SpringMVC 4.2 后增加跨域支持app、接口(注解CrossOrigin)

最新推荐文章于 2024-07-19 14:37:16 发布
最新推荐文章于 2024-07-19 14:37:16 发布
阅读量1.2w 收藏 10
点赞数 1
分类专栏: spring 文章标签: 跨域 CrossOrigin spring4 app HTTP请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hj7jay/article/details/73613288
版权

什么是跨域


简单的说即为浏览器限制访问A站点下的js代码对B站点下的url进行ajax请求。比如说,前端域名是www.abc.com,那么在当前环境中运行的js代码,出于安全考虑,访问www.xyz.com域名下的资源,是受到限制的。现代浏览器默认都会基于安全原因而阻止跨域的ajax请求,这是现代浏览器中必备的功能,但是往往给开发带来不便。特别是对我这样后台开发人员来讲,这个事情简直神奇。


正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

Spring MVC 从4.2版本开始增加了对CORS的支持

spring MVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。

使用@CrossOrigin注解

先通过源码看看该注解支持的属性:

@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {

    String[] DEFAULT_ORIGINS = { "*" };

    String[] DEFAULT_ALLOWED_HEADERS = { "*" };

    boolean DEFAULT_ALLOW_CREDENTIALS = true;

    long DEFAULT_MAX_AGE = 1800;


    /**
     * 同origins属性一样
     */
    @AliasFor("origins")
    String[] value() default {};

    /**
     * 所有支持域的集合,例如"http://domain1.com"。
     * <p>这些值都显示在请求头中的Access-Control-Allow-Origin
     * "*"代表所有域的请求都支持
     * <p>如果没有定义,所有请求的域都支持
     * @see #value
     */
    @AliasFor("value")
    String[] origins() default {};

    /**
     * 允许请求头重的header,默认都支持
     */
    String[] allowedHeaders() default {};

    /**
     * 响应头中允许访问的header,默认为空
     */
    String[] exposedHeaders() default {};

    /**
     * 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
     * 默认支持RequestMapping中设置的方法
     */
    RequestMethod[] methods() default {};

    /**
     * 是否允许cookie随请求发送,使用时必须指定具体的域
     */
    String allowCredentials() default "";

    /**
     * 预请求的结果的有效期,默认30分钟
     */
    long maxAge() default -1;

}
下面举例在方法和Controller上使用该注解。

在Controller上使用@CrossOrigin注解 
@CrossOrigin()
@RestController
@RequestMapping("/test")
public class TestController {

    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

这里指定当前的TestController中所有的方法可以处理跨域上的请求,


在方法上使用@CrossOrigin注解

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在这个例子中,retrieve方法上有注解,这时候retrieve是可以跨域处理的,remove是没有 跨域处理的。





