springBoot CORS跨域注解@CrossOrigin

已于 2022-01-31 10:27:44 修改
阅读量4.8k 收藏 6
点赞数
文章标签: java 开发语言 后端
于 2022-01-28 15:57:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/122732603
版权

1、概述

在任何现代浏览器中,随着 HTML5 和 JS 客户端的出现,跨域资源共享 (CORS)是一项相关规范,这些客户端通过 REST API 使用数据。

通常,服务于 JS 的主机(例如 example.com)与服务于数据的主机(例如 api.example.com)是不同的。在这种情况下,CORS 可以实现跨域通信。

Spring 为 CORS 提供一流的支持,为在任何 Spring 或 Spring Boot Web 应用程序中配置它提供了一种简单而强大的方式。

2.控制器方法CORS配置

启用 CORS 很简单——只需添加注释@CrossOrigin

我们可以通过几种不同的方式实现这一点。

2.1。@CrossOrigin@RequestMapping-带注释的处理程序方法上

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @RequestMapping(method = RequestMethod.GET, path = "/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在上面的示例中,我们只为retrieve()方法启用了 CORS 。我们可以看到我们没有为@CrossOrigin注解设置任何配置,所以它使用默认值:

  • 允许所有来源。
  • 允许的 HTTP 方法是在@RequestMapping注释中指定的方法(本例中为 GET)。
  • 预检响应的缓存时间 ( maxAge ) 为 30 分钟。

2.2. 控制器上的@CrossOrigin

@CrossOrigin(origins = "http://example.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @RequestMapping(method = RequestMethod.GET, path = "/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

这一次,我们在类级别添加了@CrossOrigin。因此,retrieve()remove()方法都启用了它。我们可以通过指定注释属性之一的值来自定义配置:originsmethodsallowedHeadersexposedHeadersallowCredentialsmaxAge

2.3. @CrossOrigin关于控制器和处理程序方法

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin("http://example.com")
    @RequestMapping(method = RequestMethod.GET, "/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

Spring 将结合来自两个注解的属性来创建一个合并的 CORS 配置。

在这里,两个方法的maxAge都是 3,600 秒,remove()方法将允许所有来源,retrieve()方法只允许来自http://example.com的来源。

3. 全局 CORS 配置

作为细粒度的基于注释的配置的替代方案,Spring 允许我们在控制器之外定义一些全局 CORS 配置。这类似于使用基于Filter的解决方案,但可以在 Spring MVC 中声明并结合细粒度的@CrossOrigin配置。

默认情况下,允许所有来源和 GET、HEAD 和 POST 方法。

3.1。Java配置

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

上面的示例启用了从任何来源到应用程序中任何端点的 CORS 请求。

为了进一步锁定这一点,registry.addMapping方法返回一个CorsRegistration对象,我们可以将其用于其他配置。还有一个allowedOrigins方法可以让我们指定一个允许来源的数组。如果我们需要在运行时从外部源加载此数组,这将很有用。

此外,还有allowedMethodsallowedHeadersexposedHeadersmaxAge 和allowCredentials,我们可以使用它们来设置响应标头和自定义选项。

3.2. XML 命名空间

这个最小的 XML 配置在/**路径模式上启用了 CORS,其默认属性与 JavaConfig 相同:

<mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

也可以使用自定义属性声明多个 CORS 映射:

<mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>

4. 带有 Spring Security 的 CORS

如果我们在项目中使用 Spring Security,我们必须采取额外的步骤来确保它与 CORS 兼容。那是因为需要先处理 CORS。否则,Spring Security 将在请求到达 Spring MVC 之前拒绝该请求。

幸运的是,Spring Security 提供了一个开箱即用的解决方案:

@EnableWebSecurity
	public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	    @Override
	    protected void configure(HttpSecurity http) throws Exception {
	        http.cors().and()...
	    }
	}

这篇文章更详细地解释了它。

5. 它是如何工作的

CORS 请求会自动分派到各种已注册的HandlerMappings。它们处理 CORS 预检请求并使用CorsProcessor 实现(默认为DefaultCorsProcessor)拦截 CORS 简单和实际请求,以添加相关的 CORS 响应标头(例如Access-Control-Allow-Origin)。

