CORS三问

码农0002025-01-06 21:31
复制代码 
Access to XMLHttpRequest at 'http://localhost:7777/dev-api/renren-fast/sys/login' from origin 'http://localhost:8001' 
has been blocked by CORS policy: 
Response to preflight request doesn't pass access control check: 
No 'Access-Control-Allow-Origin' header is present on the requested resource.

前端开发者经常会被这个问题困扰. 下面就来讲个这个问题.

  1. 是什么
  2. 为什么
  3. 怎么办
    3.1 vue
    3.2 nginx
    3.3 springmvc
    3.4 gateway

1. CORS本质

复制代码 
跨源资源共享(CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,
该机制通过允许服务器标示除了它自己以外的其他源(域、协议或端口),
使得浏览器允许这些源访问加载自己的资源。
跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,
该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。
在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

发生跨域的条件

简单来讲就是网络访问跨域了. 默认只能进行同源访问. 只要协议、主机、端口有一个不同, 就会跨域.

  1. http https 跨域
  2. baidu.com 39.156.66.10 域名\ip跨域
  3. 主域相同,子域不同 www.a.com script.a.com 跨域
  4. 测试的时候, localhost\127.0.0.1 也会出现跨域

允许跨域的请求---简单请求

并不是所有的跨域都会默认被拦截.

简单get、head、post(Content-Type 限定为text/plain、multipart/form-data、application/x-www-form-urlencoded)并且没有设置自定义请求头, 默认不会被拦截.

了解详情

跨域请求的交互方式

相对于简单请求, 跨域请求会先发送一个options请求.
相当于询问服务器, 我能进行XX请求吗? 请求地址、请求头(有点像函数签名)

针对options请求, 服务端添加一些特有的响应头.

2. 浏览器为什么要限制跨域

出于安全性,浏览器限制脚本内发起的跨源 HTTP 请求。

3. 解决方案

1. vue配置代理

这种在开发式比较常用, 一般在vue.config.js中配置

复制代码 
    module.exports = {
    devServer: {
        proxy: {
            '/proxyApi': {
              target: 'http://demo.renren.io/renren-fast/, // 目标服务器
                changeOrigin: true,   // 是否改变源
                pathRewrite: { '^/proxyApi': '' }  // 路径重写

            }

        }

    }

};

2. nginx 处理

部署在同一个域

将前端项目和后端项目放在一起,作为同一个域,当然不存在跨域的问题.

nginx 配置cors

复制代码 
    location /dev-api/ {
    # 预见请求,单独处理
		if ($request_method = 'OPTIONS') {
			add_header 'Access-Control-Allow-Origin' 'http://localhost:8001';
			add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
			add_header 'Access-Control-Allow-Credentials' 'true';
			add_header 'Access-Control-Allow-Headers' 'token,DNT,X-CustomHeader,Keep-Alive,
			User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type
			,Authorization';
			# add_header 'Access-Control-Allow-Headers' '*';  preflight response not support *.
			add_header 'Access-Control-Max-Age' 1728000;
			add_header 'Content-Type' 'text/plain charset=UTF-8';
			add_header 'Content-Length' 0;
			return 204;
		}
    # 其他请求  post  get  ...
	
  		proxy_pass http://127.0.0.1:18080/;
		
		add_header 'Access-Control-Allow-Origin' 'http://localhost:8001';

        add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';

		add_header 'Access-Control-Allow-Headers' '*'; # ok
		add_header 'Access-Control-Allow-Credentials' 'true';

  	}

根据项目不同会有不同的提示. 根据提示进行add_header参数的调整即可.
这个说的是options(preflight response)响应中 Access-Control-Allow-Headers 没有content-type.

这个说的是options(preflight response)响应中 Access-Control-Allow-Origin 没有设置.(ps. 这个只能写具体的域)

这个说的是options(preflight response)响应中 Access-Control-Allow-Headers 没有token.

重要的是不要紧张,一步步调试分析.

3. springmvc 配置

复制代码 
package io.renren.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
                .maxAge(3600);
    }
}

添加上述代码, 进行自动注入即可.

看网上的答案,有的没有写options方法,那肯定不对.

4. gateway 配置

对于使用gateway的项目, 需要将内部项目的cors配置去掉. 否则会进行重复添加.

添加如下代码,配置跨域.

复制代码 
package com.atguigu.gulimail.gateway.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.reactive.CorsWebFilter;
import org.springframework.web.cors.reactive.UrlBasedCorsConfigurationSource;

import java.util.Arrays;

@Configuration
public class CorsConfig {

    @Bean
    public CorsWebFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();

        // 允许的来源域名
        config.setAllowedOriginPatterns(Arrays.asList(
                "http://localhost:8001"  // 前端请求的域名
//            "https://localhost:10086" // 后端服务的域名
        ));
        // 允许的请求方法
        config.addAllowedMethod("*");

        // 允许的请求头
        config.addAllowedHeader("*");

        // 允许携带凭证(如 cookies)
        config.setAllowCredentials(true);

        // 允许的响应头
        config.addExposedHeader("*");

        // 预检请求的有效期
        config.setMaxAge(3600L);

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // 应用 CORS 配置到所有路径
        source.registerCorsConfiguration("/**", config);

        return new CorsWebFilter(source);
    }
}

参考内容

mozilla cors

谷粒商城

相关推荐
Gracemark12 小时前
高德地图-地图选择经纬度问题【使用输入提示-使用Autocomplete进行联想输入】(复盘)
vue.js
天下无贼13 小时前
【手写组件】 Vue3 + Uniapp 手写一个高颜值日历组件(含跨月补全+今日高亮+选中状态)
前端·vue.js
洋葱头_15 小时前
vue3项目不支持低版本的android,如何做兼容
前端·vue.js
奔跑的蜗牛ing15 小时前
Vue3 + Element Plus 输入框省略号插件:零侵入式全局解决方案
vue.js·typescript·前端工程化
最后一个农民工17 小时前
vue3实现仿豆包模版式智能输入框
前端·vue.js
艾小码20 小时前
Vue组件到底怎么定义?全局注册和局部注册,我踩过的坑你别再踩了!
前端·javascript·vue.js
wusp199421 小时前
项目实战——“微商城”前后台【005】之前台项目首页编写
vue.js·vant·底部导航栏
森林的尽头是阳光21 小时前
vue防抖节流,全局定义,使用
前端·javascript·vue.js
计算机毕业设计木哥21 小时前
计算机毕设选题推荐:基于Java+SpringBoot物品租赁管理系统【源码+文档+调试】
java·vue.js·spring boot·mysql·spark·毕业设计·课程设计
zero13_小葵司1 天前
Vue 3 前端工程化规范
前端·javascript·vue.js
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用04UV安装并设置国内源0546个Nano-banana 精选提示词,持续更新中06A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程07conda中设置镜像地址(附所有可换的地址)08KGG转MP3工具|非KGM文件|解密音频09保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)10突破百度网盘的下载限速,两种方法教会你【超详细】