51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

瞧瞧别人家的跨域方案,那叫一个优雅!

作者:苏三
开发 后端
很多小伙伴第一次遇到跨域问题,大概率会一脸懵逼:“我后端接口明明通了,Postman也能调,为啥浏览器就报红字?”

1 什么是跨域问题?

很多小伙伴第一次遇到跨域问题,大概率会一脸懵逼:“我后端接口明明通了,Postman也能调,为啥浏览器就报红字?”

图片图片

其实这事儿得怪浏览器的“同源策略”(Same-Origin Policy)。

简单说,浏览器觉得“不同源的请求都是耍流氓”。

比如你的前端跑在http://localhost:8080。

而后端在https://api.xxx.com:8000。

只要协议域名端口任何一个不同,就会被浏览器直接掐断。

举个栗子🌰:

// 前端代码(http://localhost:8080)
fetch('http://api.xxx.com:8000/user')
  .then(res => res.json())
  .then(data => console.log(data));  
// 浏览器控制台报错:  
// Access to fetch from 'http://localhost:8080' has been blocked by CORS policy...
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

这时候,你就需要“跨域解决方案”来帮浏览器松绑了!

那么,如何解决跨域问题呢?

2 解决跨域问题的方案

2.1 CORS(跨域资源共享)

适用场景:前后端分离项目、接口需要兼容多种客户端。

CORS是W3C标准,后端只需在响应头里加几个字段,告诉浏览器“这个接口我允许谁访问”。

后端代码示例(Spring Boot版):

// 方法1:直接怼注解(适合单个接口)
@CrossOrigin(origins = "http://localhost:8080")
@GetMapping("/user")
public User getUser() { ... }

// 方法2:全局配置(一劳永逸)
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://localhost:8080")
                .allowedMethods("*")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(3600);
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.

关键响应头:

  • Access-Control-Allow-Origin: http://localhost:8080(允许的源)
  • Access-Control-Allow-Methods: GET,POST(允许的方法)
  • Access-Control-Allow-Credentials: true(允许带Cookie)

注意坑点:

  • 如果用了allowCredentials(true)allowedOrigins不能为*(必须明确指定域名)。
  • 复杂请求(比如Content-Type是application/json)会先发一个OPTIONS预检请求,记得处理!

2.2 JSONP

适用场景:老项目兼容、只支持GET请求(比如调用第三方地图API)。

JSONP利用**<script>标签没有跨域限制**的特性,让后端返回一段JS代码。

前端代码:

function handleUserData(data) {
    console.log("收到数据:", data);
}

// 动态创建script标签
const script = document.createElement('script');
script.src = 'http://api.xxx.com:8000/user?callback=handleUserData';
document.body.appendChild(script);
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.

后端代码:

@GetMapping("/user")
public String jsonp(@RequestParam String callback) {
    User user = new User("Tony", 30);
    // 把数据包进回调函数里
    return callback + "(" + new Gson().toJson(user) + ")";
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

输出结果:

handleUserData({"name":"Tony","age":30})
  • 1.

缺点:

  • 只支持GET(传参长度有限)。
  • 容易被XSS攻击(毕竟得信任第三方脚本)。

2.3 Nginx反向代理

适用场景:生产环境部署、微服务网关统一处理。

直接把跨域问题甩给Nginx,让浏览器以为所有请求都是同源的。

Nginx配置示例:

server {
    listen 80;
    server_name localhost;

    location /api {
        # 转发到真实后端
        proxy_pass http://api.xxx.com:8000;
        # 解决跨域
        add_header 'Access-Control-Allow-Origin' 'http://localhost:8080';
        add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'Content-Type';
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.

此时前端请求地址改成同源:

fetch('/api/user')  // 实际访问 http://localhost/api/user → 被Nginx转发
  • 1.

优点:

  • 前后端代码零侵入。
  • 能隐藏真实接口地址(安全加分)。

2.4 网关层统一处理

适用场景:Spring Cloud Gateway、Kong等API网关。

和Nginx思路类似,但更适合微服务场景,直接在网关层加CORS配置。

Spring Cloud Gateway配置:

spring:
  cloud:
    gateway:
      globalcors:
        cors-configurations:
          '[/**]':
            allowed-origins: "http://localhost:8080"
            allowed-methods: "*"
            allowed-headers: "*"
            allow-credentials: true
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

2.5 WebSocket

适用场景:实时通信需求(聊天室、股票行情)。

WebSocket协议没有跨域限制(因为握手阶段走HTTP,后续升级为长连接)。

前端代码:

const socket = new WebSocket('ws://api.xxx.com:8000/ws');
socket.onmessage = (event) => {
    console.log('收到消息:', event.data);
};
  • 1.
  • 2.
  • 3.
  • 4.

