springmvc解决跨域问题

最新推荐文章于 2023-05-12 13:55:41 发布
最新推荐文章于 2023-05-12 13:55:41 发布
阅读量303 收藏
点赞数
分类专栏: 工作 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langqiao123/article/details/79109467
版权

第一种方法:

跨域实现类

[java]  view plain  copy
  1. package com.sq.filter;  
  2.   
  3. import org.springframework.stereotype.Component;  
  4.   
  5. import javax.servlet.*;  
  6. import javax.servlet.http.HttpServlet;  
  7. import javax.servlet.http.HttpServletResponse;  
  8. import java.io.IOException;  
  9.   
  10.   
  11. @Component  
  12. public class AccessFilter extends HttpServlet implements Filter {  
  13.   
  14.     private static final long serialVersionUID = 1L;  
  15.   
  16.   
  17.     @Override  
  18.     public void init(FilterConfig filterConfig) throws ServletException {  
  19.   
  20.     }  
  21.   
  22.     @Override  
  23.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  
  24.   
  25.         HttpServletResponse httpResponse = (HttpServletResponse) response;  
  26.         httpResponse.setHeader("Access-Control-Allow-Origin""*");  
  27.         httpResponse.setHeader("Access-Control-Allow-Methods""GET, POST, PUT, DELETE");  
  28.         httpResponse.setHeader("Access-Control-Max-Age""1800");  
  29.         httpResponse.setHeader("Access-Control-Allow-Headers""Origin, X-Requested-With, Content-Type, Accept");  
  30.         httpResponse.setHeader("Access-Control-Allow-Credentials""true");  
  31.         chain.doFilter(request, httpResponse);  
  32.     }  
  33. }  
web.xml配置
[html]  view plain  copy
  1. <filter>  
  2.          <filter-name>cros</filter-name>  
  3.          <filter-class>com.sq.filter.AccessFilter</filter-class>  
  4.      </filter>  
  5.      <filter-mapping>  
  6.          <filter-name>cros</filter-name>  
  7.          <url-pattern>/*</url-pattern>  
  8.      </filter-mapping>  




第二种方法:

cros跨域配置

原创  2016年05月04日 14:00:49

前端应用为静态站点且部署在http://web.xxx.com域下,后端应用发布REST API并部署在http://api.xxx.com域下,如何使前端应用通过AJAX跨域访问后端应用呢?这需要使用到CORS技术来实现,这也是目前最好的解决方案了。

[CORS全称为Cross Origin Resource Sharing(跨域资源共享),服务端只需添加相关响应头信息,即可实现客户端发出AJAX跨域请求。]

CORS技术非常简单,易于实现,目前绝大多数浏览器均已支持该技术(IE8浏览器也支持了),服务端可通过任何编程语言来实现,只要能将CORS响应头写入response对象中即可。

下面我们继续扩展REST框架,通过CORS技术实现AJAX跨域访问。

首先,我们需要编写一个Filter,用于过滤所有的HTTP请求,并将CORS响应头写入response对象中,代码如下:

[java]  view plain copy
  1. public class CorsFilter implements Filter {  
  2.   
  3.     private String allowOrigin;  
  4.     private String allowMethods;  
  5.     private String allowCredentials;  
  6.     private String allowHeaders;  
  7.     private String exposeHeaders;  
  8.   
  9.     @Override  
  10.     public void init(FilterConfig filterConfig) throws ServletException {  
  11.         allowOrigin = filterConfig.getInitParameter("allowOrigin");  
  12.         allowMethods = filterConfig.getInitParameter("allowMethods");  
  13.         allowCredentials = filterConfig.getInitParameter("allowCredentials");  
  14.         allowHeaders = filterConfig.getInitParameter("allowHeaders");  
  15.         exposeHeaders = filterConfig.getInitParameter("exposeHeaders");  
  16.     }  
  17.   
  18.     @Override  
  19.     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
  20.         HttpServletRequest request = (HttpServletRequest) req;  
  21.         HttpServletResponse response = (HttpServletResponse) res;  
  22.         if (StringUtil.isNotEmpty(allowOrigin)) {  
  23.             List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));  
  24.             if (CollectionUtil.isNotEmpty(allowOriginList)) {  
  25.                 String currentOrigin = request.getHeader("Origin");  
  26.                 if (allowOriginList.contains(currentOrigin)) {  
  27.                     response.setHeader("Access-Control-Allow-Origin", currentOrigin);  
  28.                 }  
  29.             }  
  30.         }  
  31.         if (StringUtil.isNotEmpty(allowMethods)) {  
  32.             response.setHeader("Access-Control-Allow-Methods", allowMethods);  
  33.         }  
  34.         if (StringUtil.isNotEmpty(allowCredentials)) {  
  35.             response.setHeader("Access-Control-Allow-Credentials", allowCredentials);  
  36.         }  
  37.         if (StringUtil.isNotEmpty(allowHeaders)) {  
  38.             response.setHeader("Access-Control-Allow-Headers", allowHeaders);  
  39.         }  
  40.         if (StringUtil.isNotEmpty(exposeHeaders)) {  
  41.             response.setHeader("Access-Control-Expose-Headers", exposeHeaders);  
  42.         }  
  43.         chain.doFilter(req, res);  
  44.     }  
  45.   
  46.     @Override  
  47.     public void destroy() {  
  48.     }  
  49. }  
以上CorsFilter将从web.xml中读取相关Filter初始化参数,并将在处理HTTP请求时将这些参数写入对应的CORS响应头中,下面大致描述一下这些CORS响应头的意义:

