Spring处理跨域请求(含有SpringBoot方式)

最新推荐文章于 2024-03-02 09:38:15 发布
最新推荐文章于 2024-03-02 09:38:15 发布
阅读量2.1w 收藏 6
点赞数 2
分类专栏: 常见故障
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24084925/article/details/55049300
版权

一次正常的请求

最近别人需要调用我们系统的某一个功能,对方希望提供一个api让其能够更新数据。由于该同学是客户端开发,于是有了类似以下代码。

@RequestMapping(method = RequestMethod.POST, value = "/update.json", produces = MediaType.APPLICATION_JSON_VALUE)
public @ResponseBody Contacter update(@RequestBody Contacter contacterRO) {

	logger.debug("get update request {}", contacterRO.toString()); if (contacterRO.getUserId() == 123) { contacterRO.setUserName("adminUpdate-wangdachui"); } return contacterRO; }

客户端通过代码发起http请求来调用。接着,该同学又提出:希望通过浏览器使用js调用,于是便有跨域问题。

为何跨域

前端请求于后端处理符合三个要求(同一域名,同一端口,同一协议)下,即可访问,有一个不符合就会出现跨域问题。

  • 例如:以下代码再本域名下可以通过js代码正常调用接口
(function() {
    var url = "http://localhost:8080/api/Home/update.json";

    var data = {
        "userId": 123, "userName": "wangdachui" }; $.ajax({ url: url, type: 'POST', dataType: 'json', data: $.toJSON(data), contentType: 'application/json' }).done(function(result) { console.log("success"); console.log(result); }).fail(function() { console.log("error"); }) })()

输出为:

Object {userId: 123, userName: "adminUpdate-wangdachui"}
  • 但是在其他域名下访问则出错:

OPTIONS http://localhost:8080/api/Home/update.json
XMLHttpRequest cannot load http://localhost:8080/api/Home/update.json. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. The response had HTTP status code 403.

解决方案

JSONP

使用jsonp来进行跨域是一种比较常见的方式,但是在接口已经写好的情况下,无论是服务端还是调用端都需要进行改造且要兼容原来的接口,工作量偏大,于是我们考虑其他方法。

CORS协议

按照参考资料的说法:每一个页面需要返回一个名为‘Access-Control-Allow-Origin’的HTTP头来允许外域的站点访问。你可以仅仅暴露有限的资源和有限的外域站点访问。在COR模式中,访问控制的职责可以放到页面开发者的手中,而不是服务器管理员。当然页面开发者需要写专门的处理代码来允许被外域访问。 我们可以理解为:如果一个请求需要允许跨域访问,则需要在http头中设置Access-Control-Allow-Origin来决定需要允许哪些站点来访问。如假设需要允许www.foo.com这个站点的请求跨域,则可以设置:Access-Control-Allow-Origin:http://www.foo.com。或者Access-Control-Allow-Origin: * 。 CORS作为HTML5的一部分,在大部分现代浏览器中有所支持。

CORS具有以下常见的header
Access-Control-Allow-Origin: http://foo.org

Access-Control-Max-Age: 3628800

Access-Control-Allow-Methods: GET,PUT, DELETE Access-Control-Allow-Headers: content-type "Access-Control-Allow-Origin"表明它允许"http://foo.org"发起跨域请求 "Access-Control-Max-Age"表明在3628800秒内,不需要再发送预检验请求,可以缓存该结果 "Access-Control-Allow-Methods"表明它允许GET、PUT、DELETE的外域请求 "Access-Control-Allow-Headers"表明它允许跨域请求包含content-type头
CORS基本流程

首先发出预检验(Preflight)请求,它先向资源服务器发出一个OPTIONS方法、包含“Origin”头的请求。该回复可以控制COR请求的方法,HTTP头以及验证等信息。只有该请求获得允许以后,才会发起真实的外域请求。

Spring MVC支持CORS
Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. The response had HTTP status code 403.

