Spring Boot 3跨域方案详解:告别CORS烦恼

已于 2024-03-29 18:34:59 修改
阅读量657 收藏 13
点赞数 14
分类专栏: springboot 文章标签: spring boot java 前端
于 2024-03-26 22:50:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yaml4/article/details/137060223
版权

在Spring Boot 3中,解决跨域请求(CORS,Cross-Origin Resource Sharing)的问题主要有以下几种方式:

1. 使用@CrossOrigin注解

你可以直接在Controller类或者具体的请求处理方法上使用@CrossOrigin注解来允许跨域请求。

@RestController  
@RequestMapping("/user")  
@CrossOrigin(origins = "*") // 允许所有来源的请求跨域  
public class UserController {  
    // ...  
}

在这个例子中,@CrossOrigin注解被添加到了控制器类上,表示这个控制器下的所有方法都允许来自http://example.com的GET和POST请求。你也可以将注解添加到特定的方法上,以对该方法应用CORS配置。

2. 全局配置CORS

如果你希望全局配置CORS,而不是在每个Controller或方法上单独配置,你可以创建一个配置类来实现WebMvcConfigurer接口,并重写addCorsMappings方法。

import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.CorsRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  
  
@Configuration  
public class CorsConfig implements WebMvcConfigurer {  
  
    @Override  
    public void addCorsMappings(CorsRegistry registry) {  
        // 添加映射路径  
        registry.addMapping("/**")  
                .allowedOrigins("*") // 允许哪些域的请求,星号代表允许所有  
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") // 允许的方法  
                .allowedHeaders("*") // 允许的头部设置  
                .allowCredentials(true) // 是否发送cookie  
                .maxAge(168000); // 预检间隔时间  
    }  
}

在这个配置中,addMapping("/**")表示对所有的路径都应用CORS配置。allowedOrigins("*")表示允许所有来源的访问,这在生产环境中可能不是最佳实践,通常你会指定具体的域名。allowedMethods定义了允许的HTTP方法,allowedHeaders定义了允许的HTTP头部,allowCredentials(true)表示是否允许携带凭证(cookies, HTTP认证及客户端SSL证明等),maxAge则用于设置预检请求的有效期。

3. 使用Filter实现CORS

你也可以通过实现Filter接口来自定义CORS处理逻辑。

import javax.servlet.*;  
import javax.servlet.http.HttpServletResponse;  
import java.io.IOException;  
  
public class SimpleCorsFilter implements Filter {  
  
    @Override  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
            throws IOException, ServletException {  
        HttpServletResponse response = (HttpServletResponse) res;  
        response.setHeader("Access-Control-Allow-Origin", "http://example.com");  
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");  
        response.setHeader("Access-Control-Max-Age", "3600");  
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");  
        chain.doFilter(req, res);  
    }  
  
    @Override  
    public void init(FilterConfig filterConfig) {}  
  
    @Override  
    public void destroy() {}  
}

然后需要在配置类中注册这个Filter。

import org.springframework.boot.web.servlet.FilterRegistrationBean;  
import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.Configuration;  
  
@Configuration  
public class FilterConfig {  
  
    @Bean  
    public FilterRegistrationBean<SimpleCorsFilter> corsFilter() {  
        FilterRegistrationBean<SimpleCorsFilter> registrationBean = new FilterRegistrationBean<>();  
        registrationBean.setFilter(new SimpleCorsFilter());  
        registrationBean.addUrlPatterns("/*");  
        return registrationBean;  
    }  
}

4. 使用拦截器(Interceptor)

如果需要更复杂的CORS逻辑,你可以创建一个拦截器来处理CORS请求。拦截器允许你在请求处理之前或之后添加逻辑。

import org.springframework.web.servlet.HandlerInterceptor;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
  
public class CorsInterceptor implements HandlerInterceptor {  
  
    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {  
        response.setHeader("Access-Control-Allow-Origin", "http://example.com");  
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  
        response.setHeader("Access-Control-Allow-Headers", "*");  
        // 其他CORS相关的响应头设置  
        return true;  
    }  
}