  • Access-Control-Allow-Origin:允许访问的客户端域名,例如:http://web.xxx.com,若为*,则表示从任意域都能访问,即不做任何限制。
  • Access-Control-Allow-Methods:允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS。
  • Access-Control-Allow-Credentials:是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。
  • Access-Control-Allow-Headers:允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type。
  • Access-Control-Expose-Headers:允许客户端访问的服务端响应头,多个响应头用逗号分割。

需要注意的是,CORS规范中定义Access-Control-Allow-Origin只允许两种取值,要么为*,要么为具体的域名,也就是说,不支持同时配置多个域名。为了解决跨多个域的问题,需要在代码中做一些处理,这里将Filter初始化参数作为一个域名的集合(用逗号分隔),只需从当前请求中获取Origin请求头,就知道是从哪个域中发出的请求,若该请求在以上允许的域名集合中,则将其放入Access-Control-Allow-Origin响应头,这样跨多个域的问题就轻松解决了。

以下是web.xml中配置CorsFilter的方法:

[xml]  view plain copy
  1. <filter>  
  2.     <filter-name>corsFilter</filter-name>  
  3.     <filter-class>com.xxx.api.cors.CorsFilter</filter-class>  
  4.     <init-param>  
  5.         <param-name>allowOrigin</param-name>  
  6.         <param-value>http://web.xxx.com</param-value>  
  7.     </init-param>  
  8.     <init-param>  
  9.         <param-name>allowMethods</param-name>  
  10.         <param-value>GET,POST,PUT,DELETE,OPTIONS</param-value>  
  11.     </init-param>  
  12.     <init-param>  
  13.         <param-name>allowCredentials</param-name>  
  14.         <param-value>true</param-value>  
  15.     </init-param>  
  16.     <init-param>  
  17.         <param-name>allowHeaders</param-name>  
  18.         <param-value>Content-Type</param-value>  
  19.     </init-param>  
  20. </filter>  
  21. <filter-mapping>  
  22.     <filter-name>corsFilter</filter-name>  
  23.     <url-pattern>/*</url-pattern>  
  24. </filter-mapping>  
完成以上过程即可实现AJAX跨域功能了,但似乎还存在另外一个问题,由于REST是无状态的,后端应用发布的REST API可在用户未登录的情况下被任意调用,这显然是不安全的,如何解决这个问题呢?我们需要为REST请求提供安全机制。

第三种方法:
   try {  
            HttpServletRequest httpRequest = (HttpServletRequest) request;  
            HttpServletResponse httpResponse = (HttpServletResponse) response;  
  
            // 跨域  
            String origin = httpRequest.getHeader("Origin");  
            if (origin == null) {  
                httpResponse.addHeader("Access-Control-Allow-Origin", "*");  
            } else {  
                httpResponse.addHeader("Access-Control-Allow-Origin", origin);  
            }  
            httpResponse.addHeader("Access-Control-Allow-Headers", "Origin, x-requested-with, Content-Type, Accept,X-Cookie");  
            httpResponse.addHeader("Access-Control-Allow-Credentials", "true");  
            httpResponse.addHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");  
            if ( httpRequest.getMethod().equals("OPTIONS") ) {  
                httpResponse.setStatus(HttpServletResponse.SC_OK);  
                return;  
            }  
            chain.doFilter(request, response);  
        } catch (Exception e) {  
            errorLogger.error("Exception in crossDomainFilter.doFilter", e);  
            throw e;  
        }  