从以上这段错误信息中我们可以看到,直接原因是因为请求头中没有Access-Control-Allow-Origin这个头。于是我们直接想法便是在请求头中加上这个header。服务器能够返回403,表明服务器确实对请求进行了处理。

需要注意的是,如果要发送CookieAccess-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie


MVC 拦截器

首先我们配置一个拦截器来拦截请求,将请求的头信息打日志。

DEBUG requestURL:/api/Home/update.json 
DEBUG method:OPTIONS 
DEBUG header host:localhost:8080 DEBUG header connection:keep-alive DEBUG header cache-control:max-age=0 DEBUG header access-control-request-method:POST DEBUG header origin:null DEBUG header user-agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36 DEBUG header access-control-request-headers:accept, content-type DEBUG header accept:*/* DEBUG header accept-encoding:gzip, deflate, sdch DEBUG header accept-language:zh-CN,zh;q=0.8,en;q=0.6

在postHandle里打印日志发现,此时response的status为403。跟踪SpringMVC代码发现,在org.springframework.web.servlet.DispatcherServlet.doDispatch中会根据根据request来获取HandlerExecutionChain,SpringMVC在获取常规的处理器后会检查是否为跨域请求,如果是则替换原有的实例。

@Override
public final HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
	Object handler = getHandlerInternal(request);
	if (handler == null) { handler = getDefaultHandler(); } if (handler == null) { return null; } // Bean name or resolved handler? if (handler instanceof String) { String handlerName = (String) handler; handler = getApplicationContext().getBean(handlerName); } HandlerExecutionChain executionChain = getHandlerExecutionChain(handler, request); if (CorsUtils.isCorsRequest(request)) { CorsConfiguration globalConfig = this.corsConfigSource.getCorsConfiguration(request); CorsConfiguration handlerConfig = getCorsConfiguration(handler, request); CorsConfiguration config = (globalConfig != null ? globalConfig.combine(handlerConfig) : handlerConfig); executionChain = getCorsHandlerExecutionChain(request, executionChain, config); } return executionChain; }

检查的方法也很简单,即检查请求头中是否有origin字段

public static boolean isCorsRequest(HttpServletRequest request) { return (request.getHeader(HttpHeaders.ORIGIN) != null); }

请求接着会交由 HttpRequestHandlerAdapter.handle来处理,根据handle不同,处理不同的逻辑。前面根据请求头判断是一个跨域请求,获取到的Handler为PreFlightHandler,其实现为:

@Override
public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws IOException { corsProcessor.processRequest(this.config, request, response); }

继续跟进

@Override
public boolean processRequest(CorsConfiguration config, HttpServletRequest request, HttpServletResponse response)
		throws IOException {

	if (!CorsUtils.isCorsRequest(request)) {
		return true; } ServletServerHttpResponse serverResponse = new ServletServerHttpResponse(response); ServletServerHttpRequest serverRequest = new ServletServerHttpRequest(request); if (WebUtils.isSameOrigin(serverRequest)) { logger.debug("Skip CORS processing, request is a same-origin one"); return true; } if (responseHasCors(serverResponse)) { logger.debug("Skip CORS processing, response already contains \"Access-Control-Allow-Origin\" header"); return true; } boolean preFlightRequest = CorsUtils.isPreFlightRequest(request); if (config == null) { if (preFlightRequest) { rejectRequest(serverResponse); return false; } else { return true; } } return handleInternal(serverRequest, serverResponse, config, preFlightRequest); }

此方法首先会检查是否为跨域请求,如果不是则直接返回,接着检查是否同一个域下,或者response头里是否具有Access-Control-Allow-Origin字段或者request里是否具有Access-Control-Request-Method。如果满足判断条件,则拒绝这个请求。 由此我们知道,可以通过在检查之前设置response的Access-Control-Allow-Origin头来通过检查。我们在拦截器的preHandle的处理。加入如下代码:

response.setHeader("Access-Control-Allow-Origin", "*");

此时浏览器中OPTIONS请求返回200。但是依然报错:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

我们注意到:在request的请求头里有Access-Control-Request-Headers:accept, content-type,但是这个请求头的中没有,此时浏览器没有据需发送请求。尝试在response中加入:

response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");

执行成功:Object {userId: 123, userName: “adminUpdate-wangdachui”}。

至此:我们通过分析原理使SpringMVC实现跨域,原有实现以及客户端代码不需要任何改动。

1、SpringMVC 4
  • 此外,在参考资料2中,SpringMVC4提供了非常方便的实现跨域的方法。
  • 在requestMapping中使用注解。 @CrossOrigin(origins = “http://localhost:9000”)
  • 全局实现 .定义类继承WebMvcConfigurerAdapter
public class CorsConfigurerAdapter extends WebMvcConfigurerAdapter{ @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/*").allowedOrigins("*"); } }

将该类注入到容器中:

