SpringBoot下如何配置实现跨域请求？，Java重点知识点

什么是跨域请求

---

跨域请求，就是说浏览器在执行脚本文件的ajax请求时，脚本文件所在的服务地址和请求的服务地址不一样。说白了就是ip、网络协议、端口都一样的时候，就是同一个域，否则就是跨域。这是由于Netscape提出一个著名的安全策略——同源策略造成的，这是浏览器对JavaScript施加的安全限制。是防止外网的脚本恶意攻击服务器的一种措施。

同源策略

同源策略[same origin policy]是浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。 同源策略是浏览器安全的基石。

什么是源

源[origin]就是协议、域名和端口号。例如：http://www.baidu.com:80这个URL。

什么是同源

若地址里面的协议、域名和端口号均相同则属于同源。

是否是同源的判断

例如判断下面的URL是否与 http://www.a.com/test/index.html 同源

• http://www.a.com/dir/page.html 同源

• http://www.child.a.com/test/index.html 不同源，域名不相同

• https://www.a.com/test/index.html 不同源，协议不相同

• http://www.a.com:8080/test/index.html 不同源，端口号不相同

---

CrossOrigin属性

---

Spring MVC提供了@CrossOrigin注解，或者是使用CorsConfiguration。来进行跨域处理。 该标注了注释的方法或类型，允许跨源请求。

origins

• 允许的来源列表. 他的值放置在HTTP协议的响应header的Access-Control-Allow-Origin

• *意味着所有的源都是被允许的。

• 如果未定义，则允许所有来源。

allowedHeaders

• 实际请求期间可以使用的请求标头列表. 值用于预检的响应header Access-Control-Allow-Headers。

• * 意味着允许客户端请求的所有头文件。

• 如果未定义，则允许所有请求的headers。

methods

支持的HTTP请求方法列表。 如果未定义，则使用由RequestMapping注释定义的方法。

exposedHeaders

• 浏览器允许客户端访问的响应头列表。 在实际响应报头Access-Control-Expose-Headers中设置值。

• 如果未定义，则使用空的暴露标题列表。

allowCredentials

• 它确定浏览器是否应该包含与请求相关的任何cookie。

• false – cookies 不应该包括在内。

• “” (空字符串) – 意味着未定义.

• true – 预响应将包括值设置为true的报头Access-Control-Allow-Credentials。

• 如果未定义，则允许所有凭据。

maxAge

• 预响应的高速缓存持续时间的最大时间（以秒为单位）。 值在标题Access-Control-Max-Age中设置。

• 如果未定义, 最大时间设置为1800秒（30分钟）.

---

SpringBoot工程如何解决跨域问题？

---

方法一:全局配置类

@Configuration

public class CorsConfig {

private CorsConfiguration buildConfig() {

CorsConfiguration corsConfiguration = new CorsConfiguration();

// 1 设置访问源地址

corsConfiguration.addAllowedOrigin(“*”);

// 2 设置访问源请求头

corsConfiguration.addAllowedHeader(“*”);

//3 设置访问源请求方法

corsConfiguration.addAllowedMethod(“*”);

//4 是否允许用户发送、处理 cookie

corsConfiguration.setAllowCredentials(true);

return corsConfiguration;

}

@Bean

public CorsFilter corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

//5 对接口配置跨域设置

source.registerCorsConfiguration(“/**”, buildConfig());

return new CorsFilter(source);

}

}

“_”代表全部。”**”代表适配所有接口。

其中addAllowedOrigin(String origin)方法是追加访问源地址。如果不使用”_”（即允许全部访问源），则可以配置多条访问源来做控制。

例如：

corsConfiguration.addAllowedOrigin(“http://www.aimaonline.cn/”);

corsConfiguration.addAllowedOrigin(“http://test.aimaonline.cn/”);

小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Java工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Java开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助，可以添加下面V无偿领取！（备注Java）

最后

我想问下大家当初选择做程序员的初衷是什么？有思考过这个问题吗？高薪？热爱？

既然入了这行就应该知道，这个行业是靠本事吃饭的，你想要拿高薪没有问题，请好好磨练自己的技术，不要抱怨。有的人通过培训可以让自己成长，有些人可以通过自律强大的自学能力成长，如果你两者都不占，还怎么拿高薪？

架构师是很多程序员的职业目标，一个好的架构师是不愁所谓的35岁高龄门槛的，到了那个时候，照样大把的企业挖他。为什么很多人想进阿里巴巴，无非不是福利待遇好以及优质的人脉资源，这对个人职业发展是有非常大帮助的。

如果你也想成为一名好的架构师，那或许这份Java核心架构笔记你需要阅读阅读，希望能够对你的职业发展有所帮助。

中高级开发必知必会：

，如果你两者都不占，还怎么拿高薪？

架构师是很多程序员的职业目标，一个好的架构师是不愁所谓的35岁高龄门槛的，到了那个时候，照样大把的企业挖他。为什么很多人想进阿里巴巴，无非不是福利待遇好以及优质的人脉资源，这对个人职业发展是有非常大帮助的。

如果你也想成为一名好的架构师，那或许这份Java核心架构笔记你需要阅读阅读，希望能够对你的职业发展有所帮助。

中高级开发必知必会：

[外链图片转存中…(img-0xYXjsLw-1711155525061)]

本文已被CODING开源项目：【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录