SpringBoot跨域请求与过滤器

最新推荐文章于 2024-01-26 13:00:42 发布
最新推荐文章于 2024-01-26 13:00:42 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: JavaEE 文章标签: SpringBoot 跨域 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029255/article/details/56842509
版权

1.跨域请求

由于安全原因,浏览器都遵循着同源原则,拦截了不同域名之间的请求。跨域请求,是指能让不同域名之间,可以相互发送请求。下面是Mozilla的介绍:.

当它请求的一个资源是从一个与它本身提供的第一个资源的不同的域名时,一个资源会发起一个跨域HTTP请求(Cross-siteHTTP request)。

比如说,域名A ( http://domaina.example ) 的某 Web 应用程序中通过< img>标签引入了域名B( http://domainb.foo ) 站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。

在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。

正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用XMLHttpRequest 对象向其加载的源域名发起HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest

发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

 

一般在SpringBoot框架中会配置下面的代码:

@Configuration

publicclassCorsConfig {

    private CorsConfiguration buildConfig() {

        CorsConfiguration corsConfiguration = new CorsConfiguration();

        corsConfiguration.addAllowedOrigin("*"); // 1

        corsConfiguration.addAllowedHeader("*"); // 2

        corsConfiguration.addAllowedMethod("*"); // 3

        return corsConfiguration;

    }

 

    @Bean

    public CorsFilter corsFilter() {

        UrlBasedCorsConfigurationSource source= new UrlBasedCorsConfigurationSource();

        source.registerCorsConfiguration("/**",buildConfig()); // 4

        returnnew CorsFilter(source);

    }

}

允许任何域名使用

允许任何头

允许任何方法(post、get等)

问题来了,在响应一个携带身份信息(Credential)的HTTP请求时,Access-Control-Allow-Origin必需指定具体的域,不能用通配符,只能将跨域配置到过滤器中。

2.过滤器

用filter拦截每次请求,如果携带身份信息(Credential)时,获取到具体的域响应给请求。

代码如下:

@Configuration

public classCommonConfig {

  

   private finalLogger logger = LoggerFactory.getLogger(this.getClass());

  

   private static finalString LOGIN_API = "/user/login";

  

   private static finalString LOGOUT_API = "/user/logout";

  

   private static finalString NOTIFY_URL = "/testNotifyUrl";

  

   private finalObjectMapper objectMapper = newObjectMapper();

  

   @Bean

   publicFilterRegistrationBean registFilter() {

      FilterRegistrationBeanregistration = newFilterRegistrationBean();

      registration.setFilter(newFilter() {

         @Override

         public voidinit(FilterConfig filterConfig) throwsServletException {

            logger.info("过滤器init!");

         }

 

         @Override

         public voiddoFilter(ServletRequest request,ServletResponse response,FilterChain chain) throwsIOException, ServletException {

            HttpServletResponsehttpResponse = (HttpServletResponse) response

            allowCrossAccess((HttpServletRequest)request, httpResponse);

            HttpServletRequestreq = (HttpServletRequest) request;

            Useruser = (User) req.getSession().getAttribute(CreditPomeloConstants.SIGNED_USER);

            Stringuri = req.getRequestURI();

            logger.info("doFilteruri: {}", uri);

            if (null != user || uri.endsWith(LOGIN_API) || uri.endsWith(LOGOUT_API) || uri.endsWith(NOTIFY_URL)) { // 已登录过,或者访问登录地址

                chain.doFilter(request, response);

            }else { // 没登录过

                httpResponse.setCharacterEncoding("UTF-8");   

                 httpResponse.setContentType("application/json;charset=utf-8");

                 //httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

                PrintWriterout = httpResponse.getWriter();

                out.write(objectMapper.writeValueAsString(ApiResult.create(401,"请先登录")));

                out.flush();

                out.close();

            }

         }

 

         @Override

         public voiddestroy() {

            logger.info("过滤器destroy!");

         }

 

      });

      registration.addUrlPatterns("/*");

      registration.setOrder(1);

      return registration;

   }

   protected voidallowCrossAccess(HttpServletRequest request,HttpServletResponse response) {

//       String allowOrigin = "*";

       String allowOrigin = request.getHeader("Origin");

       String allowMethods = "GET,PUT, POST, DELETE";

       String allowHeaders = "Origin,No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified,Cache-Control, Expires, Content-Type, X-E4M-With";

       response.addHeader("Access-Control-Allow-Credentials", "true");

       response.addHeader("Access-Control-Allow-Headers", allowHeaders);

       response.addHeader("Access-Control-Allow-Methods", allowMethods);

       response.addHeader("Access-Control-Allow-Origin", allowOrigin);

