SpringBoot:CORS是什么?SpringBoot如何解决跨域问题?

已于 2024-06-12 17:51:44 修改
阅读量1.1k 收藏 31
点赞数 18
分类专栏: Spring 文章标签: spring boot 后端 java spring 架构 html
于 2024-06-12 17:50:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A79800/article/details/139630867
版权

一、简介

  跨域资源共享(CORS, Cross-Origin Resource Sharing)是一个W3C规范,它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。当一个资源(如HTML页面、JavaScript文件、图片等)从一个源(origin)被请求到另一个源时,就会发生跨域请求。出于安全原因,浏览器会限制跨域请求,但CORS规范提供了一种机制,允许服务器明确指示哪些源可以访问其资源。

二、什么情况下需要CORS?

跨域数据访问
  当一个Web应用需要从另一个域(包括协议、域名、端口三者之一不相同)加载资源时,就会触发跨域问题。

  例如,一个位于https://test.com的网页试图访问http://api.anotherdomain.com提供的API数据,由于两个URL的域名不同,浏览器会阻止这种跨域请求,以保护用户数据不被恶意脚本获取。此时,就需要CORS来允许这种跨域访问。

图片、字体和媒体资源跨域引用
  在网页开发中,经常会引用到图片、字体和媒体资源,这些资源可能存放在不同的域名下。由于浏览器的同源策略,这些跨域资源的引用可能会被阻止。CORS允许服务器指定哪些域可以访问其资源,从而允许网页跨域引用这些资源。

三、CORS请求示例

1. 简单请求(Simple Request)

请求头示例:

  当浏览器发现是一个简单请求时(例如,使用GET、HEAD或POST方法,并且请求头中只包含简单的字段,如Accept、Accept-Language、Content-Language、Content-Type且Content-Type的值只能是text/plain、multipart/form-data或application/x-www-form-urlencoded),它会自动在请求头中加上Origin字段,告诉服务器这个请求来自哪个源(请求协议+域名+端口)。

GET /cors HTTP/1.1  
Origin: http://api.bob.com  
Host: api.alice.com  
Accept-Language: en-US  
Connection: keep-alive  
User-Agent: Mozilla/5.0...

响应头示例:

  服务器在收到请求后,会检查Origin字段。如果字段值在服务器的许可范围内,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Credentials: true  
Content-Type: text/html; charset=utf-8

2. 非简单请求(Not-So-Simple Request)

  对于非简单请求(例如,使用PUT、DELETE方法,或使用自定义的请求头),浏览器的CORS请求分为两步:

第一步:预检请求(Preflight Request)

  浏览器首先会发送一个OPTIONS请求到服务器,询问是否允许跨域请求。这个请求会包含一些额外的头部字段,如Access-Control-Request-Method和Access-Control-Request-Headers。

OPTIONS /cors HTTP/1.1  
Origin: http://api.bob.com  
Access-Control-Request-Method: PUT  
Access-Control-Request-Headers: X-Custom-Header

第二步:实际请求(Actual Request)

  如果服务器在预检请求的响应中允许了跨域请求,浏览器才会发送实际的请求。

PUT /cors HTTP/1.1  
Origin: http://api.bob.com  
X-Custom-Header: foobar  
...

预检请求的响应头示例

  服务器在收到预检请求后,会检查请求头中的字段,并决定是否允许跨域请求。如果允许,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Methods: PUT, DELETE  
Access-Control-Allow-Headers: X-Custom-Header  
Access-Control-Max-Age: 86400

简单请求:浏览器直接发送带有Origin字段的请求,服务器通过响应头中的CORS相关字段来决定是否允许跨域访问。

非简单请求:浏览器首先发送一个OPTIONS预检请求,询问服务器是否允许跨域请求。如果允许,浏览器才会发送实际的请求。服务器通过预检请求的响应头中的CORS相关字段来决定是否允许跨域请求。

四、什么是预检请求

  CORS的预检请求是浏览器在发送某些跨域请求之前的一个安全机制。它通过向目标服务器发送一个额外的OPTIONS请求来检查服务器是否允许该跨域请求。如果服务器在响应中允许了跨域请求,那么浏览器才会发送实际的跨域请求。这个机制有助于保护用户数据不被恶意脚本获取,同时允许合法的跨域请求得以执行。

