Spring跨域

最新推荐文章于 2024-05-30 10:38:22 发布
最新推荐文章于 2024-05-30 10:38:22 发布
阅读量4.4k 收藏 4
点赞数
分类专栏: Spring web java 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keitho00/article/details/54236438
版权
web 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
java
23 篇文章 0 订阅
订阅专栏
Spring
3 篇文章 0 订阅
订阅专栏

跨域

一个资源会发起一个跨域HTTP请求(Cross-site HTTP request), 当它请求的一个资源是从一个与它本身提供的第一个资源的不同的域名时 。

比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。

正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

more:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

CROS

CORS 全称为 Cross Origin Resource Sharing(跨域资源共享),服务端只需添加相关响应头信息,即可实现客户端发出 AJAX 跨域请求。

@CrossOrigin
  1. 在Controller上直接使用
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在AccountController上的所有请求都可以跨域
2. 在方法上使用

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin("http://domain2.com")
    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在这个例子中,AccountController类上也有@CrossOrigin注解,retrieve方法上也有注解,Spring会合并两个注解的属性一起使用。

注:使用该方法有可能会出现Error:(26, 1) java: 对于属性<clinit>, 注释org.springframework.web.bind.annotation.CrossOrigin缺少值的错误。怀疑和java的版本有关

CorsFilter

主要目的便是添加相关的信息头,使用Filter也可以实现。

@Configuration
public class BeanConfiguration {

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

}
  • Access-Control-Allow-Origin:允许访问的客户端域名,例如:http://web.xxx.com,若为 *,则表示从任意域都能访问,即不做任何限制。
  • Access-Control-Allow-Methods:允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS。
  • Access-Control-Allow-Credentials:是否允许请求带有验证信息,若要获取客户端域下的 cookie 时,需要将其设置为 true。
  • Access-Control-Allow-Headers:允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type。
  • Access-Control-Expose-Headers:允许客户端访问的服务端响应头,多个响应头用逗号分割。
keitho00
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CrossOrigin:对基于Spring的服务器的基于注释的跨源(CORS)支持
05-16
@CrossOrigin 基于注解的CORS支持基于Spring的项目的方法。 贬低 该库在生产站点中已经运行了将近两年,但是可惜, 。 它们的实现部分基于此工作,因此,我建议在可能的情况下在第3方库(如此类)上使用Spring的内置支持。 如果您无法使用4.2或更高版本的Spring,请随时使用此库来满足您的CORS需求。 概述 浏览器已采用标准,以保护用户免受恶意站点的侵害。 当浏览器检测到当前页面正在向“原点”(而不是该页面的加载位置)发出请求时,浏览器会应用一些规则来决定是否允许该请求。 当页面要求浏览器发送与其他站点关联的任何cookie或在请求上添加自定义标头时,这一点尤其重要。 想象一下,如果您浏览的任何页面都可能要求浏览器向银行发送汇款请求,并且浏览器盲目地将您的会话Cookie随同发送,那将给您带来灾难。 CrossOrigin是一个小型库,它为CORS请求添加了服务
浅谈“跨域访问漏洞”
→_→
08-02 3225
一:漏洞名称: flash跨域漏洞、跨域访问漏洞 描述: 不正确的crossdomain.xml策略将导致严重的安全问题,如信息泄露、CSRF等,如下几种是跨域漏洞所产生的常见几种不正确设置: 1:permitted-cross-domain-policies为all造成加载目标域上的任何文件作为跨域策略文件,甚至是一 个JPG也可被加载为策略文件。 2:allow-access-from 设为“*”任何的域,有权限通过flash读取本域中的内容,表示匹配所有域和所有 IP 地址,此
spring中处理跨域的3种方案
最新发布
寂夜了无痕的博客
05-30 1092
spring中处理跨域的3种方案
跨域策略文件crossdomain.xml文件
qq_42527761的博客
08-04 6492
文件简介配置规则cross-domain-policy元素site-controlallow-access-fromallow-access-from-identityallow-http-request-headers-from匹配规则文件范例 今天在看xray扫描出来的漏洞报告,如下图: 看到这个敏感信息泄露的报告后,开始重新试验了一下,发现确实存在。 <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "ht.
关于springmvc处理跨域请求的问题
橘子的博客
07-01 622
今天需要处理跨域调接口的问题,最简单的方法就是,利用springmvc的@CrossOrigin注解。 使用方法 “` @CrossOrigin(origins = “*”,maxAge = 3600) @RestController public class PageController {@Autowired private RoadConditionService roadConditi