第四种方法(不过没有经过实际验证):

spring mvc 支持options方法

原创  2016年01月20日 13:54:22

在web.xml中,添加

[html]  view plain  copy
  1. <init-param>  
  2.             <param-name>dispatchOptionsRequest</param-name>  
  3.             <param-value>true</param-value>  
  4.         </init-param>  

添加后

[html]  view plain  copy
  1. <servlet>  
  2.         <servlet-name>springdispatcher</servlet-name>  
  3.         <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
  4.         <init-param>  
  5.             <param-name>contextConfigLocation</param-name>  
  6.             <param-value>classpath:springMvc-viewresolver.xml</param-value>  
  7.         </init-param>  
  8.         <init-param>  
  9.             <param-name>dispatchOptionsRequest</param-name>  
  10.             <param-value>true</param-value>  
  11.         </init-param>  
  12.         <load-on-startup>1</load-on-startup>  
  13.     </servlet>  

langqiao123
关注
专栏目录
SpringMVC中的跨域请求配置解决方案
程序员光剑
08-05 1559
跨域(Cross-origin resource sharing)是由一个资源从一个域名访问另一个不同的域名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同域向当前域发送HTTP请求。跨域请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止跨域请求,所以开发者需要在实际项目中做一些额外的设置来允许跨域请求。以下就详细介绍一下Spring MVC对跨域请求的支持及其配置方法。
CROS 跨域资源共享
douglas8287的专栏
11-26 234
4.5 解决跨域问题 比如,前端应用为静态站点且部署在http://web.xxx.com域下,后端应用发布REST API并部署在http://api.xxx.com域下,如何使前端应用通过AJAX跨域访问后端应用呢?这需要使用到CORS技术来实现,这也是目前最好的解决方案了。 [CORS全称为Cross Origin Resource Sharing(跨域资源共享),服务端只需添加相关响...
微服务后端配置跨域CorsFilter
最新发布
Dong_Zi8的博客
05-12 599
CorsFilter 主要用于设置跨域请求的响应头,以允许跨域请求能够被成功处理。Access-Control-Allow-Credentials:是否允许发送 Cookie 等身份凭证;Access-Control-Allow-Methods:允许访问的请求方法;Access-Control-Allow-Headers:允许访问的请求头;Access-Control-Allow-Origin:允许访问的源地址;Access-Control-Max-Age:缓存预检请求的时间。
SpringBoot配置CorsFilter解决跨域问题
weixin_41645232的博客
03-14 1148
1.跨域问题的由来 由于浏览器的同源策略,不同源的客户端在没有明确授权的情况下,无法 跨域访问另一个域的资源。 同源策略:如果两个页面的协议,端口和主机都相同,则两个页面具有相同的源。下面是相对http://192.168.0.100/index.html为例同源检测示例: url 结果 http://192.168.0.100/page 可以,只有URL不用 http://1...
跨域CORS头信息详解
热门推荐
ourLang
06-13 2万+
CORS头信息 说明 Access-Control-Allow-Origin 指示请求的资源能共享给哪些域可以是具体的域名或者*表示所有域。 Access-Control-Allow-Credentials 指示当请求的凭证标记为 true 时是否响应该请求。 Access-Control-Allow-Headers 用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。 Access-Control-Allow-Methods 指定对预请求的响应中,哪些 HTTP ...
拦截器响应头中配置“Access-Control-Expose-Headers”实现跨域请求暴露token
hkl_Forever的博客
10-20 1万+
2】关键代码 response.setHeader("Access-Control-Expose-Headers", "token");和前端同事联调接口中,前端同事反映说在跨域请求的情况下无法获取token的值,后来找到解决办法。1】在登录拦截器处理类中的响应对象,把token对象暴露出来即可。
详解SpringMVC解决跨域的两种方案
08-29