触发条件

  1.请求方法不是GET、HEAD或POST:当浏览器尝试使用除GET、HEAD或POST之外的方法(如PUT、DELETE等)发送跨域请求时,会触发预检请求。

  2.请求头中包含自定义头部字段:如果跨域请求中包含了自定义的HTTP头部字段(如X-Custom-Header),并且这些字段的值不在简单的头部字段列表中,那么也会触发预检请求。

  3.发送了application/json格式的数据:当浏览器向服务器发送包含Content-Type: application/json的请求头时,也会触发预检请求。

预检请求的过程

  浏览器发送OPTIONS请求:浏览器首先会发送一个HTTP OPTIONS请求到目标服务器,这个请求不包含任何实际的数据,而是包含了一些CORS相关的请求头,如Access-Control-Request-Method(指定实际请求的方法)和Access-Control-Request-Headers(指定实际请求中包含的自定义头部字段)。

OPTIONS /cors HTTP/1.1  
Origin: http://api.bob.com  
Access-Control-Request-Method: PUT  
Access-Control-Request-Headers: X-Custom-Header

  服务器响应OPTIONS请求:服务器在收到OPTIONS请求后,会检查请求头中的字段,并决定是否允许跨域请求。如果允许,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Methods: PUT, DELETE  
Access-Control-Allow-Headers: X-Custom-Header  
Access-Control-Max-Age: 86400

  浏览器发送实际请求:如果服务器在预检请求的响应中允许了跨域请求,那么浏览器会发送实际的跨域请求。这个请求会包含实际的数据和所有必要的请求头。

五、CORS中常用的HTTP响应头

CORS主要通过在HTTP响应头中添加特定的字段来控制跨域访问。以下是CORS中常用的HTTP响应头:

Access-Control-Allow-Origin
这个响应头指定了哪些源(域名、协议和端口)有权限访问该资源。
如果要允许所有源,可以设置为*(但请注意,这可能会带来安全风险,特别是当涉及到敏感数据时)。
示例:Access-Control-Allow-Origin: https://test.com

Access-Control-Allow-Methods
这个响应头指定了服务器支持的跨域请求的方法(HTTP方法,如GET、POST、PUT、DELETE等)。
示例:Access-Control-Allow-Methods: GET, POST, OPTIONS

Access-Control-Allow-Headers
这个响应头指定了服务器允许在跨域请求中使用的头部字段。
示例:Access-Control-Allow-Headers: Content-Type, X-Requested-With

Access-Control-Allow-Credentials
这个响应头是一个布尔值,指定是否允许在跨域请求中包含用户凭据(如cookies、HTTP认证或客户端SSL证明)。
如果设置为true,浏览器会向服务器发送凭据。但请注意,Access-Control-Allow-Origin不能设置为*,必须明确指定允许的源。
示例:Access-Control-Allow-Credentials: true

Access-Control-Max-Age
这个响应头指定了预检请求(preflight request,即OPTIONS请求)的结果可以被缓存多久(以秒为单位)。
浏览器会在缓存期内跳过预检请求,从而提高性能。
示例:Access-Control-Max-Age: 86400(一天)

Access-Control-Expose-Headers
这个响应头指定了哪些头部字段应该被包含在跨域请求的响应中,并可以通过getResponseHeader()方法访问。
默认情况下,跨域请求只能访问简单的响应头(如Cache-Control、Content-Language、Content-Type、Expires、Last-Modified和Pragma)。
示例:Access-Control-Expose-Headers: X-My-Custom-Header

六、SpringBoot中如何解决跨域问题

1.使用@CrossOrigin注解:

  你可以在控制器类或方法上使用@CrossOrigin注解来允许跨域请求。

@RestController  
@RequestMapping("/test")  
@CrossOrigin(origins = "http://test.com") // 允许来自http://test.com的跨域请求  
public class MyController {  
    // ...  
}

或者只在需要的方法上使用:

@GetMapping("/data")  
@CrossOrigin(origins = "http://test.com")  
public ResponseEntity<String> getData() {  
    // ...  
}

2.全局配置

  配置WebMvcConfigurer你可以实现WebMvcConfigurer接口并重写addCorsMappings方法来全局配置CORS。

@Configuration  
public class WebConfig implements WebMvcConfigurer {  
    @Override  
    public void addCorsMappings(CorsRegistry registry) {  
        registry.addMapping("/**") // 允许所有路径的跨域请求  
                .allowedOrigins("http://test.com") // 允许来自http://test.com的跨域请求  
                .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的方法  
                .allowedHeaders("*") // 允许的头部  
                .allowCredentials(true) // 是否允许发送cookies  
                .maxAge(3600); // 预检请求的缓存时间(秒)  
    }  
}

