配置Cross-Origin的几种方法

最新推荐文章于 2024-05-17 09:28:31 发布
最新推荐文章于 2024-05-17 09:28:31 发布
阅读量4.4k 收藏 3
点赞数 3
分类专栏: Java.Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KimSoft/article/details/107535139
版权

文章目录

Cross-origin resource sharing (CORS)

参考文档: Spring Boot

Cross-origin resource sharing (CORS) is a W3C specification implemented by most browsers that lets you specify in a flexible way what kind of cross-domain requests are authorized., instead of using some less secure and less powerful approaches such as IFRAME or JSONP.

As of version 4.2, Spring MVC supports CORS. Using controller method CORS configuration with @CrossOrigin annotations in your Spring Boot application does not require any specific configuration. Global CORS configuration can be defined by registering a WebMvcConfigurer bean with a customized addCorsMappings(CorsRegistry) method, as shown in the following example:

@Configuration(proxyBeanMethods = false)
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/api/**");
            }
        };
    }
}

配置Cross-Origin的几种方法

参考文档:Spring MVC

1 注解法 @CrossOrigin

  • 可在类级别使用,方法级别可以继承(覆盖)
  • 默认值
    • Allow all origins.
    • Allow all headers.
    • All HTTP methods to which the controller method is mapped.
    • allowedCredentials is not enabled by default
    • Set max age to 1800 seconds (30 minutes).
  • 用于细粒度的控制
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin("https://domain2.com")
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

2 全局配置法 (Global Configuration)

  • 默认值,详见 org.springframework.web.cors.CorsConfiguration#applyPermitDefaultValues()
    • Allow all origins.
    • Allow all headers.
    • GET, HEAD, and POST methods.(注意:这个和注解不一样)
    • allowedCredentials is not enabled by default
    • Set max age to 1800 seconds (30 minutes).
  • 一般放到 MVC Java configuration(WebMvcConfigurer的实现类)中
@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("*")
                .allowedHeaders("*")
                .allowedMethods("GET", "HEAD", "POST")
                .allowCredentials(false)
                .maxAge(3600);

        // Add more mappings...
    }
}
  • 搞个单独的Configuration也是可以的
@Configuration(proxyBeanMethods = false)
public class CorsConfig {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/api/**")
                        .allowedOrigins("*")
                        .allowedHeaders("*")
                        .allowCredentials(false)
                        .maxAge(3600);
            }
        };
    }

}

3 过滤器法(CorsFilter)

3.1 没有使用 Spring security 的情况下

@Configuration(proxyBeanMethods = false)
public class CorsConfig {

    /**
     * @see CorsConfiguration#applyPermitDefaultValues()
     * <ul>
     * <li>Allow all origins.</li>
     * <li>Allow "simple" methods {@code GET}, {@code HEAD} and {@code POST}.</li>
     * <li>Allow all headers.</li>
     * <li>Set max age to 1800 seconds (30 minutes).</li>
     * </ul>
     */
    @Bean
    public FilterRegistrationBean corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.applyPermitDefaultValues(); // 注意这个简便用法
        config.setAllowedMethods(Collections.unmodifiableList(Arrays.asList("*")));

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return bean;
    }

3.2 Spring security 内置了对 CorsFilter 的支持

Spring Security

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http
           // by default uses a Bean by the name of corsConfigurationSource
           .cors(withDefaults())
           //...
   }

   @Bean
   CorsConfigurationSource corsConfigurationSource() {
       CorsConfiguration config = new CorsConfiguration();
       config.applyPermitDefaultValues();
       config.setAllowedMethods(Collections.unmodifiableList(Arrays.asList("*")));

       UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
       source.registerCorsConfiguration("/**", config);
       return source;
   }
}

注意一点,不要重复指定:If you are using Spring MVC’s CORS support, you can omit specifying the CorsConfigurationSource and Spring Security will leverage the CORS configuration provided to Spring MVC.

