014-Spring MVC处理CORS跨域

已于 2022-08-25 10:09:59 修改
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 人在江湖之SpringMVC 文章标签: Springmvc 跨域 CorsRegistry CORS
于 2021-11-11 16:18:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/121267500
版权

Spring MVC中处理CORS跨域

Spring MVC中处理CORS跨域有如下几种方式

  1. @CrossOrigin(注解)
  2. CorsRegistry(全局配置)
  3. SpringMVC拦截器
  4. 实现Filter接口

编写axios异步请求

当然JQuery或直接AJAX请求也可以

编写test.html文件如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="./js/axios.min.js"></script>
</head>
<body>


<button onclick="checkCors()" type="button">CORS请求</button>

<script>

    axios.defaults.withCredentials=false // 不携带cookie
    axios.defaults.crossDomain=true
    axios.defaults.headers.post['Content-Type'] = 'application/json'

    var baseUrl = "http://localhost:8090";
    var token = '';
    var request = axios.create({
        baseURL: baseUrl, // api的base_url
        timeout: 50000, // request timeout
        data: {}
    });


    function checkCors() {

        request({
            url: '/demo6/checkCors',
            method: 'post',
            data : {
            }
        }).then(response => {
            console.log(response.data)
            token = response.data.content;
        });
    }

</script>

</body>
</html>

点击下载axios.min.js文件

编写测试Controller

package com.yyoo.springmvc.controller;

import com.yyoo.springmvc.bean.MyResponse;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("demo6")
public class Demo6Controller {

    @RequestMapping("checkCors")
    public MyResponse checkCors(){
        return MyResponse.success("CORS请求成功!");
    }

}

测试请求

在这里插入图片描述

如图,我们在没有进行任何的跨域处理时,点击CORS请求按钮后会有两个请求发送,而且都有错误,而且它们的状态也不一样。第一个就是“预检”请求,第二个才是实际的请求。关于请求的状态以及相关的http知识不是我们本章的讨论内容。接下来我们来通过以上几种方式来处理跨域问题。想了解跨域的相关知识可查看CORS跨域介绍

@CrossOrigin(注解)解决跨域

package com.yyoo.springmvc.controller;

import com.yyoo.springmvc.bean.MyResponse;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("demo6")
public class Demo6Controller {

    @RequestMapping("checkCors")
    @CrossOrigin
    public MyResponse checkCors(){
        return MyResponse.success("CORS请求成功!");
    }

}

可见@CrossOrigin注解方式十分简单,在对应的方法上加上该注解即可。@CrossOrigin注解也可以作用在类上,让该类下的请求方法都支持跨域。

@CrossOrigin注解也可以设置对应的参数,直接查看源码即可了解。

package org.springframework.web.bind.annotation;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.util.List;

import org.springframework.core.annotation.AliasFor;
import org.springframework.web.cors.CorsConfiguration;

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {

	/**
	 * Alias for {@link #origins}.
	 */
	@AliasFor("origins")
	String[] value() default {};

	/**
	 * A list of origins for which cross-origin requests are allowed. Please,
	 * see {@link CorsConfiguration#setAllowedOrigins(List)} for details.
	 * <p>By default all origins are allowed unless {@link #originPatterns} is
	 * also set in which case {@code originPatterns} is used instead.
	 */
	@AliasFor("value")
	String[] origins() default {};

	/**
	 * Alternative to {@link #origins} that supports more flexible origin
	 * patterns. Please, see {@link CorsConfiguration#setAllowedOriginPatterns(List)}
	 * for details.
	 * <p>By default this is not set.
	 * @since 5.3
	 */
	String[] originPatterns() default {};

	/**
	 * The list of request headers that are permitted in actual requests,
	 * possibly {@code "*"}  to allow all headers.
	 * <p>Allowed headers are listed in the {@code Access-Control-Allow-Headers}
	 * response header of preflight requests.
	 * <p>A header name is not required to be listed if it is one of:
	 * {@code Cache-Control}, {@code Content-Language}, {@code Expires},
	 * {@code Last-Modified}, or {@code Pragma} as per the CORS spec.
	 * <p>By default all requested headers are allowed.
	 */
	String[] allowedHeaders() default {};