3.使用过滤器(Filter)

  你也可以通过自定义Filter来处理CORS请求。这通常在你需要更复杂的CORS逻辑时使用。

@Component  
public class CorsFilter implements Filter {  
    @Override  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
            throws IOException, ServletException {  
        HttpServletResponse response = (HttpServletResponse) res;  
        response.setHeader("Access-Control-Allow-Origin", "http://test.com");  
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  
        response.setHeader("Access-Control-Allow-Headers", "*");  
        response.setHeader("Access-Control-Allow-Credentials", "true");  
        chain.doFilter(req, res);  
    }  
    // ... 其他方法  
}
注意:如果你使用@Component注解,则Spring Boot会自动注册这个过滤器。

以上是跨域问题的详细介绍,以及SpringBoot中如何解决跨域问题相关代码示例。

奋斗的狍子007
关注
  • 18
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot笔记20】SpringBoot问题CORS的四种解决方案
11-01 1615
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
Java-SpringBoot:什么是?SpringBoot怎么实现允许访问?教程.
LwinnerG的博客
09-12 1045
什么是请求(CORS)? CORS 全称 Croos Origin Resource Sharing(资源共享) 每一个页面需要返回一个名为Access-Control-Allow-Origin的http头来允许外的站点访问,可以仅仅暴露有限的资源和有限的外站点访问 SpringBoot实现 单独配置 在控制器层 也就是Controller加一个@CrossOrgin注解其实就可以了. 意思是允许该类下的所有资源可以通过访问. 当然 也可以写在某一个单独的方法上 代表这个方法允许
Springboot是怎么解决问题的?
凡夫编程
03-16 2036
访问问题的出现,起因于浏览器的同源策略,然而事情的事相是请求可以发出去,服务器端也可以收到请求并返回正常的结果,只是最终的响应结果被浏览器拦截了。如今是什么形形势了?前后端分离,分布式部署、微服务等如雨后春笋般出现了,都有访问的需要,同源策略限制,似乎有点不合时宜。那么解决这个问题的思路是什么呢? 其实理解了什么是同源策略以及问题出现的原因,解决思路也就再明显不过了。既然是前端发起请求后,后端收到请求也处理了请求并响应了结果,只是浏览器把结果给拦截了,那么最直接的想法就是在前端绕过同源策略限
SpringBoot3 CORS访问
MyFreeIT
05-31 2986
需要认真的学习每个细节。allowCredentials(true) 和 allowed-origins: "*" 不能同时配置allowCredentials(true) 和 allowed-origins: "http://127.0.0.1:5500" 匹配。
Springboot 利用CORS 解决问题
nvd11的专栏
10-17 677
什么是 首先我们先用springboot 建立1个简单的API, 它返回1个json package com.example.demo_api_cors.controller; import com.example.demo_api_cors.dto.ValueDto; import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.RequestMap
SpringBoot 处理 CORS 请求的三种方法
weixin_44792849的博客
05-19 722
Springboot 处理CORS请求
SpringBoot 如何处理 CORS
07-12 964
Springboot问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点浏览器出于安全的考虑,使用HTTP请求时必须遵守同源策略,否则就是的HTTP请求,默认情况下是被禁止的。换句话说,浏览器安全的基石是同源策略。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。CORS是一个W3C标准,全称是”资源共享”(),允许浏览器向源服务器,发出请求,从而克服了AJAX只能同源使用的限制。
springboot配置CORS解决问题:
SunPeng的博客
10-20 898
springboot配置CORS解决问题:
SpringbootCORS处理实现原理
08-19
本文主要介绍了 Springboot CORS 处理实现原理,通过示例代码详细讲解了问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
springboot中如何通过cors协议解决问题
08-27
主要介绍了springboot中通过cors协议解决问题,cors是一个w3c标准,它允许浏览器(目前ie8以下还不能被支持)像我们不同源的服务器发出xmlHttpRequest请求,我们可以继续使用ajax进行请求访问。具体内容详情大家...