<bean class="com.tmall.wireless.angel.web.config.CorsConfigurerAdapter"></bean>

参考资料
2、自己写一个类似于FILTER的文件,加载一下它 
import java.io.IOException;  
  
import javax.servlet.FilterChain;  
import javax.servlet.ServletException;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
  
import org.springframework.web.filter.OncePerRequestFilter;  
  
public class CorsFilter extends OncePerRequestFilter {  
  
 @Override  
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)  
            throws ServletException, IOException {  
    response.addHeader("Access-Control-Allow-Origin", "*");  
    response.addHeader("Access-Control-Allow-Methods",  
            "GET, POST, PUT, DELETE, OPTIONS");  
    response.addHeader("Access-Control-Allow-Headers",  
            "origin, content-type, accept, x-requested-with, sid, mycustom, smuser");  
        filterChain.doFilter(request, response);  
    }  
}
复制代码

修改web.xml

复制代码 
<filter>  
  <filter-name>CorsFilter</filter-name>  
  <filter-class>com.interfaceservice.filter.CorsFilter</filter-class>  
</filter>  
<filter-mapping>  
  <filter-name>CorsFilter</filter-name>  
  <url-pattern>/*</url-pattern>  
</filter-mapping>


3、
若是SpringBoot则简单的多:

在application.java文件下添加: 
  @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                .allowedOrigins("*")
    			.allowedMethods("PUT", "DELETE","GET","POST")
                .allowedHeaders("*")
    			.exposedHeaders("access-control-allow-headers",
    					"access-control-allow-methods",
    					"access-control-allow-origin",
    					"access-control-max-age",
    					"X-Frame-Options")
    			.allowCredentials(false).maxAge(3600);
            }
        };