	/**
	 * The List of response headers that the user-agent will allow the client
	 * to access on an actual response, other than "simple" headers, i.e.
	 * {@code Cache-Control}, {@code Content-Language}, {@code Content-Type},
	 * {@code Expires}, {@code Last-Modified}, or {@code Pragma},
	 * <p>Exposed headers are listed in the {@code Access-Control-Expose-Headers}
	 * response header of actual CORS requests.
	 * <p>The special value {@code "*"} allows all headers to be exposed for
	 * non-credentialed requests.
	 * <p>By default no headers are listed as exposed.
	 */
	String[] exposedHeaders() default {};

	/**
	 * The list of supported HTTP request methods.
	 * <p>By default the supported methods are the same as the ones to which a
	 * controller method is mapped.
	 */
	RequestMethod[] methods() default {};

	/**
	 * Whether the browser should send credentials, such as cookies along with
	 * cross domain requests, to the annotated endpoint. The configured value is
	 * set on the {@code Access-Control-Allow-Credentials} response header of
	 * preflight requests.
	 * <p><strong>NOTE:</strong> Be aware that this option establishes a high
	 * level of trust with the configured domains and also increases the surface
	 * attack of the web application by exposing sensitive user-specific
	 * information such as cookies and CSRF tokens.
	 * <p>By default this is not set in which case the
	 * {@code Access-Control-Allow-Credentials} header is also not set and
	 * credentials are therefore not allowed.
	 */
	String allowCredentials() default "";

	/**
	 * The maximum age (in seconds) of the cache duration for preflight responses.
	 * <p>This property controls the value of the {@code Access-Control-Max-Age}
	 * response header of preflight requests.
	 * <p>Setting this to a reasonable value can reduce the number of preflight
	 * request/response interactions required by the browser.
	 * A negative value means <em>undefined</em>.
	 * <p>By default this is set to {@code 1800} seconds (30 minutes).
	 */
	long maxAge() default -1;

}

CorsRegistry(全局配置)解决跨域

@CrossOrigin注解方式简单,但如果我们需要为我们的应用设置一个全局的CORS配置,@CrossOrigin就不太方便了。这时候我们可以通过CorsRegistry来配置

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/demo6/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "OPTIONS","POST")
                .allowCredentials(false).maxAge(3600);

        // 还能添加更多的 mappings...
    }
}

WebMvcConfigurer:我们添加的大部分配置都用到了它,目前为止我们用他添加过类型转换器、拦截器、以及现在的CORS全局配置。

SpringMVC 拦截器解决跨域

package com.yyoo.springmvc.interceptor;

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class MyInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.addHeader("Access-Control-Allow-Origin", "*");
        // 允许请求携带cookie
        response.setHeader("Access-Control-Allow-Credentials", "false");
        response.addHeader("Access-Control-Max-Age","86400");
        // 响应类型
        response.addHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        // 响应头设置
        response.addHeader("Access-Control-Allow-Headers", "Content-Type, X-Requested-With, X-authentication, X-client, X-Token, X_Requested_With");
        return true;
    }
}

此方式在我们需要携带cookie的时候比较有用,因为携带cookie的时候需要Access-Control-Allow-Credentials为true,而且Access-Control-Allow-Origin不能为*(具体请查看上一篇文章:CORS跨域介绍)。如果我们需要运行跨域的请求Origin有多个怎么办?或者我们后端根本不知道Origin的值,需要每次从请求头中获取比对怎么办?在拦截器中或过滤器中我们就可以使用request对象进行一些编码来实现。

package com.yyoo.springmvc.interceptor;

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.ArrayList;
import java.util.List;

public class MyInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 指定允许其他域名访问,Access-Control-Allow-Credentials为true时,该值不能为*
        String origin = request.getHeader("origin");
        if(origin != null && checkOrigin(origin)) {
            response.addHeader("Access-Control-Allow-Origin", origin);
        }
        // 允许请求携带cookie
        response.setHeader("Access-Control-Allow-Credentials", "true");

        response.addHeader("Access-Control-Max-Age","86400");
        // 响应类型
        response.addHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        // 响应头设置
        response.addHeader("Access-Control-Allow-Headers", "Content-Type, X-Requested-With, X-authentication, X-client, X-Token, X_Requested_With");

        return true;
    }


    private boolean checkOrigin(String origin){
        List<String> originList = new ArrayList<>();
        originList.add("http://localhost:8090");
        originList.add("http://localhost:9090");
        // ...

