CORS 跨域资源共享——Sringboot服务端的跨域解决方案

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量164 收藏
点赞数
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houHniao/article/details/104716770
版权

1. 客户端:发送ajax/fetch请求;

2. 服务器端:设置相关的头信息(需要处理OPTIONS试探性请求)fetch请求;

服务端可设置的跨域头信息一半包含以下几个:
a. Access-Control-Allow-Origin: 服务端为该信息设置值,表示允许哪些不同域对本服务进行请求;
b. Access-Control-Allow-Credentials: 服务端为该信息设置值,表示服务端允许的域请求是否可以携带Cookie或Session等信息,true表示允许,false表示禁止;
c. Access-Control-Allow-Header: 服务端允许的请求头信息,一般为“Content-Type,Content-Length,Authorization,Accept,X-Requested-With"等;
d. Accept-Control-Allow-Methods: 服务端设定端口允许跨域请求的方式:PUT,GET,POST,DELETE,OPTIONS,HEAD;

3. JavaWeb项目设置端口跨域请求

a. 给指定的某个或某几个端口设置跨域请求:
    在该接口方法下添加response响应头信息:

	response.setHeader("Access-Control-Allow-Origin","*");  //设置允许的域,*表示允许所有域
    response.setHeader("Accept-Control-Allow-Methods","*");  //设置允许的请求方式,*表示允许所有方式请求
    response.setHeader("Access-Control-Allow-Header","");   //设置允许的请求头信息,可以根据项目整体设计,自定义请求头信息

b. SpringBoot 项目可通过注解@CrossOrigin解决:
    (1) @CrossOrigin使用场景要求:
        jdk1.8+
        Spring4.2+
    (2) @CrossOrigin使用1 ———— 局部单个接口使用
        在指定接口所在的Controller类中找到对应的功能方法,在方法上加上@CrossOrigin注解,并设置参数,如:

		@CrossOrigin(origins = "*", maxAge = 3600)  //origin:允许请求的域,maxAge: 本次请求的有效期,单位秒;其余参数查阅API或源码可得
        @GetMaaping("/userList")
        public List<User> userList(HttpServletRequest req, HttpServletResponse resp){
            //业务逻辑代码略
        }

    (3) @CrossOrigin使用2 ———— 单个Controller类使用(优点:避免该类下每个接口的单独设置,类名上统一设置,类中的所有接口都适用)
        找到要设置跨域请求的Controller,在类名前添加@CrossOrigin注解即可,如:

 		@RestController
        @CrossOrigin(origins = "*", maxAge = 3600)  //参数说明同上
        public class UserController{

            @GetMaaping("/userList")
            public List<User> userList(HttpServletRequest req, HttpServletResponse resp){
                //业务逻辑代码略
            }
        }

    (4) @CrossOrigin使用3 ———— SpringBoot项目全局使用
        项目中新建全局配置类,通过实现WebMvcConfigurer接口时,重写方法addCorsMappings,addCorsMappings方法是用于增加Cros协议配置的方法。默认的实现是空实现。也就是说,在默认的配置环境中,是不进行Cros协议的配置的。如:

		@Configuration
        public class WebConfig implements WebMvcConfigurer {

            /**
             * @param CorsRegistry - 是用于注册Cros协议内容的一个注册器。
             */
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")          //所有当前站点的请求地址都支持跨域请求,这里也可以指定特定的请求地址允许跨域请求
                        .allowedOrigins("*")        //允许所有外部域进行跨域请求
                        .allowedHeaders("*")        //设置跨域请求头,这里*允许所有头类型进行跨域请求
                        .allowedMethods("*")        //当前站点支持的跨域请求类型,如PUT/GET/POST等等,这里设置所有请求类型
                        .maxAge(3600);              //跨域请求有效期,超时时长设定,单位为秒,这里设置有限期为1个小时
            }
        }
houHniao
关注
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 1565
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
前后端分离之Spring-Boot实现CORS跨域访问
Cmainlove的专栏
12-04 1004
关于CORS跨域访问的解释,请参考下面的博客: http://www.ruanyifeng.com/blog/2016/04/cors.html 缩简称一张图如下: 实现跨域共需要四步: 第一步 基本不用做什么,浏览器都实现了跨域访问自动在Request Headers添加跨域的信息: Origin: http://localhost:8089 Access-Control-Request-He...
kotlin设置CORS跨域资源共享java设置允许跨域服务端如何设置 springboot中设置跨域资源共享
了迹奇有没
07-05 463
Access to resource at 'http://127.0.0.1:8844/orderpay?payid=1' from origin 'file://' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
面试突击81:什么是跨域问题?如何解决?
m0_56069948的博客
09-08 2872
跨域问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决跨域问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部跨域、通过配置文件实现全局跨域、通过 CorsFilter 对象实现全局跨域、通过 Response 对象实现局部跨域,通过 ResponseBodyAdvice 实现全局跨域
SpringBoot解决跨域问题的六种方式
qq_46028126的博客
03-24 1万+
一、同源策略 同源,就是咱们域名、端口号、ip、采用的协议都相同,那么我们就是同源的 反之就是不同源的!!! 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 所以,用最简单的话来说,就是前端可以发请求给服务器,服务器也可以进行响应,只是因为浏览器会对请求头进行判断,所以要么前端设置请求头,要么后端设置请求
SpringBoot解决CORS跨域(@CrossOrigin)
热门推荐
浅然的专栏
07-21 11万+
一、关于跨域介绍 在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API...
Spring Boot CORS跨域资源共享实现方案
JessicaWin
07-25 545
cors
CORS跨域资源共享及解决方案.docx
10-26
### CORS跨域资源共享及其解决方案详解 #### 一、CORS跨域资源共享背景 在现代Web应用开发中,前后端分离已成为一种主流趋势。在这种模式下,前端负责展示逻辑,而后端处理业务逻辑与数据交互。然而,由于浏览器...
CORS跨域资源共享漏洞
墨鱼菜鸡
01-16 191
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,...
CORS带cookie跨域问题在Springboot服务端的解法
蒜蓉粉丝蒸扇贝的专栏
11-27 1107
使用@CrossOrigin注解, 且要指定origins={"host1","host2"...}和allowCredentials = "true" 注解可以放在方法上或controller类上。 而不能直接使用@CrossOrigin,会报 Access to fetch at 'http://xxxx2'from origin 'http://xxxx1' has been bloc...
Spring-boot系列(13):跨域的配置CORS和jsonp
精确而优雅
07-19 976
什么是跨域 只要协议、域名、端口有任何一个不同,都被当作是不同的域 No ‘Access-Control-Allow-Origin’ header is present on CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用...
spring MVC cors跨域实现源码解析
weixin_34040079的博客
02-08 357
spring MVC cors跨域实现源码解析 名词解释:跨域资源共享(Cross-Origin Resource Sharing) 简单说就是只要协议、IP、http方法任意一个不同就是跨域spring MVC自4.2开始添加了跨域的支持。 跨域具体的定义请移步mozilla查看 使用案例 spring mvc中跨域使用有3种方式: 在web.xml中配置CorsFilter <f...
完美解决Springboot跨域(No 'Access-Control-Allow-Origin' header is present on the requested resource)
向着高亮的地方
10-16 1万+
1.由于项目前后端分离,前段访问后端接口,出现:“Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource”; 2.解决办法:Applicatio如下启动类里面,添加配置,...
springboot 前后台分离ajax跨域解决
青春正在燃烧的博客
03-25 2168
一.创建springboot项目 1.配置application.yml server: port: 8091 2 . 第一种解决跨域问题是利用@Configuration配置跨域。 2.1在新建conf包中创建跨域配置类CorsConfig import org.springframework.context.annotation.Bean; import org.springframe...
CORS的理解以及Spring Boot的配置方式
海纳百川
02-06 3932
理解CORS 跨域访问其实是很正常的,比如,如果页面应用了CDN服务的资源,CDN资源的域名和后台服务器肯定不同,所以跨域没有什么问题。那为什么浏览器要提示: 已拦截跨源请求:同源策略禁止读取位于 http://xxxxx.com/account/cors 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin’)。 这主要是浏览器出于对安全的
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 194
JDK1.0主要特性。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 451
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 890
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
spring-boot 整合 mybatis
m0_72168501的博客
09-29 554
spring boot 整合 mybatis
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值