Joker_Ye
关注
专栏目录
RESTful开发风格8:跨域问题二:Spring MVC实现“CORS跨域访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置;
小枯林的博客
11-18 1285
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
Vue+SpringMVC---前后端分离极简尝试
开心就好
09-13 3万+
【前后端分离】的开发方式是目前WEB开发中的一个大的趋势,随着各种前后端框架的出现,加上REST编程规范慢慢深入人心,前端后端之间通过更加轻量级、简洁高效的JSON作为数据传输格式,使得一切变得开朗起来,前后端分工更加明晰,前端被赋予了更多的功能,从而能分担原来由后端完成的工作,开发人员的学习成本明显下降。 通过VUE+SPringMVC的组合来尝试实现前后端分离的开发模式,下面给出具体的
CORS流动站模拟软件包
04-11
能够模拟流动站访问CORS软件;方便管理人员对CORS管理
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 552
Spring MVC 4.2 增加 CORS 支持 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
Spring 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
最新发布
qq_45576664的博客
07-19 867
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
spring 跨域 CORS (Cross Origin Resources Share) 跨域
weixin_42981419的博客
11-28 307
spring 跨域 CORS (Cross Origin Resources Share) 跨域 Spring提供了三种方式跨域 1、CorsFilter 过滤器 2、&lt;mvc:cors&gt; Bean(全局,推荐使用) 3、@CrossOrigin注解 以上三种方式本质都是用来配置CorsConfiguration 1、CorsFilte...
java origin (0 0),Spring @CrossOrigin 注解原理
weixin_32657693的博客
03-13 244
现实开发中,我们难免遇到跨域问题,以前笔者只知道jsonp这种解决方式,后面听说spring只要加入@CrossOrigin即可解决跨域问题。本着好奇的心里,笔者看了下@CrossOrigin 作用原理,写下这篇博客。先说原理:其实很简单,就是利用spring的拦截器实现往response里添加Access-Control-Allow-Origin等响应头信息,我们可以看下spring是怎么做的...
springboot通过CORS(cross-origin resourse sharing 跨域资源共享)解决跨域问题
qq_40820916的博客
07-07 711
源 简单来说,源就是指协议,域名和端口号,所谓同源就是协议相同,域名相同,端口号相同,以下举个例子: 对于 http://www.aa.com/test/index.html 判断是否同源(协议为http协议,域名为www.aa.com,端口号为80(默认,可以省略)) 1、http://www.aa.com/bb/index.html ——同源; 2、http://www.baidu.aa.com/bb/index.html ——非同源,域名不一致; 3、https://www.aa.com/bb/ind
使用Spring CROS解决项目中的跨域问题详解
08-25
Spring框架从4.2版本开始提供了对CROS支持,通过@CrossOrigin注解可以实现对CROS支持。 使用@CrossOrigin注解可以配置CROS的相关参数,例如origins、maxAge等。其中,origins参数指定了允许跨域请求的域名,max...
springmvc+angularjs springmvc 整合angularjs demo
12-28
5. **配置跨域**:由于默认情况下浏览器会限制跨域请求,因此需要在SpringMVC中配置CORS(跨源资源共享)。 6. **运行与测试**:启动SpringMVC应用,然后在浏览器中打开AngularJS的HTML页面,查看数据是否成功加载...
ssm框架跨域配置架包及配置文件
11-19
- **@CrossOrigin注解**:通常用于控制器类或方法上,指定允许哪些来源、方法、头信息等。例如: ```java @RestController @CrossOrigin(origins = "*", allowedHeaders = "*", methods = {RequestMethod.GET, ...
JSONP跨域,CORS跨域,Hybrid APP跨域
heartOfblack 离开了电脑,我不希望我还有病
09-27 749
JSONPjsonp: function(url, callbackFunc, data) //跨域请求 { var data = arguments[2] ? arguments[2] : {}; //默认参数为空 if(url != '' && callbackFunc != '') { $.ajax(
注解@CrossOrigin解决跨域问题
weixin_30668887的博客
06-11 2152
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。   跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不...
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持Spring Framework
SpringMVC系列-7 @CrossOrigin注解跨域问题
Sheng_Q的博客
11-25 4459
理解同源策略是理解跨域的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成跨站脚本攻击;不同源之间进行限制。 不同源之间形成跨域,包括:协议、域名、端口。http和https,localhost和127.0.0.1也会形成跨域(即使经过域名解析后相同)。 由于浏览器引擎实现了同源策略,即对跨域访问进行了限制,因此存在跨域问题。
Spring @CrossOrigin 注解原理实现
lgq2016的博客
12-08 1156
现实开发中,我们难免遇到跨域问题,以前笔者只知道jsonp这种解决方式,后面听说spring只要加入@CrossOrigin即可解决跨域问题。本着好奇的心里,笔者看了下@CrossOrigin 作用原理,写下这篇博客。 先说原理:其实很简单,就是利用spring的拦截器实现往response里添加 Access-Control-Allow-Origin等响应头信息,我们可以看下spring是怎么做的 注:这里使用的spring版本为5.0.6 我们可以先往RequestMappingHandlerMa
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9849
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
解决springboot添加@CrossOrigin支持跨域不起作用
qq_45721173的博客
05-07 9460
问题描述 在springboot开发中,为解决跨域请求问题,在代码中添加注解@CrossOrigin不起任何作用。 后端报错信息如下 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" resp
跨域问题(@CrossOrigin和Proxy)
少猿的博客
03-27 1367
因此,如果客户端需要请求跨域的数据,可以先将请求发送给代理服务器,然后由代理服务器转发到目标服务器上,从而避免了跨域请求的问题。使用代理服务器可以解决跨域请求的问题,但是也可能会带来一些安全问题,因此需要谨慎使用。如果只是需要在开发环境中进行测试,可以暂时使用代理服务器来解决问题,但是在生产环境中最好还是使用其他更安全的方式来解决跨域请求的问题。在Web开发中,如果前端页面和后端接口不在同一个域名下,就会发生跨域请求的问题,这时候就需要使用。,则这两个页面就不在同一个域名下,就会发生跨域请求的问题。
springmvc 支持跨域
05-18
Spring MVC中,您可以通过使用@CrossOrigin注释来实现跨域访问。这个注释可以添加到控制器方法上,也可以添加到控制器类上,以启用对整个类中所有方法的跨域访问。 例如,下面是一个使用@CrossOrigin注释的示例:...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值