跨域问题为什么只出现在前端?后端没有跨域问题

转载 已于 2023-02-03 14:58:07 修改 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
原文链接:https://www.jianshu.com/p/febbbfddeb95
文章标签:

#前端 #vue.js #javascript

于 2022-09-02 09:01:13 首次发布
本文详细阐述了浏览器的同源策略,解释为何它限制跨域访问,以及为何只在前端出现。通过实例说明了协议、主机和端口号不同导致的跨域,并探讨了其背后的安全考量。

跨域:协议/主机/端口号,这三个条件其中一个不一样,就属于跨域

跨域其实是遵循浏览器的一个同源策略,如上图三部分,有一样不一样就违反了同源策略,那浏览器为什么要有这个同源策略呢?当然是为了安全考虑,阻止恶意的攻击,减少可能被攻击的媒介。不遵循同源规则的,不允许访问。
http://store.company.com/dir2/other.html 同源 只有路径不同
http://store.company.com/dir/inner/another.html 同源 只有路径不同
https://store.company.com/secure.html 失败 协议不同
http://store.company.com:81/dir/etc.html 失败 端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html 失败 主机不同

那问什么只出现在前端呢?

因为这个同源策略是浏览器制定的规则,浏览器属于客户端。
例如你在浏览器的地址栏中输入你要访问的url地址,
1.浏览器首先经过DNS把你的域名转换成IP地址,
2.浏览器发送http请求,生成针对目标web服务的http报文,把这个http://10.122.23.165:8080/spa/index.html地址带上,请给我这个地址的资源
3.找到这个目标IP的服务器后,目标服务器会返回一个响应,若拒绝,则浏览器会报一个跨域的错误。后端服务器只是接受到请求后,判断这个请求是否合理,做出响应返回给服务器,所以后端不会存在跨域问题。
跨域的实质就在于看你浏览器地址栏中的:协议://域名:端口号 是否和你发起请求的协议:// 域名:端口号是否一致,若不一致就是跨域