    }

}

小流年7878
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决 springboot跨域请求问题
05-11
springboot做前后端分离,ajax跨域请求问题 前后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生跨域请求的问题。 两种解决方案
统一网关Gateway实例SpringCloudGateway三大过滤器过滤器链,网关跨域,路由断言工厂
sadnskajf的博客
09-01 554
身份认证和权限校验,服务的路由,负载均衡,请求限流,路由断言工厂,路由过滤器GatewayFilte,全局过滤器GlobalFilter
springboot过滤器
作为一个长者,有必要记录下人生经验
03-17 1546
Filter 引入了过滤链(Filter Chain)的概念,一个 Web 应用可以部署多个 Filter,这些 Filter 会组成一种链式结构,客户端的请求在到达 Servlet 之前会一直在这个链上传递,不同的 Filter 负责对请求/响应做不同的处理。过滤器作用是对客户端发送给 Servlet 的请求以及对 Servlet 返回给客户端的响应做一些定制化的处理,例如校验请求的参数、设置请求/响应的 Header、修改请求/响应的内容等。配置类作用相当于@WebFilter注解。
Spring Boot项目中解决跨域问题(四种方式)
最新发布
weixin_44924882的博客
01-26 2767
开发项目的时候因为浏览器同源策略的限制,经常会遇到跨域问题,本篇文章对常见的跨域解决方案做一个记录。
【微服务技术二】Feign、Gateway(路由、过滤器跨域)的初步认知
m0_70083523的博客
08-17 814
类型作用说明修改日志级别包含四种不同的级别:NONE、BASIC、HEADERS、FULL响应结果的解析器http远程调用的结果做解析,例如解析json字符串为java对象请求参数编码将请求参数编码,便于通过http请求发送支持的注解格式默认是SpringMVC注解失败重试机制请求失败的重试机制,默认是没有,不过会使用Ribbon的重试【一般需要配置的就是日志级别】配置Feign日志两种方式:【消费者】
网关 GateWay 的使用详解、路由、过滤器跨域配置
qq_30125403的博客
09-19 678
有时候SpringCloudGateWay提供的过滤器工厂不能满足自己的要求。可能有时候需要在过滤时做一些其它的逻辑操作。那么这时候可以选择使用java代码自定义全局过滤器
跨域请求过滤器实现解决方案
初学者乐园的博客
04-01 1000
什么是跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域就指着协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) Access-Control-Allow-Origin是H...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3606
Springboot配置XSS过滤器XssFilter
Spring Boot配置XSS
a123123sdf的博客
02-21 2128
spring boot 配置xss
Spring如何解决跨域问题
weixin_58724261的博客
06-03 956
同源指的是协议、主机名和端口号都相同,如果两个 URL 的这三个部分相同,则这两个 URL 属于同源。同源策略规定了同域下的文档之间可以相互访问和获取资源,但是限制了跨域文档之间相互访问和获取资源。即使是在不同的网页上,只要它们属于同一域名下,它们就可以自由地进行数据交换,可以实现登录状态、cookie 等数据的共享。但是,如果是在不同的域名下访问数据,就会发生“跨域”,此时同源策略就会起作用。
如何配置跨域-跨域解决方案
AdolfQiu的博客
11-21 885
package com.atguigu.gulimall.gateway.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.re...
springmvc跨域处理和过滤器方式跨域处理主要代码
04-08
springmvc跨域处理,和过滤器方式跨域处理的主要代码,整体系统基于springboot框架搭建
Springboot中使用过滤器映射访问路径
12-23
Springboot中使用过滤器映射访问路径,并对请求地址进行重定向。
Springboot处理CORS跨域请求的三种方法
08-19
主要介绍了Springboot处理CORS跨域请求的三种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot 跨域请求
02-05
springboot怎样实现跨域请求springboot与mybatis结合
Springboot解决ajax+自定义headers的跨域请求问题
10-16
由于浏览器同源策略(同源策略,它是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器...接下来通过本文给大家介绍Springboot如何优雅的解决ajax+自定义headers的跨域请求 ,需要的朋友可以参考下
Springboot跨域问题三种解决方案
08-19
主要介绍了Springboot跨域问题三种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JSR303使用说明文档
热门推荐
小流年的专栏
02-17 1万+
1.引言参数校验是我们程序开发中必不可少的过程。用户在前端页面上填写表单时,前端js程序会校验参数的合法性,当数据到了后端,为了防止恶意操作,保持程序的健壮性,后端同样需要对数据进行校验。后端参数校验最简单的做法是直接在业务方法里面进行判断,当判断成功之后再继续往下执行。但这样带给我们的是代码的耦合,冗余。当我们多个地方需要校验时,我们就需要在每一个地方调用校验程序,导致代码很冗余,且不美观。那么...
vue与springboot跨域
08-25
综上所述,解决Vue与SpringBoot跨域问题的方法可以是在前端Vue中配置代理,或者在后台SpringBoot中使用@CrossOrigin注解或自定义跨域过滤器。这样就能够实现前后端的跨域通信,并顺利完成开发。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值