Spring Boot 中三种跨域场景总结,这篇必看!不看后悔系列

于 2024-04-21 05:29:38 发布
阅读量643 收藏 14
点赞数 10
分类专栏: 2024年程序员学习 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84435578/article/details/138020022
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip1024b (备注Java)
img

正文

这次我把 Spring Boot 中的跨域问题分为了三个场景:

  • 普通跨域

  • Spring Security 跨域

  • OAuth2 跨域

分为三种并非多此一举,主要是因为这三种场景的配置都不太一样,而这三种场景又都是非常常见的场景,所以这里和大家再来专门分享下。

1.什么是跨域

很多人对跨域有一种误解,以为这是前端的事,和后端没关系,其实不是这样的,说到跨域,就不得不说说浏览器的同源策略。

同源策略是由 Netscape 提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。所谓同源是指协议、域名以及端口要相同。

同源策略是基于安全方面的考虑提出来的,这个策略本身没问题,但是我们在实际开发中,由于各种原因又经常有跨域的需求,传统的跨域方案是 JSONP,JSONP 虽然能解决跨域但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求,在 RESTful 时代这几乎就没什么用。

而今天我们说的 CORS(跨域源资源共享)(CORS,Cross-origin resource sharing)是一个 W3C 标准,它是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,这是 JSONP 模式的现代版。

在 Spring 框架中,对于 CORS 也提供了相应的解决方案,在 Spring Boot 中,这一方案得倒了简化,无论是单纯的跨域,还是结合 Spring Security 之后的跨域,都变得非常容易了。

2.解决方案

首先创建两个普通的 Spring Boot 项目,这个就不用我多说,第一个命名为 provider 提供服务,第二个命名为 consumer 消费服务,第一个配置端口为 8080,第二个配置配置为 8081,然后在 provider 上提供两个 hello 接口,一个 get,一个 post,如下:

@RestController

public class HelloController {

@GetMapping(“/hello”)

public String hello() {

return “hello”;

}

@PostMapping(“/hello”)

public String hello2() {

return “post hello”;

}

}

在 consumer 的 resources/static 目录下创建一个 html 文件,发送一个简单的 ajax 请求,如下:

然后分别启动两个项目,发送请求按钮,观察浏览器控制台如下:

Access to XMLHttpRequest at ‘http://localhost:8080/hello’ from origin ‘http://localhost:8081’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

可以看到,由于同源策略的限制,请求无法发送成功。

使用 CORS 可以在前端代码不做任何修改的情况下,实现跨域,那么接下来看看在 provider 中如何配置。首先可以通过 @CrossOrigin 注解配置某一个方法接受某一个域的请求,如下:

@RestController

public class HelloController {

@CrossOrigin(value = “http://localhost:8081”)

@GetMapping(“/hello”)

public String hello() {

return “hello”;

}

@CrossOrigin(value = “http://localhost:8081”)

@PostMapping(“/hello”)

public String hello2() {

return “post hello”;

}

}

这个注解表示这两个接口接受来自 http://localhost:8081 地址的请求,配置完成后,重启 provider ,再次发送请求,浏览器控制台就不会报错了,consumer 也能拿到数据了。

此时观察浏览器请求网络控制台,可以看到响应头中多了如下信息:

在这里插入图片描述

这个表示服务端愿意接收来自 http://localhost:8081 的请求,拿到这个信息后,浏览器就不会再去限制本次请求的跨域了。

provider 上,每一个方法上都去加注解未免太麻烦了,有的小伙伴想到可以讲注解直接加在 Controller 上,不过每个 Controller 都要加还是麻烦,在 Spring Boot 中,还可以通过全局配置一次性解决这个问题,全局配置只需要在 SpringMVC 的配置类中重写 addCorsMappings 方法即可,如下:

@Configuration

public class WebMvcConfig implements WebMvcConfigurer {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping(“/**”)

.allowedOrigins(“http://localhost:8081”)

.allowedMethods(“*”)

.allowedHeaders(“*”);

}

}

/** 表示本应用的所有方法都会去处理跨域请求,allowedMethods 表示允许通过的请求数,allowedHeaders 则表示允许的请求头。经过这样的配置之后,就不必在每个方法上单独配置跨域了。