然后,你需要在配置类中注册这个拦截器: 

import org.springframework.beans.factory.annotation.Autowired;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  
  
@Configuration  
public class WebConfig implements WebMvcConfigurer {  
  
    @Autowired  
    private CorsInterceptor corsInterceptor;  
  
    @Override  
    public void addInterceptors(InterceptorRegistry registry) {  
        registry.addInterceptor(corsInterceptor).addPathPatterns("/**");  
    }  
}
  • 当设置allowedHeaders("*")时,实际上浏览器会发送实际请求头而不是*。出于安全考虑,最好明确指定允许的头部。
  • 在生产环境中,确保不要过于宽松地配置CORS,只允许必要的源和方法。
  • 如果你的应用部署在代理服务器后面(如Nginx或Apache),可能还需要在代理服务器上配置CORS。

5. 响应体(Response Body)来设置CORS

虽然这种方式不如前面提到的几种方法直接和常用,但在某些特殊场景下,你可能需要手动控制响应头来实现跨域。

具体实现时,你可以在Controller的方法中,通过HttpServletResponse对象来设置Access-Control-Allow-Origin等CORS相关的HTTP头。

import javax.servlet.http.HttpServletResponse;  
import org.springframework.web.bind.annotation.GetMapping;  
import org.springframework.web.bind.annotation.RestController;  
  
@RestController  
public class MyController {  
  
    @GetMapping("/data")  
    public String getData(HttpServletResponse response) {  
        // 设置允许跨域的来源  
        response.setHeader("Access-Control-Allow-Origin", "http://example.com");  
        // 设置允许的方法(GET, POST, PUT, DELETE等)  
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  
        // 设置允许的头信息  
        response.setHeader("Access-Control-Allow-Headers", "*");  
        // 设置预检请求的有效期  
        response.setHeader("Access-Control-Max-Age", "3600");  
          
        // 返回数据  
        return "Data";  
    }  
}

需要注意的是,手动设置响应头的方式相对繁琐,且容易遗漏某些必要的头信息,导致CORS配置不完整。因此,在实际开发中,推荐使用前面提到的方法,它们更为直接且易于管理。

此外,如果你正在使用Spring Security,还需要确保Spring Security的配置不会阻止跨域请求的处理。在某些情况下,你可能需要在Spring Security的配置中允许特定的CORS请求。

6. 通过自定义ResponseBodyAdvice

ResponseBodyAdvice是Spring MVC提供的一个接口,允许你在Controller方法返回响应体之前对其进行修改。虽然它本身不是专为CORS设计的,但你可以利用它在返回响应之前添加CORS相关的HTTP头。

下面是一个简单的示例,展示了如何通过实现ResponseBodyAdvice接口来添加CORS头:

import org.springframework.core.MethodParameter;  
import org.springframework.http.MediaType;  
import org.springframework.http.server.ServerHttpRequest;  
import org.springframework.http.server.ServerHttpResponse;  
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;  
  
import java.lang.reflect.Type;  
  
public class CorsResponseBodyAdvice implements ResponseBodyAdvice<Object> {  
  
    @Override  
    public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {  
        // 支持所有返回类型  
        return true;  
    }  
  
    @Override  
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,  
                                   Class<? extends HttpMessageConverter<?>> selectedConverterType,  
                                   ServerHttpRequest request, ServerHttpResponse response) {  
        // 设置CORS相关的HTTP头  
        response.getHeaders().set("Access-Control-Allow-Origin", "http://example.com");  
        response.getHeaders().set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  
        response.getHeaders().set("Access-Control-Allow-Headers", "*");  
        // 如果有需要,还可以设置其他CORS相关的头,比如预检请求的有效期等  
          
        // 返回原始的body,不做修改  
        return body;  
    }  
}

然后,你需要在Spring Boot的配置中注册这个ResponseBodyAdvice

import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  
  
@Configuration  
public class WebConfig implements WebMvcConfigurer {  
  
    @Override  
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {  
        // 注册你的ResponseBodyAdvice  
        converters.forEach(converter -> {  
            if (converter instanceof MappingJackson2HttpMessageConverter) {  
                ((MappingJackson2HttpMessageConverter) converter).setResponseBodyAdvice(new CorsResponseBodyAdvice());  
            }  
        });  
    }  
}

