Java Web前后端分离中CORS配置及OPTIONS请求优化

最新推荐文章于 2023-12-02 22:40:11 发布
最新推荐文章于 2023-12-02 22:40:11 发布
阅读量1k 收藏 1
点赞数
分类专栏: Java 文章标签: Java Web CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fr1d4st/article/details/94550605
版权

文章目录

Java Web前后端分离中CORS配置及OPTIONS请求优化

0x00 CORS 概述

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求

跨域资源共享( CORS )机制允许 Web 应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequestFetch )使用 CORS,以降低跨域 HTTP 请求所带来的风险。

CORS存在的主要原因就是浏览器的同源策略。

预检请求(preflight request)

对于跨域请求,浏览器首先通过OPTIONS方法发送一个预检请求,用于判断服务端是否可以接收当前请求,然后才会发送真正的HTTP请求。

请求头部

在HTTP请求的头部,主要有如下几个字段和CORS相关:

  • Access-Control-Allow-Origin

该字段用于标识服务端可以接收来自什么地方的请求,为"*"时表示可以接收;

  • Access-Control-Allow-Methods

该字段用于标识服务端可以接收什么样的请求,主要包括GETPOSTOPTIONSPUTDELETE等;

  • Access-Control-Allow-Headers

该字段存在预检请求中,用于标识服务端允许的头部内容,主要包括AcceptAccept-LanguageContent-LanguageContent-Type等,服务端返回内容到Access-Control-Expose-Headers字段;

  • Access-Control-Max-Age

该字段存在预检请求中,用于标识服务端设置的预检请求信息缓存时间。即在服务端设置的时间范围内,只需发送一次OPTIONS请求;

  • Access-Control-Allow-Credentials

该字段存在预检请求中,用于标识是否接收浏览器端的认证信息。认证信息主要包括Cookieauthorization headers等内容。该字段和浏览器中的withCredentials相对应,浏览器端用于标识是否发送认证信息,服务端用于标识是否接收认证信息。

0x01 Filter中配置CORS


    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.addHeader("Access-Control-Allow-Origin", "path/to/origin");
        httpServletResponse
            .addHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
        httpServletResponse.setHeader("Access-Control-Allow-Headers",
            httpServletRequest.getHeader("Access-Control-Request-Headers"));
        httpServletResponse.addHeader("Access-Control-Max-Age", "86400");
        httpServletResponse.addHeader("Access-Control-Allow-Credentials","false");
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

0x02 SpringBoot中配置CORS

全局配置

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("path/to/origin")
            .allowedOrigins("*")
            .allowedHeaders("*")
            .allowedMethods("POST", "GET", "OPTIONS")
            .maxAge(86400)
            .allowCredentials(false);
    }
}

单独配置

@CrossOrigin(
    origins = "path/to/origin",
    methods = {RequestMethod.GET, RequestMethod.POST, RequestMethod.OPTIONS},
    allowedHeaders = "*",
    allowCredentials = "false",
    maxAge = 86400)

0x03 OPTIONS请求优化

右上可知,Access-Control-Max-Age字段用于标识预检请求的缓存时间,因此可以设置Access-Control-Max-Age为较大值来优化OPTIONS请求,在设置的时间段内,只有第一次请求是需要发送OPTIONS的,后面的请求均不需要。