SpringMVC 跨域解决方案 SpringMVC 跨域解决方案是指在 SpringMVC 框架中解决跨站 HTTP 请求(Cross-site HTTP request)的两种方案。跨域是指发起请求的资源所在域不同于请求指向资源所在域的 HTTP 请求。在前后端...
Springmvc ajax跨域请求处理方法实例详解
08-29
本文主要介绍了 SpringMVC AJAX 跨域请求处理方法实例详解,解决了 AJAX 跨域请求问题。下面是详细的知识点解释: 一、什么是 AJAX 跨域请求? AJAX 跨域请求是指在不同的域名、协议或端口之间的请求,例如从域名 ...
SpringMVC的跨域解决方案.docx
10-26
### SpringMVC的跨域解决方案 #### 一、理解跨域的概念 跨域是指当一个域下的文档或脚本尝试请求另一个源服务器上的资源时,若该资源与当前执行脚本的源不符合同源策略(Same-origin policy)时,就会出现跨域问题...
Access-Control-Expose-Headers 响应报头、跨域 公开响应头
weixin_46484674的博客
09-28 2万+
问题现象: 前端无法获取响应头 Response Header 原因 问题原因:跨域问题 启用跨域请求(CORS)Access-Control-Expose-Headers 响应报头 指示哪些报头可以 公开 为通过列出他们的名字的响应的一部分 默认情况下,只显示6个简单的响应头,在上方也有介绍。 如果你想要客户端能够访问其他的请求头,则必须使用Access-Control-Expose-Headers 列出他们。
HTTP header中Access-Control-开头的响应头
hulinhulin的专栏
03-31 5238
Access-Control-Allow-Credentials Access-Control-Allow-Credentials响应报头指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露。 Credentials可以是 cookies, authorization headers 或 TLS client certificates。 当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET请求不是预检的,所以如果请求使用凭证的资源,如果此资源不
前端取不到后台返回response里边header内容问题
Angus
07-29 6630
我是在前后端调试下载文件的时候遇到的问题。 我下载文件的方式是返回二进制流。这种方式的话实际上是不能有return的,也就是时候不能把一些内容带给前端。比方说文件名,我们就需要放header里边。但是默认情况下,前端拿不到你定义的header字段。 那么解决方式实际上是比较简单的,我的解决方案如下: response.reset(); response.setHeader("Access-Control-Allow-Origin", "*"); ...
Access-Control-Expose-Headers
weixin_42353499的博客
09-19 2801
Access-Control-Expose-Headers
http跨域请求过程发出两次请求options请求,修改请求头未生效
王鹤霖的专栏 三人行必有我师
05-31 5069
XMLHttpRequest遵守同源策略(same-origin policy),导致我们在不同源的情况下未必可以成功请求道服务器端的接口。在请求接口发生的过程中,浏览器会根据需要发起一次预检(也就是option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源或者域),还有是否需要Credentials(认证信息)等。 option请求: ...
在web.xml中配置编码过滤器和跨域过滤器
haohoa_不秃头的博客
07-17 1218
在web.xml中配置CharacterEncodingFilter编码过滤器解决JSON格式异常的问题
安全系列之:跨域资源共享CORS
程序那些事
09-13 1万+
文章目录简介CORS举例CORS protocolHTTP request headersHTTP response headers基本CORSPreflighted requests带认证的请求总结 简介 什么是跨域资源共享呢? 我们知道一个域是由scheme、domain和port三部分来组成的,这三个部分可以唯一标记一个域,或者一个服务器请求的地址。跨域资源共享的意思就是服务器允许其他的域来访问它自己域的资源。 CORS是一个基于HTTP-header检测的机制,本文将会详细对其进行说明。 CORS举
SpringMVC支持跨域访问的CORS配置
justdoit_potato的博客
08-28 799
目前主流的跨域访问技术有JSONP和CORS,JSONP的优势在于能够支持较老版本的浏览器,弱势在于只能处理GET的请求,而CORS的优势在于能处理所有类型的请求,但弱势在于不能处理IE8以下版本的请求,说得比较笼统,悉知。         本文主要阐述在SpringMVC中如何通过配置CORS来支持跨域访问,而前端不需要做任何配置。         以下是配置步骤: 1.Spring的版本
SpringBoot配置CORS解决跨域访问的几种实现方式
m0_37587318的博客
10-12 1459
一、同源策略简介 同源策略[same origin policy]:是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 源[origin]就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。 同源:若地址里面的协议、域名和端口号均相同则属于同源。 那些操作不受同源策略影响: 页面中的链接,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值