        for(String o : originList){
            if(o.contains(origin)){
                return true;
            }
        }
        return false;
    }
}

过滤器解决跨域问题

@Component
public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        // String origin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Max-Age", "86400");
        // 为true时Access-Control-Allow-Origin不能为*
        response.setHeader("Access-Control-Allow-Credentials", "false");
        // 此处为允许请求携带的所以请求头,如果要限制,可自行定义
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

注:在使用shiro的时候拦截器或者其他方式无法解决跨域的问题,这个时候使用过滤器可以解决。(具体可以参考shiro使用token认证

上一篇:CORS跨域介绍
下一篇:待续

没事儿写两篇
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot与CorsRegistry联合使用
weixin_36276193的博客
11-08 1万+
1、现在越来越多的开发使用了请后端分离,或者由于一些网站多个模块的部署,需要请求。为此,使用CorsRegistry。 注:若地址里面的协议、名和端口号均相同则属于同源。 2、关于CorsRegistry的使用 (1)引入相关的依赖  &lt;dependencies&gt;         &lt;dependency&gt;             &lt;groupId&gt;...
Spring MVCCORS的详细介绍
08-30
本文介绍了 CORS 的知识以及如何在 Spring MVC 中配置 CORS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
CorsRegistry SpringBoot的解决方式介绍
wang5701071的博客
12-22 7190
1:CorsRegistry是什么? CorsRegistry的全称为Cross-Origin Resource SharingRegistry,直译过来就是资源共享登记。是spring中解决的一种方式 需要在pom文件中引入jar包. <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-...
后端通过CorsRegistry对象配置了全局,但是前端仍然报CORS错误
热爱编程、热爱生活、热爱探索
07-29 3157
所以错误的跟本原因在于OPTIONS,由于我配置了登录拦截器,对于放行请求,不会有什么问题,但是对于没有放行的请求,会直接拦截OPTIONS请求,OPTIONS请求是一个探测请求,内部并不会携带token,所以就直接导致OTIONS请求被拦截,这样就会让浏览器觉得请求不可达,直接在前端报。在前后端分离的项目中,很容易出现错误,因为前端和后端的端口号、主机名一般都不相同,此时前端能够发送请求给后端,但是由于同源策略的存在,会直接被浏览器给拦截。也可以配置,我一般都是直接在后端配置的,可以使用**
Spring MVC(四)— CORS、HTTP缓存及MVC配置
最新发布
KEEP CODING
03-25 622
Spring CORS 允许开发者配置哪些可以访问其Web应用的资源。HTTP缓存是提高Web应用程序性能的一种重要技术。通过实现WebMvcConfigurer接口来对MVC容器进行配置。
解决访问问题(CORS)
weixin_72718065的博客
03-28 159
添加一个配置类并添加 @Configuration 类中实现WebMvcConfigurer接口 实现其中的 addCorsMappings(CorsRegistry registry)方法 添加以下配置
SpringBoot解决CorsRegistry
w1316022737的博客
08-22 7724
@Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/admin/**") .al...
SpringMVC CORS解决方案 2021-9-20
qq_21438267的博客
09-20 853
SpringMVC 应用开发 1 基础概念介绍 2 返回值处理 3 参数绑定处理 4 RequestMapping注解 5 RESTful支持 6 拦截器应用 7 CORS解决方案 8 Mock测试(模拟测试) 9 ControllerAdvice 10 乱码解决 11 非注解开发方式 CORS解决方案SpringMVC 应用开发一、 什么是二、 如何解决三、 使用CORS3.1 什么是CORS3.2 客户端处理 (了解)3.2.1 对于简单请求3.2.2 非简单请求请求信息3.3
详解Spring MVC CORS
08-30
本篇文章主要介绍了详解Spring MVC CORS ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring MVC cors实现源码解析
08-31
本文主要介绍了spring MVC cors实现源码解析。具有很好的参考价值,下面跟着小编一起来看下吧
cors-spring-boot-starter:CORS与Spring Boot集成
04-30
compile group: "com.windhc", name: "cors-spring-boot-starter", version: "1.1.0" 配置 # 必选。启用cors,值是一个布尔值 cors.enabled= # 可选。设置允许的接口地址,/**代表所有地址,默认/** cors.path-...