CorsConfiguration允许我们指定应该如何处理 CORS 请求,包括允许的来源、标头和方法等。我们可以通过多种方式提供:

  • AbstractHandlerMapping#setCorsConfiguration()允许我们指定一个Map,其中几个CorsConfiguration映射到路径模式,例如/api/**
  • 子类可以通过覆盖AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法来提供自己的CorsConfiguration 。
  • 处理程序可以实现CorsConfigurationSource 接口(就像现在的ResourceHttpRequestHandler一样)为每个请求提供CorsConfiguration

6. 结论

在本文中,我们展示了 Spring 如何为在我们的应用程序中启用 CORS 提供支持。

我们从控制器的配置开始。我们看到我们只需要添加注解@CrossOrigin来启用 CORS 到一个特定的方法或整个控制器。

此外,我们了解到,为了在控制器之外控制 CORS 配置,我们可以使用 JavaConfig 或 XML 在配置文件中顺利执行此操作。

示例的完整源代码可在 GitHub 上获得。

allway2
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue+springboot实现项目的CORS跨域请求
12-09
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源共享CORS详解。本文为通过一个小demo对该博客中分析内容的一些验证。 1.springboot+vue项目的构建和启动 细节不在此赘述,任何简单的springboot项目就可以,而前端vue项目只需用axios发ajax请求即可。 我的demo里填写用户名和密码,然后点击登录按钮向后台发起登录请求,js代码如下: methods:{
springBoot跨域注解@CrossOrigin
苏凯的博客
01-25 2万+
Spring Framework 4.2 GA为CORS提供了第一类支持,使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持@CrossOrigin ; springBoot跨域注解 : @CrossOrigin 在controller控制类上方加注解; spring注解@CrossOrigin不起作用的原因 1、是s...
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1290
是 Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
SpringBoot跨域设置(CORS
骑个小蜗牛的博客
03-23 4万+
目录什么是跨域跨域资源共享(CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是跨域 请求url的协议、域名、端口三者有任意一个不同即为跨域跨域问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、域名、端口三者都相同即为同源(同一个域)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
SpringBoot解决CORS跨域(@CrossOrigin
热门推荐
浅然的专栏
07-21 11万+
一、关于跨域介绍 在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API...
ajax跨域处理 No 'Access-Control-Allow-Origin' header is present on the requested resource 问题
weixin_30820151的博客
08-22 692
Controller层的类上增加@CrossOrign注解,当前文件的所有接口就都可以被调用 spring注解@CrossOrigin不起作用的原因 1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin 2、非@CrossOrigin没有解决跨域请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示跨域问题。 3、在Controlle...
springboot跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9452
1.springboot跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
SpringBoot中的@CrossOrigin注解
weixin_46223196的博客
09-02 2078
对于源码是如此解释的 Annotation for permitting cross-origin requests on specific handler classes and/or handler methods. 用于允许特定处理程序类和/或处理程序方法上的跨源请求的注释。 在SpringBoot使用中,跨域是常见的问题,如果是局部处理跨域,则只需要加入这个注解,如下所示 @CrossOrigin public class ImpCoreController { } @CrossOrigin
SpringBoot解决跨域的方法详细教程
一步一个脚印,踏实努力,向着目标前进
06-16 6746
}通过使用WebMvcConfigurer配置类,可以灵活地定制跨域访问的规则,适应各种复杂的跨域场景。同时,需要注意安全性和细粒度控制,避免不必要的风险。使用Filter过滤器是一种常见的解决跨域问题的方法。通过创建一个实现javax.servlet.Filter接口的过滤器类,并在Web应用程序的配置中进行注册,可以拦截所有请求,并在请求头中添加跨域相关的信息。
Spring 注解面面通 之 @CrossOrigin 注解应用详解
只为成功找方法 不为失败找借口
06-10 2585
