SpringBoot解决跨域问题

最新推荐文章于 2024-04-26 16:15:45 发布
最新推荐文章于 2024-04-26 16:15:45 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: 开发 文章标签: spring跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhiyuan_eagle/article/details/90605488
版权

一、同源策略

[origin] 就是访问URL(协议、域名和端口号)。如:http://127.0.0.1:8080这个URL。
同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源.
若地址里面的协议、域名和端口号均相同则属于同源。
例:判断下面的URL是否与 http://www.a.com/test/index.html 同源

地址说明
http://www.a.com/dir/page.html同源
http://www.child.a.com/test/index.html不同源,域名不相同
https://www.a.com/test/index.html不同源,协议不相同
http://www.a.com:8080/test/index.html不同源,端口号不相同

跨域
受前面所讲的浏览器同源策略的影响,不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象就需要跨域。 在同源策略的限制下,非同源的网站之间不能发送 AJAX 请求。

二、CORS 简介

为了解决浏览器同源问题,W3C 提出了跨源资源共享,即 CORS(Cross-Origin Resource Sharing)。

CORS 做到了如下两点:

  • 不破坏即有规则
  • 服务器实现了 CORS 接口,就可以跨源通信

基于这两点,CORS 将请求分为两类:简单请求和非简单请求。

1、简单请求
在CORS出现前,发送HTTP请求时在头信息中不能包含任何自定义字段,且 HTTP 头信息不超过以下几个字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type 只限于 [application/x-www-form-urlencoded 、multipart/form-data、text/plain ] 类型

一个简单的请求例子:

GET /test HTTP/1.1 Accept: / Accept-Encoding: gzip, deflate, sdch,
br Origin: http://www.examples.com Host: www.examples.com

对于简单请求,CORS的策略是请求时在请求头中增加一个Origin字段,服务器收到请求后,根据该字段判断是否允许该请求访问。

如果允许,则在 HTTP 头信息中添加 Access-Control-Allow-Origin 字段,并返回正确的结果 ;
如果不 允许,则不在 HTTP 头信息中添加 Access-Control-Allow-Origin 字段 。
除了上面提到的 Access-Control-Allow-Origin ,还有几个字段用于描述 CORS 返回结果 :

Access-Control-Allow-Credentials: 可选,用户是否可以发送、处理 cookie;
Access-Control-Expose-Headers:可选,可以让用户拿到的字段。有几个字段无论设置与否都可以拿到的,包括:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma 。

2、非简单请求
对于非简单请求的跨源请求,浏览器会在真实请求发出前,增加一次OPTION请求,称为预检请求(preflight request)。预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作。

例如一个DELETE请求:

OPTIONS /test HTTP/1.1 Origin: http://www.examples.com
Access-Control-Request-Method: DELETE Access-Control-Request-Headers:
X-Custom-Header Host: www.examples.com

与 CORS 相关的字段有:

  • 请求使用的 HTTP 方法 Access-Control-Request-Method ;
  • 请求中包含的自定义头字段 Access-Control-Request-Headers 。

服务器收到请求时,需要分别对 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回 HTTP头信息中添加 :

Access-Control-Allow-Origin: http://www.examples.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000

他们的含义分别是:
Access-Control-Allow-Methods: 真实请求允许的方法
Access-Control-Allow-Headers: 服务器允许使用的字段
Access-Control-Allow-Credentials: 是否允许用户发送、处理 cookie
Access-Control-Max-Age: 预检请求的有效期,单位为秒。有效期内,不会重复发送预检请求

当预检请求通过后,浏览器会发送真实请求到服务器。这就实现了跨源请求。

三、Spring Boot 配置 CORS

1、使用@CrossOrigin 注解实现

  • 对某一接口配置 CORS,可以在方法上添加 @CrossOrigin 注解 :
    @CrossOrigin(origins = {"http://localhost:9000", "null"})
    @RequestMapping(value = "/test", method = RequestMethod.GET)
    public String greetings() {
        return "{\"project\":\"just a test\"}";
    }
  • 对一系列接口添加 CORS 配置,在类上添加注解,对该类声明所有接口都有效:
	@CrossOrigin(origins = {"http://localhost:9000", "null"})
	@RestController
	@SpringBootApplication
	public class SpringBootCorsTestApplication {   
    }
  • 如果想添加全局配置,则需要添加一个配置类 :
	@Configuration
	public class WebMvcConfig extends WebMvcConfigurerAdapter {
	
	    @Override
	    public void addCorsMappings(CorsRegistry registry) {
	        registry.addMapping("/**")
	                .allowedOrigins("*")
	                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
	                .maxAge(3600)
	                .allowCredentials(true);
	    }
	}
  • 还可以通过添加 Filter 的方式,配置 CORS 规则,并手动指定对哪些接口有效。
	@Component
	public class CorsFilter implements Filter
	{
		final static org.slf4j.Logger logger = org.slf4j.LoggerFactory.getLogger(CorsFilter.class);
	
		public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException
		{
			HttpServletResponse response = (HttpServletResponse) res;
			HttpServletRequest reqs = (HttpServletRequest) req;
			
			response.setHeader("Access-Control-Allow-Origin", reqs.getHeader("Origin"));
			response.setHeader("Access-Control-Allow-Credentials", "true");
			response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
			response.setHeader("Access-Control-Max-Age", "3600");
			response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
	        response.setHeader("Access-Control-Allow-Headers", "Content-Type");// 
	
			chain.doFilter(req, res);
		}
		public void init(FilterConfig filterConfig)
		{
		}
		public void destroy()
		{
		}
	}

reqs.getHeader(“Origin”) 就是获取到请求源地址,将其赋值给response就相当于所有访问源都是合法的,如果需要限制,还可以在这段逻辑中增加白名单校验,如果源是白名单中的源则执行respone设置。

