【跨域问题】

秋夜白2025-01-08 9:13

跨域问题

官方概念:

复制代码 
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

本质来说,是前端请求给到后端时候,请求头里面,有一个 Origin ,会带上 协议域名端口号等;后端接受到请求;如果没有在"返回头"里面放上"一些东西",返回的时候,浏览器根据"同源策略",就不会接受到返回;

注意:

shell 复制代码 
Sec-Fetch-Site 头部有几个可能的值:
	same-origin: 请求源和目标是同一个站点
	same-site: 请求源和目标在同一个站点组(比如 sub1.example.com 和 sub2.example.com)
	cross-site: 跨站点请求
	none: 请求不是由网站发起的(比如用户直接在地址栏输入URL)

我们来看两个例子:

这张是微博的任意页面刷新出来的东西:

这一个请求就没有跨域啥的,

然后我们看一个 B站的例子:

其实涉及到两个概念:

Origin是发出方。Host是目的地:这里可以看上面请求里B站的Host

解决

后端,返回的头里加上一个允许标记:给放过;

代码仅供参考,实际要根据业务需求情况,还有一些其他配置,这里关注:config.addAllowedOrigin("http://localhost:3000");

java 复制代码 
// 方案1:后端配置 CORS(跨域资源共享)
@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        
        // 生产环境应该明确指定允许的域名
        config.addAllowedOrigin("https://www.your-domain.com");
        // 如果有多个域名,可以分别添加
        config.addAllowedOrigin("https://admin.your-domain.com");
        
        // 明确指定允许的请求方法,而不是使用 "*"
        config.addAllowedMethod("GET");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("DELETE");
        
        // 明确指定允许的头部,而不是使用 "*"
        config.addAllowedHeader("Authorization");
        config.addAllowedHeader("Content-Type");
        
        // 是否允许发送Cookie
        config.setAllowCredentials(true);
        
        // 预检请求的有效期,单位为秒
        config.setMaxAge(3600L);
        
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/api/**", config);
        
        return new CorsFilter(source);
    }
}

从前端也可以处理,生产环境的话,可以在Nginx里面配置

shell 复制代码 
server {
    listen 80;
    server_name example.com;

    # 前端静态文件
    location / {
        root /path/to/dist;
        try_files $uri $uri/ /index.html;
    }

    # 后端 API 代理
    location /api {
        # 跨域配置
        add_header Access-Control-Allow-Origin '*';  # 生产环境建议配置具体域名
        add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
        add_header Access-Control-Allow-Headers 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
        
        # 处理 OPTIONS 预检请求
        if ($request_method = 'OPTIONS') {
            return 204;
        }

        # 反向代理配置
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

时光海海,日常焦虑 🍀,加油

相关推荐
夜焱辰6 小时前
浏览器端 Agent 的文件版本管理:不用 Git,基于 OPFS + SQLite 自己造了一个
前端·人工智能
梦想的颜色6 小时前
TypeScript 完全指南(下):从类型体操到生产级配置
前端·javascript·typescript
刀法如飞7 小时前
AI时代:DDD领域驱动建模与Ontology语义建模的区别
java·设计模式·架构
jeffer_liu7 小时前
Spring AI 生产级实战:工具调用
java·人工智能·后端·spring·ai编程
比昨天多敲两行7 小时前
linux 线程概念与控制
java·开发语言·jvm
8Qi87 小时前
LeetCode 75:颜色分类(荷兰国旗问题)—— Java 题解 ✅
java·算法·leetcode·指针·排序
zzhongcy7 小时前
@Transactional 同类内部调用失效 + 两种自代理解决方案
java
AutumnWind04208 小时前
【Intelij IDEA使用手册】
java·ide·intellij-idea
Hi~晴天大圣8 小时前
npm使用介绍
前端·npm·node.js
888CC++9 小时前
如何在 C 语言中进行程序调试?
前端·javascript·算法
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03Codex 下载安装指南:Windows 和 macOS 官方版下载04Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复05【AI】2026 年具身智能模型和世界模型总结06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法