后端代码(Spring Boot):

@Configuration
@EnableWebSocket
public class WebSocketConfig implements WebSocketConfigurer {
    @Override
    public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) {
        registry.addHandler(new MyWebSocketHandler(), "/ws");
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.

2.6 PostMessage

适用场景:页面与iframe、弹窗之间的跨域通信。

通过window.postMessage实现不同窗口间的数据传递。

父页面(http://parent.com):

const childWindow = window.open('http://child.com');
childWindow.postMessage('我是你爹', 'http://child.com');
  • 1.
  • 2.

子页面(http://child.com):

window.addEventListener('message', (event) => {
    if (event.origin !== 'http://parent.com') return; // 验证来源
    console.log('收到爹的消息:', event.data);
});
  • 1.
  • 2.
  • 3.
  • 4.

总结

  • 简单粗暴:开发环境用CORS注解。
  • 生产环境:优先Nginx/网关统一处理,避免每个服务配一遍。
  • 老项目兼容:JSONP勉强能用,但别长期依赖。
  • 实时场景:直接上WebSocket,顺便解决通信问题。
  • 安全第一:Access-Control-Allow-Origin尽量别写*,白名单要用精确域名。

最后提醒温馨提醒一下:跨域问题本质是浏览器行为,和HTTP协议无关。

如果你用Postman,发送curl请求,测试没问题,但浏览器报错,别怀疑人生,这可能是前端的锅!


责任编辑:武晓燕 来源: 苏三说技术
跨域方案浏览器报错
相关推荐
瞧瞧别人家Controller,那叫一个优雅
一般的API接口的逻辑都是同步处理的,请求完之后立刻返回结果。但有时候,我们的API接口里面的业务逻辑非常复杂,特别是有些批量接口,如果同步处理业务,耗时会非常长。

2024-11-12 08:20:31

瞧瞧别人家异常处理,那叫一个优雅
在我们日常工作中,经常会遇到一些异常,比如:NullPointerException、NumberFormatException、ClassCastException等等。那么问题来了,我们该如何处理异常,让代码变得更优雅呢?

2024-10-24 08:21:33

瞧瞧别人家API接口,那叫一个优雅
API接口的网关服务,获取到该sign值,然后用相同的请求参数+时间戳+密钥拼接成一个字符串,用相同的m5算法生成另外一个sign,对比两个sign值是否相等。

2022-12-12 08:14:47

瞧瞧别人家参数校验,那叫一个优雅
在SpringBoot中,我们可以使用HibernateValidator(BeanValidation的参考实现)来实现参数校验。它的核心思路是:把校验逻辑从业务代码里抽离出来,用注解的方式声明校验规则。

2024-12-02 00:59:30

Spring
看看人家那后端API接口写得,那叫一个优雅
在移动互联网,分布式、微服务盛行的今天,现在项目绝大部分都采用的微服务框架,前后端分离方式。

2020-11-03 16:00:33

API接口微服务框架编程语言
nodejs抓取别人家页面的始末
2015年9月份全国研究生数学建模竞赛的F题,旅游线路规划问题。其中需要自己去查很多数据。例如所给201个5A级景区的位置,以及景区距离所在省会距离等等~开始队友小伙伴准备从百度手动去一个一个查询,但是效率极低,在这么短的时间内,需要收集这么多数据是多么的耗时,并且也不能把大把时间花费在查资料上,虽然说查资料是必须的,题目也鼓励我们从网上...