Spring MVC(学习笔记七)控制器的注解(六) -之处理跨域操作(@CrossOrigin
van的博客
02-03 989
@CrossOrigin  进行跨域资源访问的处理操作 在这个案例中我返回的为json类型,所以我们要先引用jars,pom.xml文件:  com.alibaba fastjson 1.2.7 在spring-mvc.xml中添加配置: WriteNullB
Spring 跨域配置请求详解
08-26
解决Spring跨域问题有多种方式: 1. **添加响应头**: 你可以通过在后端控制器的方法中手动添加响应头来允许特定的跨域请求。例如,在响应头中设置`Access-Control-Allow-Origin`为`*`,表示允许所有源进行跨域...
Spring 跨域解决方案官方 demo
05-15
Spring框架提供了内置支持来处理CORS,使得开发者能够方便地配置跨域请求。本教程将深入探讨Spring提供的CORS解决方案,通过官方示例(demo)来阐述如何实现这一功能。 首先,我们要明白什么是跨域跨域是指一个域...
spring Cloud微服务跨域实现步骤
08-25
主要介绍了spring Cloud微服务跨域实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价,需要的朋友可以参考下
SpringCloud Gateway跨域配置代码实例
08-25
SpringCloud Gateway 跨域配置代码实例详解 在本文中,我们将详细介绍 SpringCloud Gateway 跨域配置代码实例。跨域配置是指在不同的源之间共享资源时,如何配置服务器以允许跨域请求。SpringCloud Gateway 提供了...
spring4.3 实现跨域CORS的方法
08-28
Spring 4.3 实现跨域 CORS 的方法 Spring 4.3 框架中实现跨域 CORS 的方法是一种常用的解决跨域问题的方法。CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许服务器指定可以访问其资源的...
对于属性<clinit>, 注释org.springframework.web.bind.annotation.CrossOrigin缺少
weixin_42290901的博客
04-07 483
解决方法有两种: 1、对于不想升级jdk为1.8的, 对于属性<clinit>, 注释org.springframework.web.bind.annotation.CrossOrigin缺少, 使用jdk为1.7.0_80,可以执行通过 下载地址: http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html#jdk-7u80-oth-JPR Accept
浏览器拦截跨域请求处理方法
qq_27361945的博客
01-25 5695
https://www.cnblogs.com/arxive/p/7204328.html 解决跨域的解决办法有多种,比如jsonp,或者apache 或者nigix里面配置,或者后端的php或者java中配置 cross orgion。 在网上搜了一圈,发现处理方式都差不多,但是我们得清楚这些到底怎么用。 先看下这段代码: 这段代
Java Demo示例:Springboot解决Access-Control-Allow-Origin跨域问题、浏览器同源策略详解
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。...
对于属性<clinit>, 注释org.springframework.web.bind.annotation.CrossOrigin缺少,使用1.7的jdk可以解决
GrondBellion的博客
12-03 717
问题出现场景 使用了注解@CrossOrigin,在使用maven build时,出现报错 注释org.springframework.web.bind.annotation.CrossOrigin缺少 使用的jdk是1.7.0_21 解决办法 1.使用修改jdk为1.7.0_80,可以执行通过,因为环境要求,不能升级1.8的可以使用这个版本的jdk试一下 是因为同事使用的1.7.0_80没有出错,才发现的 2.使用1.8可以执行通过 网上大多数答案都证实1.8可以解决这个问题 各个版本的jdk下
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
SpringMVC 解决CrossOrigin问题
chenbinkria的博客
04-18 2805
对于SpringBoot,在jdk1.8下可使用注解完成,较为简单,而且细粒度也比较客观: @RequestMapping("/saveXYZPoints") @ResponseBody @CrossOrigin public String saveXYZPoints(@RequestBody List&lt;XYZ&gt; list){ xyzSe...
SpringBoot(六):SpringBoot使用CROS解决跨域问题
zhang0011258的博客
10-25 165
跨域问题其实之前就有说过,不明白的可以参考我之前的文章,这章主要讲解SpringBoot CROS的支持。 这里主要按照官方文档方式讲述。 SpringBoot CROS 参考: http://docs.spring.io/spring-boot/docs/1.5.4.RELEASE/reference/htmlsingle/#boot-features-cors Spring CROS 参...
JavaScript基础总结
burstgirls的博客
08-13 672
基础 行内标签、块内标签 块标签:div p h1-h6 hr ul ol li dl dd dt form ​ ①支持宽高,自上而下排列 ​ ②不受空格影响 ​ ③一般用于其他标签的容器 ​ ④默认宽度为100%(独占一行)。 行内标签:span i a b strong em sub sup u label br font ​ ①不支持宽高(宽高根据内容大小自动撑开),自左向右排列 ​ ②受空格影响 ​ ③不独占一行 行内块标签
spring 跨域配置
09-20
Spring框架中,可以通过多种方式配置跨域请求。 1. 使用@CrossOrigin注解:在Controller类或者方法上添加@CrossOrigin注解,可以实现跨域请求的配置。例如,可以在Controller类上添加@CrossOrigin(origins = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值