cmmsgwcpd
关注
关于后端允许后,axios的post请求仍显示问题
小小前端
12-12 3303
文章目录问题解决 问题 我们后端 PHP 已经设置了允许: header("Access-Control-Allow-Origin: *"); header('Access-Control-Allow-Methods:POST, GET, OPTIONS'); 但我们用 axios 进行 post 请求时仍会显示 axios.post("请求路径",{ name: 'zhangsan...
前端后端问题
01-02
原因:  浏览器限制  名,端口,协议,ip不一样)  在使用XMLHTTPRequest对象发送HTTP请求时,会遇到同源策略问题不同请求会被浏览器拦截。
关于问题前端还是后端负责的问题
cabbageboiling的博客
02-15 2496
是为了为了保护本地数据不被JavaScript代码获取回来的数据污染 这个就是同源策略
什么是前后端问题
weixin_30896511的博客
07-12 623
是浏览器不能执行其他网站的脚本。它是由浏览器的同源(名,协议,端口)策略造成的,是浏览器对JavaScript施加的安全限制。 当前端调用处于不同名或者端口的时候,就会出现问题。 这里说的是针对于浏览器,如果不是浏览器向服务器进行交互就不会出现问题。 可以理解是浏览器的url栏与服务器之间路由不同造成的。 分为几种情况: 服务器与浏览器...
问题(前后端分离)
m0_63154316的博客
02-25 522
后端分离、问题
前端请求出现,明明后端已经解决了?
zulvyinggaitong的博客
08-15 2297
问题 问题的解决前端后端都有,我觉得最简单的还是后端解决。比如 koa 中一个 koa-cors 插件就能解决。具体产生原因以及解决原理在此不细说…… 后端已经解决但是前端请求时仍报错误 将写好的项目部署到服务器上,后端采用的是 koa ,用的 koa-cors。明明后端已经解决了但是请求时还是给我报错误,这种 google 是很难搜到的,反正我没搜到…… 经过一番排查问题,我发现是因为后端没有启动的原因。可是 pm2 明明显示开启状态。就是这里迷惑了我。我改完nginx配置
关于后端问题
m0_64633707的博客
09-05 230
所谓同源:URL是由协议、名、端口和路径组成的,如果两个URL的协议、名和端口是相同,那么就是同源的。是浏览器上为安全性考虑实施的非常重要的安全策略,即从一个上加载的脚本不允许访问另外一个的文档属性。不允许发起访问不是浏览器限制了发起请求,而是发起请求后,返回的结果被浏览器拦截了。1、使用@CrossOrigin注解,在类或者方法上添加注解,而不需要配置。2、实现WebMvcConfigurer接口。
java问题
weixin_51109090的博客
08-09 340
简介 也就是 非同源策略请求 那么同源策略请求有 ajax、fetch 如果 区分 是否会 需要 协议,名,端口号一致就是同源,只有有一个不同就是 1. 修改hosts文件 2. Jsonp 首先需要了解 script img link lframe 不存在请求的限制 例如 cdn 第一步 在 客户端使用script标签 发送一个路径去访问服务端,这个路径后面写参数用?拼接 callback=func(),向服务器发请求,同时会把本地的一个函数传递给服务器,服务器接收到客户端的请求
后端允许后,前端访问仍然存在问题
qq_45634989的博客
07-07 8822
后端允许后,前端访问仍然存在问题
后端使用@CrossOrigin页面还显示问题
Ron_的博客
01-27 1万+
后端使用@CrossOrigin页面还显示问题?错误信息如下:解决方案:原因: 前后端分离项目,后端设置的允许的代码,到前端调试界面的时候还显示了不允许。 错误信息如下: Access to XMLHttpRequest at‘http://localhost:8000/carInfo/carCondition/1/4’ from origin‘http://localhost:9528’ has been blocked by CORS policy: Response to preflig
问题(纯前端解决,纯后端解决,webservice解决)
2023年目标:“禅师与青年的技术尬聊”系列更新100篇
12-04 2万+
青年:最近项目中遇到了问题,我这边解决的方式是jsonp前后端配合,大师是否还有其他的解决方式? 禅师:是浏览器对同源策略的保护,主流的方式的确是需要前后端配合解决,但是业务需求有千百种,解决方法也应适应业务需求。如果后端服务本身是调取的第三方服务,这种情况下只能纯前端解决了。 青年:纯前端解决?名不同,协议不同,端口不同都会产生问题,摆在前端面前的就是这几种情况之一,这不就是薅...
Chrome出现CORS,后台代码解决了但是还是问题
weixin_45960525的博客
08-11 4473
在高版本的Chrome下,浏览器默认是开启Block insecure private network requests.这个选项的。也就是默认禁止请求,所以在访问一些没有符合最新标准的老网站时,可能会发现出现如图所示的CORS请求错误,从而导致不能正确打开该网站。3、在目标输入框尾部加上 --disable-web-security --user-data-dir=C:\MyChromeDevUserData。将Default改成Disabled,此时浏览器会提示你重启,点击重启按钮即可。...
神坑——后端允许了但是前端vue3+vite+axios)仍然提示
lsjweiyi的博客
05-08 1万+