2.1 存在的问题

了解了整个 CORS 的工作过程之后,我们通过 Ajax 发送跨域请求,虽然用户体验提高了,但是也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery)跨站请求伪造。跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。

3.SpringSecurity

如果使用了 Spring Security,上面的跨域配置会失效,因为请求被 Spring Security 拦截了。

当引入了 Spring Security 的时候,我们有两种办法开启 Spring Security 对跨域的支持。

3.1 方式一

方式一就是在上一小节的基础上,添加 Spring Security 对于 CORS 的支持,只需要添加如下配置即可:

@Configuration

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.anyRequest().authenticated()

.and()

.formLogin()

.permitAll()

.and()

.httpBasic()

.and()

.cors()

.and()

.csrf()

.disable();

}

最后

关于面试刷题也是有方法可言的,建议最好是按照专题来进行,然后由基础到高级,由浅入深来,效果会更好。当然,这些内容我也全部整理在一份pdf文档内,分成了以下几大专题:

  • Java基础部分

  • 算法与编程

  • 数据库部分

  • 流行的框架与新技术(Spring+SpringCloud+SpringCloudAlibaba)

这份面试文档当然不止这些内容,实际上像JVM、设计模式、ZK、MQ、数据结构等其他部分的面试内容均有涉及,因为文章篇幅,就不全部在这里阐述了。

作为一名程序员,阶段性的学习是必不可少的,而且需要保持一定的持续性,这次在这个阶段内,我对一些重点的知识点进行了系统的复习,一方面巩固了自己的基础,另一方面也提升了自己的知识广度和深度。

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

的学习是必不可少的,而且需要保持一定的持续性,这次在这个阶段内,我对一些重点的知识点进行了系统的复习,一方面巩固了自己的基础,另一方面也提升了自己的知识广度和深度。**

