自定义请求头导致跨域的解决办法

原创 于 2025-04-20 22:28:53 发布 · 332 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #java #springboot

本文仅是记录一下开发碰到的问题,不确定百分百有效。

跨域是什么意思?

跨域问题的根本原因在于浏览器的 同源策略(Same-Origin Policy)跨域资源共享(CORS,Cross-Origin Resource Sharing)机制 的限制

也就是你需要满足三点要求就不会跨域,任意一点不满足就会跨域

  • 协议相同(如 http 或 https)。
  • 域名相同(如 example.com)。
  • 端口号相同(如 80 或 443)。

通常来说跨域在配置文件继承WebMvcConfiguration的类中重写addCorsMappings方法就可以解决

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 对所有路径生效
                .allowedOriginPatterns("*")
                //.allowedOrigins("*") // 允许的域名
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许的 HTTP 方法
                .allowedHeaders("*") // 允许的请求头
                .allowCredentials(true) // 是否允许发送 Cookie
                .maxAge(3600); // 预检请求的有效期(单位:秒)
    }
  • 浏览器在发送跨域请求时,默认只允许使用以下标准请求头:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type(仅限于 application/x-www-form-urlencodedmultipart/form-data 和 text/plain 类型)
  • 如果前端在跨域请求中添加了自定义请求头(如 Access-TokenX-Custom-Header),浏览器会认为这是一个 非简单请求(Non-Simple Request)
  • 对于非简单请求,浏览器会在实际发送请求之前,先发送一个 预检请求(Preflight Request)(HTTP 方法为 OPTIONS),以确认服务器是否允许该请求
  • 只有当服务器返回正确的 CORS 响应头,允许这些内容时,浏览器才会继续发送实际请求
  • 如果服务器未正确处理预检请求(如未返回 Access-Control-Allow-Headers 或未允许自定义请求头),浏览器会拒绝发送实际请求,并抛出跨域错误

我也在继承WebSecurityConfigurerAdapter的配置类加上了configure方法,但仍然跨域

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
            .cors().and() // 显式启用 CORS 支持
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 放行 OPTIONS 请求
            .anyRequest().authenticated();
    }

最后解决办法是,定义了一个跨域过滤器

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @Author: Desmond
 * @CreateTime: 2025-04-20
 * @Description: 跨域过滤器
 */
@Component
public class CorsFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        // 允许的域名(根据实际需求修改)
        String origin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", origin); // 动态设置允许的域名
        response.setHeader("Access-Control-Allow-Credentials", "true"); // 允许携带凭据
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT, OPTIONS"); // 允许的 HTTP 方法
        response.setHeader("Access-Control-Max-Age", "3600"); // 预检请求的有效期
        response.setHeader("Access-Control-Allow-Headers", "Access-Token, Content-Type, Token, Origin, X-Requested-With, Accept"); // 允许的请求头

        // 处理 OPTIONS 请求(预检请求)
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK); // 返回 200 OK
            return;
        }