2015-09-24 09:22:16

nodejs页面始末
种售后,叫“别人家售后”
常有客户提出需求,要更换部分包括服务器、存储和网络在内的IT设备。项目不大,但对于戴尔而言,客户需求绝不仅仅就是“IT要采购几台设备”那么简单。

2017-11-12 21:32:52

戴尔
【专题】有种 Docker 叫别人家 Docker
如今Docker需要的是更多的人将容器部署到生产环境,而且是大批人在部署。想在生产环境下得到更广泛的使用,我们就需要解决本提到的一些问题,以便让Docker的优点明显压倒缺点。本专题精选Docker部署在生产环境下的成功案例,带大家一起看看,别人家的Docker是怎么干活儿的。

2016-01-08 09:49:19

DockerDocker案例云应用开发
瞧瞧人家那后端API接口写得多优雅
在移动互联网,分布式、微服务盛行的今天,现在项目绝大部分都采用的微服务框架,前后端分离方式。

2020-11-17 09:34:31

API接口后端
别人家大学:大数据帮学生找室友
利用科学技术的发展,进行大数据的挖掘,让我们以前许多想得到却做不了的事情都变成了现实。不过,在我看来,南京大学的做法还可以再进一步。毕竟目前匹配的依据还都是学生生活习惯方面的调查统计,而如果今后能增加学生性格特点的考量,那么会让匹配的结果更为精准。

2017-09-22 13:22:59

大数据南京大学宿舍
MyBatis批量插入数据优化,那叫一个优雅
我们使用了mybatisplus框架,并采用其中的saveBatch方法进行批量数据插入。然而,通过深入研究源码,我发现这个方法并没有如我期望的那样高效。

2023-12-30 20:04:51

MyBatis框架数据
京东全员涨至16薪,网友:别人家老板
7月初,因雷军5天砸了40亿元人民币多次上热搜。一周内如此密集地发布激励计划,这在整个互联网发展史上都罕见!也引发了众多网友的羡慕......

2021-07-14 06:31:08

京东互联网加薪
别人家团队怎么用RabbitMQ:我总结5点规范
大概从2013年开始,我就开始了自己和RabbitMQ的接触,到现在已经有七年多了。在这七年中,既有一些对RabbitMQ的深度体验,更有无数的血泪史。

2021-01-20 05:42:27

RabbitMQMQ vhost
别人家车厂”2.5分钟下线辆汽车 急需呼唤神龙!
戴尔的高性能计算解决方案——我们眼中的“利器”不但是为中国汽车生产制造贡献了一份力量,同时还在众多如气象地震分析、石油勘探、基因工程、动漫特技渲染、生物制药等涉及国家科技及普及民生的众多领域,承担了技术改良和发展的责任。

2017-06-13 14:15:51

戴尔协同计算汽车神话
考分出来了,看看别人家孩子成绩单吧
戴尔易安信服务器、存储火热大促!多品类服务器钜惠出击!低至三六折!硬盘换闪存1:1促销,买普通存储,免费升级全闪,不加价!

2019-06-11 09:35:50

戴尔
别人家程序员:如何克服骗子综合症,避开自我怀疑陷阱
骗子综合症(ImpostorSyndrome)困扰着很多人,即使他们在某些方面取得了成功,却把成功归因于外部因素,否定了自身做出的努力。对于程序员来说,他们该如何克服骗子综合症,避开自我怀疑的陷阱,让自己变成一个自信的大神

2017-12-25 11:24:57

程序员代码编程
这个认证解决方案真的优雅
JWT,是目前最流行的一个跨域认证解决方案:客户端发起用户登录请求,服务器端接收并认证成功后,生成一个JSON对象,然后将其返回给客户端。

2022-03-01 09:31:06

JWTSession跨域
从大厂挖来架构师,Kafka参数调优做那叫一个优雅,学到了
这篇文章我们还是采用老规矩画图的形式,来聊聊Kafka生产端一些常见参数的设置,让大家下次看到一些Kafka客户端设置的参数时,不会再感到发怵。

2022-09-26 19:10:45

Kafka架构
图解|一个问题给我整懵了
由于是前后端分离的项目,所以前后端实际上会运行在不同的域名上。如果是在本地开发,前后端也会分别部署在不同的端口。

2021-12-09 11:31:16

跨域后端开发
详解及Spring Boot 3中解决方案
跨域访问问题指的是在客户端浏览器中,由于安全策略的限制,不允许从一个源(域名、协议、端口)直接访问另一个源的资源。当浏览器发起一个跨域请求时,会被浏览器拦截,并阻止数据的传输。

2024-05-20 09:28:44

Spring客户端浏览器
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服