KimSoft
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot跨域配置@CrossOrigin以及编写配置文件方式
qq_36894396的博客
07-17 1803
今天收到同事的请求说希望在某个方法上加上跨域配置,我翻看项目原来的配置文件,发现并没有跨域的配置文件,所以萌生了编写一个配置文件的想法。由于本人比较菜,只能百度,结果出来一大堆,但是项目又比较急,而且用的是springboot,在我的一番查找之下,终于找到了跨域配置方法 先看spring官方文档说明 发现了这么个说明,大致意思是从4.2版本开始,只需要在控制层方法上加上注解@CrossOrig...
CorsConfig 和注解@CrossOrigin解决springboot跨域请求的问题
qq_45395640的博客
02-29 1663
原文链接:https://blog.csdn.net/Tomwildboar/article/details/82422761 目的:解决springboot跨域请求的问题 注: 1、这个解决的方法在网上直接都可以搜索到。基本都是三种解决办法。说第一种解决不了 500错误继续什么什么的。。。 2、这都不重要重要的是,他们给出了代码。我们却不知道怎用。 3、我在这个上面做出了解释,和添加了一条...
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1268
是 Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
什么是跨域(cross-origin)请求,如何解决跨域问题?
官方推荐
08-31 8982
什么是跨域(cross-origin)请求,如何解决跨域问题?
跨域解决方案
DiligentDog的博客
11-03 3631
关于跨域问题的解决方案
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9397
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
Allow-Control-Allow-Origin.rar
11-07
总的来说,“Allow-Control-Allow-Origin.rar”提供了一种方便的开发工具,帮助开发者在Chrome浏览器上解决跨域问题。但重要的是,开发者需要理解其背后的CORS机制,并在生产环境中遵循最佳安全实践。
cross-request-3.0-master.zip
03-15
在使用“cross-request-3.0-master”之前,开发者需要理解几个关键概念: 1. CORS(Cross-Origin Resource Sharing,跨源资源共享):这是一种W3C标准,通过在服务器端设置特定的HTTP响应头,允许浏览器在跨域请求...
vue打包使用Nginx代理解决跨域问题
12-09
解决方法有一下几种 服务器端配置CORS 用nginx反向代理,和访问本地服务器是一样的 可以修改成正式线上的地址,再build 推荐 使用nginx配置反向代理,这样就可以在前端彻底解决跨域问题。 vue index.js文件...
解决springboot添加@CrossOrigin支持跨域不起作用
qq_45721173的博客
05-07 8978
问题描述 在springboot开发中,为解决跨域请求问题,在代码中添加注解@CrossOrigin不起任何作用。 后端报错信息如下 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" resp
Spring CORS 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 3565
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
Nginx | Nginx之跨域配置(CORS)
苏老师的博客
10-19 1万+
Nginx-跨域配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是跨域资源共享(Cross-origin resource sharing). 他允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX跨域调用. 简单来说就是跨域的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意跨域. Nginx通过CROS 实现跨域 #设置Origin
注解@CrossOrigin具有什么功能呢?
qq_25073223的博客
06-06 9600
CrossOrigin注解的功能简介说明
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
CORS跨域
weixin_46078854的博客
11-12 1520
一、修改代码: 1.简单请求 //go后端(w为http.ResponseWriter): w.Header().Set("Access-Control-Allow-Origin", “*”); 2.非简单请求(预检) //go后端(w为http.ResponseWriter): // 如果需要http请求中带上cookie,需要前后端都设置credentials,且后端设置指定的origin,即域名不能为"*" w.Header().Set("A......
请求跨域问题:CORS(Cross-Origin Resource Sharing)
xinyihhh的博客
03-11 1131
出于浏览器的同源策略限制。 所谓同源(即指在同一个域)就是两个地址具有相同的协议(protocol)、主机(host)和端口号(port) 以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 ..
【注解】 @CrossOrigin
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
04-07 2925
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? @CrossOrigin是用来处理跨域请求的注解 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。     
CORS 专题
weixin_33843947的博客
05-16 293
CORS(跨域资源共享,Cross-Origin Resource Sharing)CORS其实出现时间不短了,它在维基百科上的定义是:跨域资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允...
chrome strict-origin-when-cross-origin
09-04
Chrome的strict-origin-when-cross-origin是一种浏览器政策,用于处理跨域请求。当在一个网站上发起一个跨域请求时,Chrome会将请求的头部中的Referer字段设置为"strict-origin-when-cross-origin",表示只有在同一站点内的请求才能够访问响应。这意味着,如果你在使用Vue前端部署到Nginx的服务器上时,浏览器访问资源时会产生跨域问题,你可能会在控制台看到strict-origin-when-cross-origin的错误。 为了解决这个问题,你可以通过以下几种方法进行修复: 1. 在谷歌浏览器中输入"chrome://flags/#block-insecure-private-network-requests",然后将"Block insecure private network requests"这个选项设置为"Disabled"。这样做可以禁用跨域请求的限制,但需要注意,这可能会带来一些安全风险。 2. 如果你在配置中没有问题,可以尝试直接在地址栏中输入请求的URL进行访问。如果你能够成功获取到数据,那么问题可能是浏览器相关的。 综上所述,通过禁用Chrome的跨域限制或者尝试直接在地址栏输入URL进行访问,你应该能够解决strict-origin-when-cross-origin的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [谷歌浏览器strict-origin-when-cross-origin 解决](https://blog.csdn.net/weixin_48687496/article/details/123749167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值