vue+springboot实现项目的CORS请求
12-09
资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:资源...
Springboot处理CORS请求的三种方法
08-19
主要介绍了Springboot处理CORS请求的三种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springbootCORS处理代码解析
08-25
Spring Boot CORS 处理是指在不同源之间共享资源时,如何解决浏览器的同源策略限制的问题。同源策略是浏览器的一种安全机制,禁止非同源访问,以防止恶意脚本攻击。为了解决这个问题,W3C 提出了 CORS(Cross-...
Spring Boot框架的原理及应用详解(四)
最新发布
凛鼕将至的博客
06-19 723
Spring Boot是一个基于Spring框架的开源项目,旨在通过约定大于配置的原则来简化Spring应用的初始搭建以及开发过程。它通过使用特定的方式来进行配置,减少了样板化的配置,使开发人员能够更专注于业务逻辑的实现。 本文将跟随《Spring Boot框架的原理及应用详解(三)》的进度,继续介绍Spring Boot框架。希望通过本系列文章的学习,您将能够更好地理解Spring Boot框架的内部工作原理,掌握Spring Boot框架的使用技巧,以及通过合理的设
Spring Boot 和 Spring Cloud 的区别及选型
weixin_47260194的博客
06-14 871
Spring Boot 是一个用于简化 Spring 应用开发的框架。它通过约定优于配置的理念,减少了开发过程中所需的样板代码和配置,使得开发者能够快速上手并创建生产级别的 Spring 应用。Spring Cloud 是一组工具的集合,用于构建分布式系统和微服务架构。它基于 Spring Boot 提供了一系列组件和服务,帮助开发者解决在分布式系统中常见的问题,如配置管理、服务发现、负载均衡、断路器、分布式追踪等。Spring Boot 和 Spring Cloud 各有其特点和适用场景。
4.1 初探Spring Boot
howard2005的专栏
06-16 500
Spring Boot通过其自动化配置和简化的配置方式,极大地提高了Java企业级应用的开发效率。它不仅适用于微服务架构,也适用于传统的单体应用,是现代Java开发中不可或缺的工具。通过本实战概述,开发者可以快速掌握Spring Boot的核心概念和开发流程,为构建高效、可维护的应用程序打下坚实基础。
探索Spring Boot的自动配置机制
weixin_42279822的博客
06-13 704
如果需要自定义DataSourceBean,可以在应用程序中定义自己的DataSource@BeanSpring Boot会优先使用开发者定义的DataSource,而不会使用默认的自动配置。Spring Boot的自动配置机制通过Starter依赖、条件注解和自动配置类等技术,极大地简化了Spring应用的开发过程,使得开发者能够专注于业务逻辑而不是繁琐的配置。开发者可以通过自定义配置或禁用自动配置来灵活调整应用程序的行为,从而满足特定需求。
深入探索 Spring Boot 自定义启动画面
fudaihb的博客
06-15 851
Spring Boot 启动画面,即 Banner,是在启动 Spring Boot 应用时显示在控制台的一段 ASCII 艺术画或文本信息。这个启动画面默认包含了 Spring Boot 的标识和版本信息,但你可以根据需求自定义其内容。品牌识别:通过在启动画面中加入公司 Logo 或项目名称,可以增强品牌的辨识度。信息展示:可以显示项目版本、启动时间、环境变量等有用的信息,便于开发和运维人员快速获取。个性化:使你的应用程序看起来更加专业和独特。
mysql中的锁都有什么?mysql中innodb增删改自动加排它锁?SpringBoot如何解决问题
05-03
MySQL中常见的锁包括:表锁、行锁、共享锁、排他锁、意向锁、记录锁等。 在InnoDB引擎中,对于增删改操作,会自动加上排它锁(X锁),即其他事务不能读取、修改被锁定的行,也不能再次获取锁。但是查询操作不会自动加锁,需要手动使用SELECT ... FOR UPDATE或SELECT ... LOCK IN SHARE MODE来加锁。 Spring Boot可以通过配置来解决问题,具体操作如下: 1. 在Spring Boot的启动类上添加@CrossOrigin注解,允许所有的请求: ```java @SpringBootApplication @CrossOrigin public class Application { //... } ``` 2. 在Controller类上添加@CrossOrigin注解,指定允许的请求来源: ```java @RestController @CrossOrigin(origins = {"http://localhost:8080"}) public class MyController { //... } ``` 3. 在Spring Boot的配置文件application.properties或application.yml中增加如下配置: ```yaml spring: cors: allowed-origins: http://localhost:8080 allowed-methods: GET,POST,PUT,DELETE ``` 以上配置中,allowed-origins指定允许的请求来源,allowed-methods指定允许的HTTP方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值