    }
即可



CODE男孩
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解Spring Boot 2.0.2+Ajax解决跨域请求的问题
08-26
主要介绍了详解Spring Boot 2.0.2+Ajax解决跨域请求的问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring处理跨域请求
weixin_34309543的博客
11-28 298
[nio-8080-exec-8] o.s.web.cors.DefaultCorsProcessor        : Skip CORS processing: request is from same origin   一次正常的请求 最近别人需要调用我们系统的某一个功能,对方希望提供一个api让其能够更新数据。由于该同学是客户端开发,于是有了类似以下代码。 @RequestMa...
解决SpringBoot项目有关跨域的问题,内含其他博客中不生效的解决方法
weixin_52161359的博客
05-23 1225
(前言:此方法可以快速解决有关请求跨域时的问题,重点在最后,可直接跳过去看) 场景:在使用amis框架搭建好前端后,出现了前端发送post请求,后端无法接收的问题; 而在反复检查路径无误后,通过F12看到问题出在了跨域这里 错误信息为: Response to preflight request doesn t pass access control check: No Access-Control-Allow-Origin header is present on the requested re
Spring Boot如何彻底解决跨域问题,五种方案来看看吧
最新发布
2301_77899321的博客
03-02 1291
Spring Boot项目中可以通过配置来解决跨域问题,在Spring Boot的配置类中添加一个跨域配置的Bean。
spring Cors拦截流程
scmike的专栏
04-04 2075
Cors跨域拦截实现过程所有的请求都进入CorsFilter的doFilterInternal方法org.springframework.web.filter.CorsFilter//在这里过滤所有请求@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, ...
Spring boot解决CORS(跨域)请求(基于spring MVC 4.0以上版本)。
初学程序员
05-09 1万+
一、前言   昨天晚上临近下班之前,公司前端同事突然跟我说,他从前端发送的请求,方法变成了OPTIONS,我看到他的代码里明明也写着的是POST请求,可是为什么会变成了OPTIONS请求,而且返回的http状态码也是200,但是没有任何数据的返回,这就表明请求根本没有进入到方法中就被拦截返回了。这究竟是哪里出现了错误呢?二、原因探究    经过早上不懈的查找资料,在以下这篇博文中找到了原因:htt...
关于Springboot中跨域问题的解决(Response to preflight request doesn‘t pass access control check)
Java初学者
10-06 4464
Springboot中跨域问题的解决 等不及的小伙伴,直接跳到结论部分即可,谢谢!!! 1. 背景 1.1 使用技术栈 Spring Security Springboot Vue.axios Jwt 1.2 关键代码 Spring Security实现了JWT验证 配置类相关代码 package xyz.yq56.sm.config; import org.springframework.beans.factory.annotation.Autowired; import org.springf
Springboot解决ajax+自定义headers的跨域请求问题
10-16
由于浏览器同源策略(同源策略,它是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器...接下来通过本文给大家介绍Springboot如何优雅的解决ajax+自定义headers的跨域请求 ,需要的朋友可以参考下
Spring Boot Web应用开发 CORS 跨域请求支持
08-30
本篇文章主要介绍了Spring Boot Web应用开发 CORS 跨域请求支持,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
vue+springboot实现项目的CORS跨域请求
10-18
主要介绍了vue+springboot实现项目的CORS跨域请求,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot跨域问题解决
每天学习一点点
01-20 1107
根据资料显示,这个是因为浏览器预检请求失败,复杂请求会做预检请求,比如header中有自动以的属性等情况,当前的报错是指OPTION 请求失败,需要后端放行 OPTION 请求。经过一番百度之后,需要在控制器上添加处理跨域的注解,前端访问后台接口时,浏览器报错,跨域无法访问。然后将拦截器注册到全局拦截器中,使其生效。再次访问接口,请求正常返回了。
解决!【启用了Security的SpringBoot项目跨域问题】以及【post请求403错误】
weixin_45928161的博客
04-11 2028
解决!【启用了Security的SpringBoot项目跨域问题】以及【post请求403错误】
Springboot解决前后端分离项目跨域,配置多个域名
热门推荐
酸酸酱的博客
05-22 2万+
需求和想法 项目前后端分离以后需要配置跨域,且需要允许浏览器多个域名跨域。我们知道Access-Control-Allow-Origin里面是只可以写一个域名的,但是我们可以通过配置一个可被允许的origins数组,然后判断前端请求中的origin是否在这个数组中来解决这个问题~ Springboot的解决方法 方法有两种 第一种:使用springboot 已经实现的工具类org.springfr...
SpringBoot解决CORS跨域请求
Charge8的博客
10-22 749
1、同源策略(Same Origin Policy): 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 2、跨源资源共享(Cross-Origin Resource Sharing) 为了解决浏览器同源问题,W3C 提出了跨源资源共享,即 CORS。CORS就是为了解决SOP问题而生的。当然还有其他解决SOP的方案。 浏览器将CORS请求分为两类:简单请求(simple request)和非简单请求/预检请求(not-so-
关于springboot访问tomcat,线程http-nio-8080-exec的来源问题
m0_52789121的博客
07-31 4682
最近在看并发操作时候,例如jmeter进行接口压测(本地自己的springboot2的环境),发现一个有趣的现象,就是关于线程http-nio-8080-exec-1,http-nio-8080-exec-2等等的出现。换言之,就是在通过Tomcat的形式建立连接的时候,新建的连接对象都会有用到ThreadGroup,在ThreadGroup中就有限制最大的数卫10.所以会出现http-nio-8080-exec-9的情况也很正常了。从这里可以看到,这个创建连接的过程,就是通过网一个队列进行添加。...
SpringBoot--跨域--解决方案
IT利刃出鞘的博客
09-24 1234
原文网址: 其他网址 Spring Boot 解决跨域问题的 3 种方案! - Java技术栈 - 博客园Springboot处理CORS跨域请求的三种方法_陈哈哈的菜园子-CSDN博客 方案1:实现WebMvcConfigurer接口 package com.example.demo.common.config; import org.springframework.context.annotation.Configuration; import org.springframework.web
CORS解决跨域问题详解
Ghost_B2的博客
08-04 1806
引入问题 一.为什么会出现跨域问题? 不同源(ip地址、协议、端口都相同才是同源),只要IP地址或者协议或者端口只要有一项不同,都会出现跨域问题。 二.出现的场景 1.前端后分离,前端代码和后端代码部署在不同的服务器中。 2.第三方合作方通过前端调用api接口。 三.使用CORS会出现那些的问题? 1.CORS导致sessionId不一致问题。 2.非简单请求会发送两次请求(预请求和真实请求)。导致在预请求是不会携带请求参数。 3.与拦截器冲突导致CORS失效并报出异常问题。 if (CorsUtils
springboot配置跨域问题
dhklsl的专栏
04-10 2310
springboot跨域问题
springboot跨域请求
04-26
如何解决? 要在Spring Boot中允许跨域请求,可以采取以下两个措施: 1.使用@CrossOrigin注释:在Controller层的相应方法上添加@CrossOrigin注释,如下所示: @CrossOrigin(origins = "http://localhost:8080") @GetMapping("/hello") public String sayHello() { return "Hello World!"; } 2.使用WebMvcConfigurer:可以在Spring Boot的配置类中使用WebMvcConfigurer来配置跨域请求,如下所示: @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://localhost:8080") .allowedMethods("GET", "POST") .allowCredentials(false) .maxAge(3600); } } 其中,addMapping()方法中的参数表示URL模式,allowedOrigins()方法指定允许跨域请求的来源,allowedMethods()方法指定允许的请求方式,allowCredentials()方法指定是否允许发送Cookie等认证信息,maxAge()方法指定最大缓存时间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值