        // 继续处理其他请求
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化逻辑(如果需要)
    }

    @Override
    public void destroy() {
        // 销毁逻辑(如果需要)
    }
}

在setHeader中,添加自己的自定义请求头,重启服务发现前端携带请求头可以正常访问了。

自定义请求头(token等)后预检请求被服务器拒绝(报)的解决方法
XD_NML的博客
11-22 2664
起因:由于在自定义请求头后请求会从简单请求转变为复杂请求,(详情可以查看阮一峰先生的博客)复杂请求会提前发送一个预检请求与服务器进行沟通,大概类似于(预检请求:“我可以访问吗?”=>服务器:“可以” =>真实请求),这里有个坑,因为无论服务器是否允许请求,options请求(预检请求)的状态码反馈都是200ok,最开始没反应过来,服务器拒绝了options请求并且报,但是options请求一直都是200ok,导致一直在看真实请求的问题出在哪还有后端是不是没有配置。最简单的方法是看看op.
再遇CORS -- 自定义HTTP header的导致
HaythamXu的博客
09-09 2007
指路牌 后端配置好了,但是前端在HTTP header添加token后,又产生的问题 Flask、Vue(Axios)、 适用场景 前后端分离,想要使用token来管理登录状态,或调用后台接口 环境 平台无关 参考博客 axios 在header中配置token信息后,向后端请求会报的问题。但是用postman测试的时候没有什么问题。 这个问题的回答其实没有给出直...
网络请求自定义header导致问题
我的专栏
10-25 685
2.创建一个中间件配置文件,只要配置了中间件,Thinkphp5.1以上的版本中Controller里不用显示调用,系统默认会使用它。MyCrossDomain.php文件 在这里我添加了自己需要的header: “Code"我后端用的ThinkPhp,网上搜索了各种解决的配置,折腾了好久。后来在功能开发着,需要添加一个自定义的header,发现又出现报错。至此困扰我两天的添加自定义header引起的问题得以解决。我记得我的项目之前已经解决了问题。于是又开始一通摸索折腾。
Http自定义Header导致问题
08-04 561
Http自定义Header导致问题
ajax请求携带自定义请求头header(和同
爱吃红豆的猫
03-15 7067
1.ajax请求时是不会自动带上cookie的,要是想让他带上的话,必须设置withCredential为true。
[AJAX]原生AJAX——自定义请求头
weixin_61972561的博客
07-03 1481
[AJAX]原生AJAX——自定义请求头
9种常见的前端解决方案(详解)
热门推荐
zh0623的博客
03-25 3万+
文章转载自:9种常见的前端解决方案(详解)_慕课手记 (imooc.com) 一、什么是?   在前端中,是指浏览器允许向服务器发送请求,从而克服Ajax只能同源使用的限制。 什么是同源策略?   同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。   同源策略限
Springboot解决ajax+自定义headers的请求问题
10-16
导致了在处理请求时的一些挑战,尤其是在使用AJAX和自定义headers时。Spring Boot作为流行的Java后端框架,提供了优雅的解决方案来处理这类问题。 首先,我们来理解什么是是指一个下的文档或脚本...
java 请求问题解决方法实例详解
08-30
Java中,处理问题通常涉及修改响应头,以允许特定的请求。在提供的代码实例中,我们可以看到一个简单的实现方法: 1. 首先,创建一个名为Util的工具类,其中包含一个静态方法`SetHttpServletResponse`。...
在LayUI图片上传中,解决由问题引起的请求接口错误的方法
10-16
本文将介绍如何解决由问题引起的请求接口错误。 首先,我们需要理解的基本概念。(Cross-Origin)是指一个下的文档或脚本试图请求另一个下的资源,由于同源策略的限制,通常这是不允许的。同源策略...
【后端】请求携带未知请求头导致问题(后端配置无效)
weixin_43819028的博客
04-16 1354
配置了类,注解类的情况下请求后端接口携带自定义请求头导致问题
java post请求怎么自定义header
weixin_40918145的博客
06-17 3164
【代码】java post请求怎么自定义header。
uniapp学习日记之request自定义请求头
qq_50661854的博客
05-13 3599
uni.request在header添加自定义字段
自定义Header问题
MuNineyi的博客
05-23 2936
自定义 Header 问题需要在后台相关部分,添加上允许的自定义 Header 信息,否则会报403错误。 CORS org.apache.catalina.filters.CorsFilter cors.allowed.methods GET,POST,DELETE,PUT cors.allowed.headers <!--注意,若你