Spring Boot 通过CORS实现问题
09-07
主要介绍了Spring Boot 通过CORS实现,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
CORS问题处理
极赫赫的博客
05-11 836
本文主要是后端对接口问题的简单处理、有需要的同学可以参考下。
Spring 里那么多种 CORS 的配置方式,到底有什么区别
gw的博客
12-03 1273
作为一个后端开发,我们经常遇到的一个问题就是需要配置CORS,好让我们的前端能够访问到我们的 API,并且不让其他人访问。而在Spring中,我们见过很多种CORS的配置,很多资料都只是告诉我们可以这样配置、可以那样配置,但是这些配置有什么区别? CORS 是什么 首先我们要明确,CORS是什么,以及规范是如何要求的。这里只是梳理一下流程,具体的规范请看这里。 CORS全称是...
SpringBoot - CORS支持
江南烟雨却痴缠丶
03-30 180
CORS (Cross-Origin Resource Sharing)是由W3C制定的一种资源共享技术标准,其目的就是为了解决前端的请求。最常见的前端请求解决方案是JSONP,但 是JSONP只支持 GET 请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法。 一、CORS请求过程 1、GET、POST和HEAD请求 以get为例,浏览器发送请求时,请求头Reques...
Spring Boot 使用 CORS 解决请求问题
养歌的博客
01-10 1939
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的下,那么势必会引起问题的出现。 那什么是呢? 指的是从一个名去请求另外一个名的资源。即名请求,时,浏览器不能执行其他名网站的脚本,是由浏览器的 “同源策略” 造成的,是浏览器施加的安全限制。的严格一点来说就是只要协议,名,端口有任何一个的不同,就被当作是。 下面举个例子: 判断下面 URL 是否和 http://www.baidu.com/a/a.html 同源 http://www.baidu.com/
【SpringBoot】SpringBoot配置CORS和遇到的问题
热门推荐
sfh2018的博客
05-10 1万+
这里记录一次使用SpringBoot项目配置CORS的写法和中间遇到的问题。 使用SpringBoot配置CORS的方式有三种,下边分别介绍下。 一、方式一:使用@CrossOrigin注解 如果想要对某一接口配置 CORS,可以在方法上添加 @CrossOrigin 注解: @CrossOrigin(origins = {"http://localhost:8080", "null"}) @RequestMapping(value = "/test", method = RequestMethod
spring配置CORS后未返回Access-Control-Allow-Origin的踩坑解决
Victor Lv的博客
07-09 5406
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
SpringBoot处理Cors请求的几种方法
qq_53559899的博客
04-23 614
Error: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YoV8DwXW-1650725515871)(https://ask8088-private-1251520898.cn-south.myqcloud.com/developer-images/article/9695062/44vj5udadr.png?q-sign-algorithm=sha1&q-ak=AKID2uZ1FGBdx1pNgjE3KK4YliPpzyjLZvug&q-sign-ti
spring mvc 设置请求
03-23
在Spring MVC中设置请求可以通过以下步骤实现: 1. 添加CORS配置类:创建一个类,例如`CorsConfig`,并使用`@Configuration`注解标记。在该类中,可以使用`addMapping`方法来配置允许请求的路径、允许的请求方法、允许的请求头等。 ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") // 配置允许的路径 .allowedOrigins("http://example.com") // 允许的源地址 .allowedMethods("GET", "POST") // 允许的请求方法 .allowedHeaders("header1", "header2") // 允许的请求头 .allowCredentials(true); // 是否允许发送Cookie } }; } } ``` 2.用CORS配置:在Spring MVC的配置类中,使用`@EnableWebMvc`注解启用MVC配置,并将上一步创建的CORS配置类添加到配置中。 ```java @Configuration @EnableWebMvc public class MvcConfig extends WebMvcConfigurerAdapter { @Autowired private CorsConfig corsConfig; @Override public void addCorsMappings(CorsRegistry registry) { corsConfig.corsConfigurer().addCorsMappings(registry); } } ``` 通过以上步骤,你可以在Spring MVC中设置请求。请注意,这只是一种常见的配置方式,你可以根据实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值