这种方法的优点在于它可以全局地应用于所有Controller的响应,而无需在每个Controller或方法上单独设置。然而,它同样也有一些局限性,比如你可能需要手动处理一些CORS的细节,并且这种方式不如使用Spring提供的CORS支持那么直接和灵活。

在选择解决方案时,应该根据项目的具体需求和团队的偏好来权衡各种方法的优缺点。如果项目中有大量的Controller需要处理跨域请求,并且希望有一个统一且全局的解决方案,那么使用WebMvcConfigurerCorsFilter可能是更好的选择。如果只需要在特定的Controller或方法上处理跨域请求,那么使用@CrossOrigin注解可能更为简单直接。

Yaml墨韵
关注
  • 14
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot进阶(38):解锁SpringBoot跨域限制,实现前后端完美交互!
**My Coding Family**
05-23 879
SpringBoot跨域配置,一文搞定它。
SpringBoot跨域设置(CORS
m0_67391121的博客
08-02 466
请求url的协议、域名、端口三者有任意一个不同即为跨域跨域问题是因为浏览器的同源策略的限制而产生的。同源请求url的协议、域名、端口三者都相同即为同源(同一个域)。同源策略同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全功能。同源策略会阻止非同源(同一个域)的内容进行交互。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法接触非同源网页的DOM无法向非同源地址发送AJAX请求浏览器限制发起跨域请求;预检请求。...
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Boot设置支持跨域请求过程详解
08-18
主要介绍了Spring Boot设置支持跨域请求过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring boot 总结之跨域处理cors的方法
08-28
本篇文章主要介绍了Spring boot 总结之跨域处理cors的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Spring MVC CORS 跨域
08-30
本篇文章主要介绍了详解Spring MVC CORS 跨域 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot3.0请求跨域问题解决
weixin_44837637的博客
03-06 2489
springboot3.0请求跨域问题解决
3、SpringBoot 解决跨域问题
小确幸的博客
01-18 2493
前端和后端都会遇到跨域问题,这篇介绍几种 SpringBoot 解决跨域方案,并说明下跨域失效问题。
ajax跨域处理 No 'Access-Control-Allow-Origin' header is present on the requested resource 问题
weixin_30820151的博客
08-22 668
Controller层的类上增加@CrossOrign注解,当前文件的所有接口就都可以被调用 spring注解@CrossOrigin不起作用的原因 1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin 2、非@CrossOrigin没有解决跨域请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示跨域问题。 3、在Controlle...
转载-在 SpringBoot 中全局设置允许跨域请求
奚学长的工地
09-05 3341
转载出处 https://blog.csdn.net/larger5/article/details/79805617 一、前言 现在在团队做的项目都是前后端分离的,借助 swagger 进行前后端合作  ① 后台负责写数据处理的接口  ② 前台负责解析 JSON、设计界面 要实现接口可以给前端访问,还要设置允许跨域访问接口,正式本文的重点 前后端分离优缺点:  一、为什么要前后端分离:...
SpringBoot解决CORS跨域(@CrossOrigin)
热门推荐
浅然的专栏
07-21 11万+
一、关于跨域介绍 在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API...
Spring boot跨域设置实例详解
08-28
主要介绍了Spring boot跨域设置实例详解,简单介绍了跨域的定义,原因,使用场景及解决方案,具有一定参考价值,需要的朋友可以了解下。
spring boot项目如何设置全局跨域配置
qq_43411729的博客