python post自定义请求头
weixin_41099547的博客
07-04 221
Python相关视频讲解:python的or运算赋值用法用python编程Excel有没有用处?011_编程到底好玩在哪?查看python文件_输出py文件_cat_运行python文件_shel如何实现Python中Post请求自定义请求头 作为一名经验丰富的开发者,我很高兴能够帮助你解决这个问题。在这篇文章中,我...
的五种最常见解决方案
tyxjolin的专栏
04-27 2917
CORS的工作原理是在客户端发起请求时,浏览器会发送一个OPTIONS请求(预检请求),该请求包含一些HTTP头信息,例如Origin、Access-Control-Request-Method、Access-Control-Request-Headers等。PostMessage的优点是安全可靠,可以通过开发者自己的脚本进行请求,不需要依赖服务器的支持。代理的工作原理是在同源策略允许的情况下,通过客户端发送请求给自己的服务器,然后服务器再将请求转发给目标服务器,并将响应返回给客户端。
img标签请求 添加自定义header(一)
a736755244的博客
01-11 8884
img标签请求 添加自定义header 图片鉴权 背景图是接口
Ajax请求问题及其解决方案
qq_51546137的博客
03-02 2923
我们的传统请求,比如说超链接、form表单,js代码以及直接在浏览器地址栏上写请求地址都不存在问题,能够从一个网站访问另外一个网站,但是我们的Ajax请求会存在问题,其主要是为了解决访问带来的安全隐患。因为浏览器中有一个内置对象XMLHTTPRequest。这个对象是每个网站不共享的,因此不能直接,这样设计是合理的,因为一旦共享该对象,这个对象有一个responseTest属性,那么你的网站就能通过该对象的这个属性拿到我的网站里面的信息,这是不安全的,因此Ajax不能直接
自定义http请求头
最新发布
01-03
### 自定义HTTP请求头的方法 #### 使用PHP的CURL库添加自定义请求头 在PHP中,可以利用`curl_setopt()`函数来配置cURL会话选项。为了向HTTP请求添加自定义头部信息,需使用`CURLOPT_HTTPHEADER`这个常量作为第一个参数传递给该函数,并且第二个参数应该是一个数组,其中包含了要附加到请求上的各个头部字段及其对应的值。 ```php <?php $ch = curl_init(); curl_setopt($ch, CURLOPT_URL,"http://example.com"); curl_setopt($ch, CURLOPT_POST, 1); // 设置自定义请求头 curl_setopt($ch, CURLOPT_HTTPHEADER, array( "Content-Type: application/json", "Authorization: Bearer YOUR_ACCESS_TOKEN" )); curl_exec ($ch); curl_close ($ch); ?> ``` 此代码片段展示了如何创建一个新的cURL资源,指定目标网址以及POST方法之后,通过调用`curl_setopt()`设置了两个自定义请求头:“Content-Type”和“Authorization”。最后执行请求并关闭连接[^1]。 #### Nginx处理带有自定义标头的请求 当客户端发出含有自定义标头的HTTP请求到达Nginx时,这些额外的数据会被当作标准的一部分被解析出来。假设服务器接收到一封电子邮件形式的HTTP请求,在其信封(即请求头部分)里发现了一些特殊的备注——也就是所谓的自定义标头,则Nginx能够识别它们并将之转发至后端应用服务去进一步处理。不过需要注意的是,默认情况下某些特定名称开头的标头可能会受到保护而不允许直接修改或新增;对于其他类型的自定义标头则通常不会存在问题[^2]。 #### 解决资源共享(CORS)问题下的自定义请求头 如果遇到因为尝试添加自定义请求头导致浏览器抛出关于源资源共享策略(Cross-Origin Resource Sharing, CORS)方面的错误提示,这往往是因为响应首部缺少必要的权限声明所致。具体来说,就是在预检请求(Preflight Request)阶段未能获得来自服务器端授予访问控制列表(`Access-Control-Allow-Headers`)内所列明的相关项许可之前,任何试图携带未经认可的自定义字段发起的实际数据传输都将遭到阻止。因此解决办法是在服务器返回的内容里面加入适当范围内的授权说明: ```apacheconf header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Custom-Header"); ``` 上述指令告知浏览器哪些种类的自定义请求头是可以接受的,从而使得前端应用程序能够在不违反安全规定的情况下成功提交包含此类元数据在内的网络请求[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Desamond

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值