼 dcj3sjt126com PHP yii2
更上一层楼通篇阅读完整个“入门”部分，你就完成了一个完整 Yii 应用的创建。在此过程中你学到了如何实现一些常用功能，例如通过 HTML 表单从用户那获取数据，从数据库中获取数据并以分页形式显示。你还学到了如何通过 Gii 去自动生成代码。使用 Gii 生成代码把 Web 开发中多数繁杂的过程转化为仅仅填写几个表单就行。本章将介绍一些有助于更好使用 Yii 的资源：
Apache HttpClient使用详解 eksliang httpclient http协议
Http协议的重要性相信不用我多说了，HttpClient相比传统JDK自带的URLConnection，增加了易用性和灵活性（具体区别，日后我们再讨论），它不仅是客户端发送Http请求变得容易，而且也方便了开发人员测试接口（基于Http协议的），即提高了开发的效率，也方便提高代码的健壮性。因此熟练掌握HttpClient是很重要的必修内容，掌握HttpClient后，相信对于Http协议的了解会
zxing二维码扫描功能 gundumw100 android zxing
经常要用到二维码扫描功能现给出示例代码 import com.google.zxing.WriterException; import com.zxing.activity.CaptureActivity; import com.zxing.encoding.EncodingHandler; import android.app.Activity; import an
纯HTML+CSS带说明的黄色导航菜单 ini html Web html5 css hovertree
HoverTree带说明的CSS菜单:纯HTML+CSS结构链接带说明的黄色导航在线体验效果：http://hovertree.com/texiao/css/1.htm代码如下,保存到HTML文件可以看到效果： <!DOCTYPE html > <html > <head> <title>HoverTree
fastjson初始化对性能的影响 kane_xie fastjson 序列化
之前在项目中序列化是用thrift，性能一般，而且需要用编译器生成新的类，在序列化和反序列化的时候感觉很繁琐，因此想转到json阵营。对比了jackson，gson等框架之后，决定用fastjson，为什么呢，因为看名字感觉很快。。。网上的说法： fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器，来自阿里巴巴的工程师开发。
基于Mybatis封装的增删改查实现通用自动化sql mengqingyu DAO
1.基于map或javaBean的增删改查可实现不写dao接口和实现类以及xml，有效的提高开发速度。 2.支持自定义注解包括主键生成、列重复验证、列名、表名等 3.支持批量插入、批量更新、批量删除 <bean id="dynamicSqlSessionTemplate" class="com.mqy.mybatis.support.Dynamic
js控制input输入框的方法封装(数字，中文，字母，浮点数等) qifeifei javascript js
在项目开发的时候，经常有一些输入框，控制输入的格式，而不是等输入好了再去检查格式，格式错了就报错，体验不好。 /** 数字，中文，字母,浮点数(+/-/.) 类型输入限制，只要在input标签上加上 jInput="number,chinese,alphabet,floating" 备注：floating属性只能单独用*/ funct
java 计时器应用 tangqi609567707 java timer
mport java.util.TimerTask; import java.util.Calendar; public class MyTask extends TimerTask { private static final int
erlang输出调用栈信息 wudixiaotie erlang
在erlang otp的开发中，如果调用第三方的应用，会有有些错误会不打印栈信息，因为有可能第三方应用会catch然后输出自己的错误信息，所以对排查bug有很大的阻碍，这样就要求我们自己打印调用的栈信息。用这个函数：erlang:process_display (self (), backtrace).需要注意这个函数只会输出到标准错误输出。也可以用这个函数：erlang:get_s