默认情况下,只允许客户端访问:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。注意:CORS处理时,从Forwarded、X-Forwarded-Host、X-Forwarded-Port、X-Forwarded-Proto取请求源值。若为Cache-Control、Content-Language、Expires、Last-Modified、Pragma,则无需设置。
Springboot跨域CORS处理实现原理
08-19
解决方案是在 Provider 实现 WebMvcConfigurer 接口,或者使用 @CrossOrigin 注解在方法上。示例代码使用 @Configuration 注解,实现了 WebMvcConfigurer 接口,并在 addCorsMappings 方法中配置了 CORS 设置,允许...
详解springboot设置cors跨域请求的两种方式
08-26
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许 Web 应用服务器进行跨域资源共享。 在本文中,我们将介绍两种设置 CORS 跨域请求的方式。 方式一:使用 CorsFilter 第一种方式是使用 ...
springboot跨域CORS处理代码解析
08-25
Spring Boot 跨域 CORS 处理代码解析 ...Spring Boot 提供了多种方式来解决跨域问题,包括使用 @CrossOrigin 注解和实现 WebMvcConfigurer 接口。通过这些方法,我们可以轻松地解决跨域问题,并且实现跨源资源共享。
SpringBoot跨域Jsonp和Cors的方法
10-16
2. **局部定义**:对于特定的API,可以在控制器方法上使用`@CrossOrigin`注解来指定CORS策略。例如: ```java @RestController public class MyController { @CrossOrigin(origins = "*", allowCredentials = ...
解决springboot实现跨域session共享问题
01-25
Spring Boot提供了CORS(Cross-Origin Resource Sharing)配置,允许我们定义哪些域可以访问我们的API。 要启用CORS支持,我们需要在Spring Boot的配置类中添加一个`@Configuration`注解的类,并声明一个`...
SpringBoot系列】实现跨域的几种方式
Venus's Blog
04-27 8万+
跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,或者涉及到两个不同域名的资源之间的交互。由于同源策略(Same Origin Policy)的限制,浏览器不允许跨域请求。同源策略规定,A网页设置的Cookie、LocalStorage和IndexDB无法被同源以外的网页读取。跨域请求会被浏览器拒绝。举个例子:-和是两个不同的域名,它们之间的请求就是跨域请求。和虽然路径不同,但是域名相同,所以不是跨域。ss。
3、SpringBoot 解决跨域问题
小确幸的博客
01-18 2557
前端和后端都会遇到跨域问题,这篇介绍几种 SpringBoot 解决跨域的方案,并说明下跨域失效问题。
@CrossOrigin注解跨域访问
weixin_30235225的博客
01-21 820
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
Spring-Boot常用注解说明
xiangchen_yue的博客
09-11 159
@SpringBootApplication 是Spring Boot项目的核心注解 作用:是一个组合注解,用来配置启动类 详情:等同于@Configuration + @EnableAutoConfiguration +@ComponentScan package org.springframework.boot.autoconfigure; @Target(ElementType...
@CrossOrigin 只能解决本地跨域
08-15
回答: 不完全正确。@CrossOrigin注解可以解决本地跨域问题,但在某些情况下可能会遇到一些限制。引用中的报错信息指出,当设置allowCredentials为true时,allowedOrigins不能包含特殊值"*",因为在"Access-Control-Allow-Origin"响应头中不能设置"*"。解决方案是明确列出允许使用credentials的origins,或者考虑使用"allowedOriginPatterns"代替。此外,引用提到除了细粒度、基于注释的配置之外,可能还需要定义一些全局CORS配置。这些配置可以在Spring MVC中声明,并结合细粒度的@CrossOrigin配置。默认情况下,所有origins和GET、HEAD和POST方法都是被允许的。因此,@CrossOrigin可以解决本地跨域问题,但在一些特殊情况下可能需要额外的配置。举个例子,可以在控制器类上使用@CrossOrigin注解来允许跨域访问,并在请求方法上使用@RequestMapping注解来定义具体的请求路径和方法类型。例如: ```java @CrossOrigin @RestController public class PersonController { @RequestMapping(method = RequestMethod.GET) public String add() { // 执行相关操作 } } ```<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [解决springboot添加@CrossOrigin支持跨域不起作用](https://blog.csdn.net/qq_45721173/article/details/124634565)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [注解@CrossOrigin解决跨域问题](https://blog.csdn.net/qq_39176597/article/details/112982244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值