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
[外链图片转存中…(img-Tu3h5XQk-1713648567018)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84435578
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端场景及解决方法
Debug的博客
07-02 1029
场景: 1.名不同 (www.yangwei.com 和www.wuyu.com 即为不同的名) 2.二级名相同,子名不同 (www.wuhan.yangwei.com www.shenzheng.yangwei.com 为子不同) 3.端口不同,协议不同 ( http://www.yangwei.com 和https://www.yangwei.com属于www.yangwei.con:8888和www.yangwei.con:8080) 请求
Spring Boot 三种场景总结
m0_45270667的博客
10-27 5040
1、什么是 很多人对有一种误解,以为这是前端的事,和后端没关系,其实不是这样的,说到,就不得不说说浏览器的同源策略。 同源策略是由 Netscape 提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。所谓同源是指协议、名以及端口要相同。 同源策略是基于安全方面的考虑提出来的,这个策略本身没问题,但是我们在实际开发,由于各种原因又经常有的需求,传统的方案是 JSONP,JSONP 虽然能解决但是有一个很大的局
SpringBoot OAuth2支持访问
无望丶
03-21 3478
什么是访问 在 HTML ,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的与该请求指向的资源所在的不一样。这里的指的是这样的一个概念:我们认为若协议 + 名 + 端口号均相同,那么...
SpringBoot2.0+SpringSecurity+Oauth2获取AccessTokenCORS访问终极解决方案
坐看云起时_雨宣
06-15 6691
今天在搭建项目的时候遇到了Oauth2获取AccessToken访问的问题,之前关于这块都是自己去实现,这次打算用Oauth2来集成SpringBoot。项目依赖如下: <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId&g...
Spring Security使用Oauth2时的问题
LJL's博客
01-12 3018
Spring Security使用Oauth2时的问题
Spring boot 总结处理cors的方法
08-28
Spring Boot 处理 CORS 的方法 Spring Boot 是一个基于 Java 的框架,用于快速构建生产级别的应用程序。然而,在构建前后端分离的项目时,我们经常会遇到问题。问题是指当我们的页面和接口在不同名下...
Spring Boot 通过CORS实现问题
09-07
Spring Boot 通过CORS实现是解决现代Web应用程序访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
详解Spring Boot 2.0.2+Ajax解决请求的问题
08-26
"详解Spring Boot 2.0.2+Ajax解决请求的问题" 知识点1:什么是请求? 请求是指浏览器从一个名下的网页去请求另一个名下的资源时,会出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
spring boot配合前端实现请求访问
08-30
另一种Spring Boot处理的方式是创建一个继承自`WebMvcConfigurerAdapter`的配置类,重写`addCorsMappings`方法。例如: ```java @Configuration public class CorsConfig extends WebMvcConfigurerAdapter ...
Spring Boot设置支持请求过程详解
08-18
主要介绍了Spring Boot设置支持请求过程详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot 实现的 5 种方式
z_ssyy的博客
04-12 1075
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为首先编写一个过滤器,可以起名字为MyCorsFilter.java@Component在web.xml配置这个过滤器,使其生效-- 访问 START--><filter></filter>-- 访问 END -->
springboot解决XSS存储型漏洞
weixin_42949219的博客
12-18 3193
在这个过滤器监听XSSFilter,使用上面写的XssRequestWrappers来处理请求的非法内容/**} }/**} }/**} }Filter;
Spring Boot使用CORS解决问题
热门推荐
脚踏实地,慢慢来
11-22 1万+
一、问题描述Web开发经常会遇到问题,解决方案有:jsonp,iframe,CORS等等。 CORS 与 JSONP 相比: 1、 JSONP 只能实现 GET 请求,而 CORS 支持所有类型的 HTTP 请求。 2、 使用 CORS,开发者可以使用普通的 XMLHttpRequest 发起请求和获得数据,比起 JSONP 有更好的 错误处理。 3、 JSONP 主要被老的浏览器支
Spring Boot解决问题的3种方案
知不足而奋进 望远山而前行
02-02 1769
前后端分离大势所趋,问题更是老生常谈,随便用标题去google或百度一下,能搜出一大片解决方案,那么为啥又要写一遍呢,不急往下看。
SpringBoot解决的五种方案
最新发布
shun35的博客
02-19 920
同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。如果使用了局部是会覆盖全局的规则,所以可以通过 @CrossOrigin 注解来进行细粒度更高的资源控制。所以,用最简单的话来说,就是前端可以发请求给服务器,服务器也可以进行响应,只是因为浏览器会对请求头进行判断,所以要么前端设置请求头,要么后端设置请求头。同源,就是咱们名、端口号、ip、采用的协议都相同,那么我们就是同源的。
springboot 配置越访问
梓鸿
12-20 564
import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException;...
林间资源访问--林信任
QQ3211767677的博客
09-17 470
前言: 外部信任为不同之间访问资源提供了方法,但是如果两个林分别有多个,要访问资源就需要创建多个外部信任,而林信任只需要在林根之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的。 林信任的特点 1.简化资源访问 2.可以传递 3.信任方向分为单向和双向两种 4.林功能级别为Windows Server 2003或更高才能创建 林1的树根名为n01.com,林2的树根名为n02.com,要求n02.com里的用户可以访问n01.com里的资源。 .
Spring Boot项目解决问题(四种方式)
weixin_44924882的博客
01-26 5898
开发项目的时候因为浏览器同源策略的限制,经常会遇到问题,本篇文章对常见的解决方案做一个记录。
访问
qq_68078273的博客
04-02 396
案例:公司使用环境进行管理,名 benet.com(2022-1),该公司成立一个财务部,分别有成员:张三、李四、已经为财务部单独创建了新的树,名为 app.(2022-6),现在需要张三、李四可以方 app.com 的某一个文件夹。 注意:访问那个服务器的资源,就在该服务器上创建本地组 准备工作: 1.2022-1服务器 名为benet.com 2.2022-6服务器 名为app.com 3.计算机加入 2022-1 2022-1操作: 1. 新建全局组 2. 创建
Spring Boot 如何解决问题
03-26
Spring Boot 可以通过添加 CORS(来源资源共享)配置来解决问题。可以通过以下步骤实现: 1. 添加依赖 在 pom.xml 文件添加下面的依赖: ```xml <groupId>org.springframework.boot <artifactId>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值