Spring MVC(7)CORS

最新推荐文章于 2024-05-26 16:17:38 发布
最新推荐文章于 2024-05-26 16:17:38 发布
阅读量305 收藏
点赞数
分类专栏: Spring MVC 文章标签: 跨域携带cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38060977/article/details/102769457
版权

目录

一 简介

同源策略(same origin policy)是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 ajax请求的。
为了解决这个问题,w3c 提出了跨源资源共享,即CORS([Cross-Origin Resource Sharing](https://www.w3.org/TR/cors/))。

CORS 做到了两点:

  1. 不破坏即有规则
  2. 服务器实现了 CORS 接口,就可以跨源通信

基于这两点,CORS 将请求分为两类:简单请求和非简单请求。

CORS 出现前的情况

跨源时能够通过script或者image标签触发 GET 请求或通过表单发送一条 POST 请求,但这两种请求 HTTP 头信息中都不能包含任何自定义字段

二 简单请求

请求方法是HEADGETPOST 且 HTTP 头信息不超过以下几个字段:Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type(只限于 application/x-www-form-urlencoded、multipart/form-data、text/plain)

例如:

GET /test HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate, sdch, br
Origin: http://www.examples.com
Host: www.examples.com

CORS处理策列

后台处理

请求时,在头信息中添加一个 Origin 字段,服务器收到请求后,根据该字段判断是否允许该请求。

  1. 如果允许,则在 HTTP 头信息中添加Access-Control-Allow-Origin字段,并返回正确的结果
  2. 如果不允许,则不在头信息中添加 Access-Control-Allow-Origin 字段

浏览器处理

浏览器先于用户得到返回结果,根据有无 Access-Control-Allow-Origin字段来决定是否拦截该返回结果。

CORS 的出现,没有对”旧的“服务造成任何影响。

描述 CORS 返回结果

Access-Control-Allow-Credentials: 可选,用户是否可以发送、处理 cookie
Access-Control-Expose-Headers:可选,可以让用户拿到的字段。有几个字段无论设置与否都可以拿到的,包括:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。

三 非简单请求

预检请求

对于非简单请求的跨源请求,浏览器会在真实请求发出前,增加一次OPTION请求,称为预检请求(preflight request)。预检请求将真实请求的息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作。
比如对于 DELETE 请求:

OPTIONS /test HTTP/1.1
Origin: http://www.examples.com
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: X-Custom-Header
Host: www.examples.com

与 CORS 相关的字段有:
Access-Control-Request-Method: 真实请求使用的 HTTP 方法
Access-Control-Request-Headers: 真实请求中包含的自定义头字段

处理策略

后台处理

服务器收到请求时,需要分别对 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回 Http 头信息中添加

Access-Control-Allow-Origin: http://www.examples.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

他们的含义分别是:
Access-Control-Allow-Methods: 真实请求允许的方法
Access-Control-Allow-Headers: 服务器允许使用的字段
Access-Control-Allow-Credentials: 是否允许用户发送、处理 cookie
Access-Control-Max-Age: 预检请求的有效期,单位为秒。有效期内,不会重复发送预检请求

四 配置 CORS

一个应用可能会有多个 CORS 配置,并且可以设置每个 CORS 配置针对一个接口一系列接口或者对所有接口生效。
举例来说,我们需要:

  1. 让 /test 接口支持跨源访问,而 /test/1 或 /api 等其它接口不支持跨源访问
  2. 让 /test/* 这一类接口支持跨源访问,而 /api 等其它接口不支持跨源访问
  3. 站点所有的接口都支持跨源访问

针对某个接口

可以在方法上添加 CrossOrigin 注解:


	
	@CrossOrigin(origins = {"http://localhost:8083", "null"})
	@RequestMapping("/t1")
	public String test() {
		return "{\"project\":\"just a test\"}";
	}

针对一系列接口

可以在上添加 CrossOrigin 注解:

@RestController
@CrossOrigin(origins = {"http://localhost:8083", "null"})
@RequestMapping("/test")
public class TestController {

添加全局配置

添加一个配置类

package com.zyc.cros;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://localhost:9000", "null")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