但是,预检请求只针对于单个URL,而不是整个域名,即对http://domain/ahttp://domain/b这2个请求,均需要发送OPTIONS。

fr1d4st
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java实现CORS跨域请求的实现方法
08-29
本篇文章主要介绍了Java实现CORS跨域请求的实现方法,这是一种常见的解决方案,用于解决前后分离开发模式下的跨域请求问题。 CORS全名为Cross-Origin Resource Sharing,文名为跨域资源共享,允许浏览器向跨源...
浏览器过滤掉options请求
最新发布
foreverhui的博客
01-30 562
9. Access-Control-Max-Age: 此次预检的有效时间,设了多少时间,即在这个时间段内,不会进行第二次预检。options请求就是在正式的数据请求前的一次请求,用意就是在正式请求前检测请求是否有效或者是被允许的,而预检请求就是确认是否能够进行正式请求,避免正式请求带来的用户隐私信息泄露风险或者非预期的操作。7. access-control-allow-methods: 允许请求请求方式。8. access-control-allow-headers: 允许请求请求头。
java解决跨域问题(过滤器或者注解)
热门推荐
阳光
11-16 1万+
1。允许整个项目跨域访问,可通过filter来进行过虑: public class SimpleCORSFilter implements Filter{ @Override public void destroy() { } @Override public void doFilter(Servle...
为什么加了 Spring Security 会导致 Spring Boot 跨域失效呢?
ITMuch的专栏
10-04 889
点击上方IT牧场,选择置顶或者星标技术干货每日送达作者:欧阳我去链接:https://segmentfault.com/a/1190000019485883作为一个后开发,我们经...
JavaCors跨域配置
weixin_43652507的博客
12-02 134
JavaCors跨域配置
跨域 CORS/OPTIONS
MXqihang的博客
06-21 476
跨域问题的细节,和处理
使用CORS实现JavaWeb跨域请求问题的方法
09-01
当浏览器发现请求可能涉及CORS时,会先发送一个OPTIONS请求(预检请求),询问服务器是否允许跨域。在`doFilter`方法,我们检查请求方法是否为`OPTIONS`,如果是,就设置状态码为`HttpStatus.SC_NO_CONTENT`,...
nginx配置解决前后的跨越问题
11-02
在现代Web应用开发,前后分离已经成为标准实践,但随之而来的是跨域问题。跨域是指由于浏览器的同源策略限制,JavaScript无法直接访问不同源(协议、域名或口不同)的资源。为了解决这个问题,我们可以利用...
JAVA通过Filter实现允许服务跨域请求的方法
08-26
Java通过Filter实现允许服务跨域请求...理解并正确应用CORS,对于构建现代Web应用,尤其是前后分离的架构,是非常重要的。通过上述方法,开发者可以在Java Web应用轻松实现跨域请求的允许,以满足各种跨域需求。
详解springboot和vue前后分离开发跨域登陆问题
08-25
在前后分离开发,前和后分离的,前使用 Vue 等框架开发,而后使用 SpringBoot 等框架开发。当我们使用 Axios 或者其他请求库来发送请求时,会遇到跨域问题。跨域问题是因为浏览器的同源策略,禁止了不...
CORS原理(为什么会发OPTIONS方法及问题总结)
haonan_z的博客
12-23 945
CORS跨域的原理 跨域资源共享(CORS)是一种机制,是W3C标准。它允许浏览器向跨源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种跨域资源共享的前提是,浏览器必须支持这个功能,并且服务器也必须同意这种"跨域"请求。因此实现CORS的关键是服务器需要服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Contr
spring cloud gateway跨域配置CORS Configuration
09-28 5102
spring cloud gateway跨域配置CORS Configuration
springboot跨域配置
qq_34093116的博客
11-26 468
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springf.
JAVA 服务器配置跨域请求配置
m0_59757074的博客
03-24 677
【代码】JAVA 服务器配置跨域请求配置类。
为什么出现OPTIONS?SpringBoot接口跨域解决方案
weixin_33967071的博客
03-18 1577
原文地址:xeblog.cn/articles/12 引言 前后分离的项目虽然降低了耦合度,但是引发的各种问题也随之而来。后项目由Tomcat部署(监听8080口),前项目则部署在Nginx上(监听80、443等非8080口),前页面加载速度大大提高了,而当ajax请求接口的时候却报错了。 同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持Java...
跨域啥的还是要后来做!
sinat_41770242的博客
08-23 1183
package com.zcw.conf; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import o...
JAVA解决OPTIONS请求问题:跨域时ajax发送两次请求
WillorBoy的博客
06-26 1439
这是在跨域的情况下,浏览器发起"复杂请求"时主动发起的。跨域共享标准规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务是否允许该跨域请求。在进行HTTP请求时,可能会遇到一种叫做OPTIONS请求,它是一种预检请求,用于在发送实际请求之前,检查服务器是否允许该请求。3.利用filter。
通过CorsRegistry对象配置了全局跨域,但是前仍然报CORS跨域错误
热爱编程、热爱生活、热爱探索
07-29 3753
所以错误的跟本原因在于OPTIONS,由于我配置了登录拦截器,对于放行请求,不会有什么问题,但是对于没有放行的请求,会直接拦截OPTIONS请求OPTIONS请求是一个探测请求,内部并不会携带token,所以就直接导致OTIONS请求被拦截,这样就会让浏览器觉得请求不可达,直接在前报。在前后分离的项目,很容易出现跨域错误,因为前和后口号、主机名一般都不相同,此时前能够发送请求给后,但是由于同源策略的存在,会直接被浏览器给拦截。也可以配置跨域,我一般都是直接在后配置跨域的,可以使用**
由于跨域OPTIONS请求带来的java web应用session失效的问题
qq_42136434的博客
05-06 2800
访问链路如上图。 现象是: 使用微信公众号、浏览器、app嵌webview来访问都是正常的,但是钉钉打开web页面就会出现post请求到达tomcat时会话失效。 原因: 由于系统采用前后分离的结构,浏览器访问前页面时使用的是 a.domain.com,前页面使用ajax发起post请求时使用的是 b.domain.com,也就是说post请求是一个跨域的请求。当出现跨域的ajax post请求时,浏览器会先发起一次OPTIONS请求预检资源是否可...
cors 前后分离跨域问题_解决前后分离CORS 跨域资源共享问题
06-02
好的,针对你的问题,我可以为你提供以下解决前后分离CORS 跨域资源共享问题的方法: 1. 通过设置后 API 的响应头来解决跨域问题,可以在后代码设置 Access-Control-Allow-Origin 头部,指定允许跨域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值