刀不封
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2200
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
springboot跨域问题解决方案
08-25
主要介绍了springboot跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot后端解决跨域问题
08-26
今天小编就为大家分享一篇关于springboot后端解决跨域问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
ruoyi微服务如何解决开发环境下跨域问题
最新发布
weixin_47180824的博客
04-26 552
和定义Webfilter的bean很像,但是不知道为什么定义bean始终无法解决跨域问题...
HTTP访问控制(CORS)
FY19951211的博客
10-20 2286
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),...
跨域请求
景洪的博客
05-22 330
跨域请求我在前端开发过程中,在请求服务器端后台资源的时候,由于前端资源的域名和服务器端域名不同,导致无法获取资源。比如,我在本地发起了一个http的ajax请求,请求地址为http://www.baidu.com ,浏览器显示结果如下: 什么是跨域?出现错误表示,不能跨域请求资源;那什么是跨域呢? 首先回顾一下域名的组成: http://www.abc.com:8080/server/jqu
前后端都需要知道的跨域
weixin_33728268的博客
08-16 3689
what 跨域 跨域跨域 HTTP 请求)就是前端在访问接口的时候,与访问的接口的 协议、域名、端口号 不是同一个,就会有跨域问题,这里产生跨域问题的原因是 XmlHttpRequest同源策略 ,也就是禁止使用XHR对象向不同源的服务器地址发起HTTP请求。 why 跨域 AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,相当危险,因为我们发起的每一次HTTP请求都会带...
Springboot解决跨域问题方案总结(包括Nginx,Gateway网关等)
热门推荐
qq_35716689的博客
03-23 7万+
跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、域名和端口)的资源,当 JavaScript 发起的请求跨越了同源策略,即请求的目标与当前页面的域名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
Springboot解决跨域问题
m0_67390969的博客
08-02 6383
什么是跨域?由于浏览器的安全性限制,不允许前端页面访问协议不同、域名不同、端口号则会出报.错误。此类问题我们一般是在接口提供方,即服务端解决
springboot解决跨域问题
u012477420的博客
11-30 1235
跨域问题是指浏览器从一个域名访问另一个域名的资源时,协议、地址、端口任何一个不同,则认为是跨域,此时无法向跨域地址发送ajax请求(浏览器会拒绝该请求)。 首先基于springboot演示下跨域问题,本段应用的端口为8101, 在前端页面访问另一个项目端口为8401的地址: <!DOCTYPE html> <html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://...
SpringBoot 解决跨域问题的 5 种方案!
m0_71777195的博客
09-13 3万+
跨域问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决跨域问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部跨域、通过配置文件实现全局跨域、通过 CorsFilter 对象实现全局跨域、通过 Response 对象实现局部跨域,通过 ResponseBodyAdvice 实现全局跨域
springboot vue 跨域问题解决
08-26
主要介绍了springboot vue 跨域问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决springboot实现跨域session共享问题
01-25
解决springboot实现跨域session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
SpringBoot 跨域问题解决方案
08-25
主要介绍了SpringBoot 跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springBoot解决跨域问题
codehorse
07-10 157
SpringBoot
PostMan上传文件同时传json到后台Controller
老刀
06-24 2万+
使用postman测试,在上传文件时需要将json一起传到后台。 postman不支持文件和json同传,需要转换一下形式,比如把json转换成属性键值对key-value,或者给json定义个key将json对象作为一个文本参数值传递到后台,然后后台按照文本获取后再通过代码转换为对象。 具体步骤: 1. 发送方式:POST ,设置Content-Type为form-data。 2.编辑传输内容...
微服务如何实现联合查询
老刀
07-24 1万+
微服务架构下,用户信息、机构信息这种基础数据,在多个系统中都会用到,数据库设计该怎么搞?比如我们现在有个核心系统放代理人信息,要再开发一个代理人管理子系统,里面对于代理人的名称和所属机构两边都要用,数据库设计怎么处理? 思路: 1.代理人子系统数据库中设计冗余字段 缺点:一致性问题,一旦主系统改了信息,子系统同步更新复杂 2.把代理人信息同步到子系统中 缺点:这样不能做到实时同步,需要定时同步数据...
SpringBoot中condition注解的使用
老刀
06-12 7803
在项目中,有时会遇到我们的Configuration、Bean、Service等等的bean组件需要依条件按需加载的情况。 springboot中提供了一系列@Condition* 注解来处理有条件注入的情况。 1. 说明 Spring4中增加了@Condition annotation, 使用该Annotation之后,在做依赖注入的时候,会检测是否满足某个条件来决定是否注入某个类。 sprin...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值