上面已经过时,最新版本的如下

package com.zyc.cros;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class WebMvcConfg2 extends WebMvcConfigurationSupport {

	@Override
	protected void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/**")
      	.allowedOrigins("http://localhost:9000", "null")
      	.allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
      	.maxAge(3600)
      	.allowCredentials(true);
	}
	

}

添加 Filter 的方式

	@Bean
	public FilterRegistrationBean<CorsFilter> corsFilter() {
	    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
	    CorsConfiguration config = new CorsConfiguration();
	    config.setAllowCredentials(true);	
	    config.addAllowedOrigin("http://localhost:9000");
	    config.addAllowedOrigin("null");
	    config.addAllowedHeader("*");
	    config.addAllowedMethod("*");
//	    source.registerCorsConfiguration("/**", config); // CORS 配置对所有接口都有效
	    source.registerCorsConfiguration("/test/**", config);
	    FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
	    bean.setOrder(0);
	    return bean;
	}

建议第一种,第二种设置路径为’/test/**'后,前端不会报403错误。而是空的response。

五 原理

无论是通过哪种方式配置 CORS,其实都是在构造 CorsConfiguration。
一个 CORS 配置用一个 CorsConfiguration 类来表示,它的定义如下:

public class CorsConfiguration {
    private List<String> allowedOrigins;
    private List<String> allowedMethods;
    private List<String> allowedHeaders;
    private List<String> exposedHeaders;
    private Boolean allowCredentials;
    private Long maxAge;
}

Spring MVC 中对 CORS 规则的校验,都是通过委托给DefaultCorsProcessor 实现的。

六 携带cookie

axios默认是发送请求的时候不会带上cookie的,如果需要,则要设置withCredentials: true。
这时后台的Access-Control-Allow-Origin不能是*,必须指定明确的Origin值

那如果服务器被多个Origin不同的前端跨域访问呢?
可以动态的对response设置Access-Control-Allow-Origin
实现过滤器

public class LoginAuthFilter implements Filter {
    private static Logger logger = LoggerFactory.getLogger(LoginAuthFilter.class);
 
 
    @Override
    public void destroy() {
 
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse rep = (HttpServletResponse) response;
        // 设置允许多个域名请求
//        String[] allowDomains = {"http://www.toheart.xin","http://192.168.10.213:8080","http://localhost:8080"};
//        Set allowOrigins = new HashSet(Arrays.asList(allowDomains));
        String originHeads = req.getHeader("Origin");//这样处理,本质就是和*一样。允许所有的Origin访问,但是返回Origin是具体的路径
//        if(allowOrigins.contains(originHeads)){
//            //设置允许跨域的配置
//            // 这里填写你允许进行跨域的主机ip(正式上线时可以动态配置具体允许的域名和IP)
//            rep.setHeader("Access-Control-Allow-Origin", originHeads);
//        }
        rep.setHeader("Access-Control-Allow-Origin", originHeads);
 
 
        // 设置服务器允许浏览器发送请求都携带cookie
        rep.setHeader("Access-Control-Allow-Credentials","true");
        // 允许的访问方法
        rep.setHeader("Access-Control-Allow-Methods","POST, GET, PUT, OPTIONS, DELETE, PATCH");
        // Access-Control-Max-Age 用于 CORS 相关配置的缓存
        rep.setHeader("Access-Control-Max-Age", "3600");
        rep.setHeader("Access-Control-Allow-Headers","token,Origin, X-Requested-With, Content-Type, Accept,mid,X-Token");
        response.setCharacterEncoding("UTF-8");
//        response.setContentType("application/json; charset=utf-8");
        chain.doFilter(request, response);
    }
 
    @Override
    public void init(FilterConfig arg0) throws ServletException {
 
    }
 
 
}

添加fileter

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    
    @Override
    public void addFormatters(FormatterRegistry registry) {
        registry.addConverter(new DateConverter());
    }
}