07-07 811
跨域配置
spring boot3解决跨域问题(超详细解释)
2301_78646673的博客
11-28 880
跨域限制会导致一些常见的问题,例如在一个页面上使用JavaScript发起AJAX请求获取另一个域名下的数据时,浏览器会阻止这种跨域请求,以确保用户的安全性和隐私。registry.addMapping("/**") //指定允许跨域请求的路径模式为"/**",表示所有的路径都将允许跨域访问。使用@CrossOrigin注解可以配置允许的跨域请求规则,包括允许的源、允许的HTTP方法、允许的请求头、是否允许发送凭证等。跨域问题是由浏览器的安全机制引起的,而不是服务器端的限制。
SpringBoot跨域及解决方式
王德昌的博客
08-06 249
跨域”,从字面上理解就是指跨越了域。在这里,“域"是指的是"域名”。在浏览器中,出于安全考虑,同源策略会限制来自不同源(即不同域名、协议或者端口)的"document"或脚本等资源能进行的交互。例如,浏览器允许脚本在用户浏览器内对自身创建的文档或元素进行更改,但是禁止脚本对来自不同源的窗口或文档进行任何操作。以上就是关于SpringBoot跨域问题的讨论以及解决方式,希望对大家有所帮助。在实际的开发过程中,还需要根据实际的业务需求来选择合适的解决方案
springboot后端进行跨域配置
weixin_51084939的博客
06-22 339
常量,用于设置跨域请求的最大有效时长,以秒为单位。在这里设置为1天(24小时 * 60分钟 * 60秒)。的最大有效时长,即在接收到OPTIONS预检请求后,对该请求的响应结果进行缓存的时间。对象与所有接口路径("/**")进行关联,表示对所有接口都应用该CORS配置。对象进行设置,您可以定义允许的来源地址、请求头和请求方法。实例,该实例用于处理CORS过滤器。实例,表示具体的CORS配置。实例,该实例用于配置CORS策略。作为参数,返回一个配置好的。方法内部,首先创建一个。8、最后,通过实例化。
基于 Spring Boot 博客系统开发(三)
呆萌很的博客
04-23 1088
在Thymeleaf中,如果你想要抽取公共页面(例如,头部、底部、导航栏等),可以通过定义和使用片段(fragments)和包含(includes)来实现。首页head部分的公共代码抽取成碎片,使用 thymeleaf 的标签 th:fragment 和 th:include。然后,在你的主页面(比如index.html)中,使用Thymeleaf的th:include来复用这段代码。将需要抽取的代码放到include fragment中,需要用到这些代码的地方使用th:include引用。
spring boot的项目+nginx,怎么预防点击劫持(clicekJacking)
keyboard专栏
04-23 472
通过这些措施,你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全,还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性,也提高了应用的健壮性。
跨域资源共享错误:cors
最新发布
04-24
跨域资源共享(Cross-Origin Resource Sharing,简称CORS)是一种机制,用于在浏览器中处理跨域请求。当一个网页的源(origin)与请求的目标资源的源不一致时,浏览器会执行CORS机制来确定是否允许该请求。 CORS错误通常指的是在进行跨域请求时出现的问题。以下是一些常见的CORS错误: 1. 同源策略限制:浏览器默认情况下,不允许通过XMLHttpRequest或Fetch API发送跨域请求。如果尝试发送跨域请求,浏览器会阻止该请求,并抛出CORS错误。 2. 预检请求失败:对于某些复杂的跨域请求(例如带有自定义头部信息或使用特殊HTTP方法的请求),浏览器会先发送一个预检请求(OPTIONS请求)来检查服务器是否允许实际请求。如果预检请求失败,浏览器会抛出CORS错误。 3. 服务器未正确配置CORS:服务器需要在响应中添加一些特定的HTTP头部信息来告知浏览器允许跨域请求。如果服务器未正确配置CORS,浏览器会抛出CORS错误。 解决CORS错误的方法包括: 1. 在服务器端正确配置CORS:服务器需要在响应中添加`Access-Control-Allow-Origin`头部信息,指定允许访问的源。还可以添加其他CORS相关的头部信息,如`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。 2. 使用代理服务器:可以通过设置一个代理服务器来转发请求,使得请求变为同源请求,从而避免CORS问题。 3. JSONP:如果只是需要获取数据而不涉及其他类型的请求,可以考虑使用JSONP(JSON with Padding)来进行跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值