这个问题坑了我整整一个晚上。·这明明是个非常常见的问题,我自己也遇到好多次了,以前都是后端允许就可以了。但是这次就是不行! 首先晚上最多的方案是用代理,例如这篇:https://blog.csdn.net/admin_web/article/details/121924527 我一晚上也主要在按照这些方法去尝试,但是我努力一个晚上,都不行,一直怀疑是自己的姿势不对!最后在快要放弃前(12点多,不清醒了),瞎猫碰上死耗子,居然解决了。 不是配置问题! PS:我的后端用go写的,这里也贴一下我的允许
后端解决
qq_58363479的博客
06-25 2012
CORS 其实是浏览器制定的一个规范,浏览器会自动进行 CORS 通信,它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器 上声明了允许 A 的名访问,那么从 A 到 B 的请求就可以完成。也就是说,两个服务器直接进行请求是可以进行数据请求的。复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许请求
后端交互系列之问题
zxdznyy的博客
04-03 1231
我们在做前后端交互的时候,会遇到问题。本节内容将带领读者了解什么是问题,以及问题的解决方法。
请求后端收到吗?
Mjh20180341121的博客
01-10 1929
请求问题
后端配置了配置前端访问还是提示
陌子曦的专栏
10-21 5088
解决
后端分离的问题
热门推荐
小夏陌的博客
02-20 4万+
问题原因 在现在流行的前后端分离开发中,问题突显了出来,问题的根本原因:浏览器有同源策略限制,当前名的js只能读取同下的窗口属性,这是一个基础安全功能。那么什么是同源策略呢?即两资源的URL中 协议,名,端口,都相同则称为同源,若两资源为不同源,则不允许共享资源的。 例如:以http://www.baidu.com/dir1/a.html为例子 请求地址 结果 原因 http://www.baidu.com/dir1/b.html 成功 同一名端口,相同文件夹 htt
前端(Vue),和后端(springboot)解决问题
m0_53428367的博客
11-14 1121
前端(Vue),和后端(springboot)解决问题
HBuiderX 内置浏览器 为什么会出现问题
最新发布
05-06
<think>好的,用户现在遇到了HBuilderX内置浏览器的问题,需要了解原因和解决方法。我需要根据提供的引用资料来整理回答。首先,问题通常是因为浏览器的同源策略,这在引用3中提到过。然后,用户可能是在开发时前端后端不同源,比如端口不同,导致内置浏览器报错。 接下来,解决方案需要参考各个引用。引用1提到确保CORS头部正确,引用4和5分别提到了HBuilderX的代理配置和Chrome的启动参数。不过用户的问题是关于内置浏览器的,可能需要调整项目配置。比如在manifest.json里设置代理,或者修改后端支持CORS。另外,引用2提到分辨率问题,但可能和无关,不过用户的问题明确是,所以这部分可能不需要。 用户可能已经尝试过重新安装或调整插件,但没效果,所以需要直接解决的方法。需要分步骤说明,比如后端配置CORS、前端代理设置,或者临时禁用安全策略。同时要注意内置浏览器的特殊性,可能需要不同的处理方式。还要提醒用户只在浏览器环境存在,引用3也提到了这点。 最后,生成相关问题时要围绕的原因、其他解决方式、HBuilderX的其他问题关联等。确保回答结构清晰,步骤明确,引用正确的来源。</think>### HBuilderX内置浏览器问题解析 #### 一、问题原因 HBuilderX内置浏览器出现问题的核心原因是浏览器的同源策略限制。当使用$http://localhost:端口号$访问接口时,若前端项目与后端服务存在以下差异即会触发: 1. 协议不同(如http与https) 2. 名不同(如localhost与api.domain.com) 3. 端口不同(如8080与3000)[^3] #### 二、解决方案指南 **方案1:后端配置CORS** 在后端框架中添加响应头: ```python # Django示例 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ] CORS_ALLOW_ALL_ORIGINS = True # 开发环境临时使用 ``` 需特别注意生产环境应指定具体名[^1] **方案2:前端代理配置** 在HBuilderX项目的manifest.json中配置代理: ```json "h5": { "devServer": { "proxy": { "/api": { "target": "https://your-api-domain.com", "changeOrigin": true, "secure": false } } } } ``` 此方法通过请求路径重定向规避检测[^4] **方案3:浏览器安全策略绕过**(仅开发环境) 对于独立Chrome浏览器可添加启动参数: ```shell chrome.exe --disable-web-security --user-data-dir=/custom/path ``` 但该方法不适用于HBuilderX内置浏览器[^5] **方案4:修改接口响应头** 确保服务端返回有效CORS头: ```http Access-Control-Allow-Origin: * Access-Control-Allow-Methods: GET,POST Access-Control-Allow-Headers: Content-Type ``` #### 三、特殊注意事项 1. 内置浏览器与外部浏览器策略差异:HBuilderX内置浏览器基于Electron框架,其安全策略与标准浏览器存在差异 2. 调试工具定位:通过开发者工具(F12)的Network标签查看完整请求头和响应头 3. 临时解决方案:可暂时使用内置浏览器访问$chrome://flags/#block-insecure-private-network-requests$并禁用相关安全策略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值