参考

  1. Spring MVC 与 CORS
ycCoding
关注
专栏目录
Spring MVC学习总结(10)——Spring MVC使用Cors跨域
科技D人生
11-12 7035
    跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用...
SpringMVC CORS跨域测试包
02-10
SpringMVC CORS跨域测试包
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 552
Spring MVC 4.2 增加 CORS 支持 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
Spring Web MVC跨域资源共享(CORS
听海边涛声
03-20 773
Spring Web MVC跨域资源共享(CORS
SpringMvc CORS-跨域处理
最新发布
存在,即合理
05-26 650
同源"指的是"三个相同":同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。限制:如果非同源,共有三种行为受到限制。工作原理是添加新的HTTP headers来让服务器描述哪些源的请求可以访问该资源,对于可能对服务器造成不好影响的请求,规范规定浏览器需要先发送“预检”请求(也就是OPTION请求),在预检请求通过后再发送实际的请求,服务器还可以通知客户端是否应该随请求发送“凭据”(例如 Cookie 和 HTTP 身份验证)。Request HeaderResonse Header支持的源,
Spring MVC(四)— CORS、HTTP缓存及MVC配置
KEEP CODING
03-25 803
Spring CORS 允许开发者配置哪些域可以访问其Web应用的资源。HTTP缓存是提高Web应用程序性能的一种重要技术。通过实现WebMvcConfigurer接口来对MVC容器进行配置。
Spring MVCCORS跨域的详细介绍
08-30
Spring MVCCORS 跨域的详细介绍 本文对 Spring MVCCORS 跨域的详细介绍,包括 CORS 的知识点和如何在 Spring MVC 中配置 CORSCORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源...
详解Spring MVC CORS 跨域
08-30
详解 Spring MVC CORS 跨域 在 Web 开发中,跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍...
spring MVC cors跨域实现源码解析
08-31
Spring MVC CORS跨域资源共享)实现源码解析 跨域资源共享(CORS)是一种机制,允许Web应用程序在浏览器中向不同源(域名、协议或端口)发送Ajax请求。根据W3C规范,如果请求的源与服务器资源的源不一致,就被...
RESTful开发风格8:跨域问题二:Spring MVC实现“CORS跨域访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置;
小枯林的博客
11-18 1285
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
SpringMVC CORS跨域解决方案 2021-9-20
qq_21438267的博客
09-20 1110
SpringMVC 应用开发 1 基础概念介绍 2 返回值处理 3 参数绑定处理 4 RequestMapping注解 5 RESTful支持 6 拦截器应用 7 CORS跨域解决方案 8 Mock测试(模拟测试) 9 ControllerAdvice 10 乱码解决 11 非注解开发方式 CORS跨域解决方案SpringMVC 应用开发一、 什么是跨域二、 如何解决跨域三、 使用CORS跨域3.1 什么是CORS3.2 客户端跨域处理 (了解)3.2.1 对于简单请求3.2.2 非简单请求请求信息3.3
Spring Mvc处理CORS跨域问题
haitunxiaomo的专栏
08-26 558
对于前端来说,跨域问题会经常遇到,前端有很多的处理方法,例如JSONP 就是使用的比较多的方案,但 JSONP 是一个非官方的跨域协议同时也只支持 GET 请求。所以这里就使用CORS处理跨域。这种处理方式,将工作完全交付给了后台java层去做了。下面简单说明下使用的步骤: 1、在web.xml中添加如下代码: <filter> <filter-name>cors</filter-name> <filter-class>myCORSFi.
Spring MVCCORS的支持
qq_33281710的博客
04-10 346
Spring MVC 从4.2版本开始增加了对CORS的支持,增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。Spring官网博客https://spring.io/blog/2015/06/08/cors-support-in-spring-framework1. 使用@CrossOrigin注解(Handler阶段的CORS)1.1 在Co...
Spring MVCCORS
weixin_33817333的博客
12-21 65
本文来自Coding 技术博客,转载请注明来源。 作者:Coding 工程师 Tanhe 1. CORS 简介 同源策略( same origin policy )是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 ajax 请求的。 为了解决这个问题, w3c 提出了跨源资源共享,即 CORS(Cross-Origin Resource Sharing)。 CORS ...
SpringMVC开启CORS支持
z69183787的专栏
11-09 5409
前言 浏览器出于安全考虑,限制了JS发起跨站请求,使用XHR对象发起请求必须遵循同源策略(SOP:Same Origin Policy),跨站请求会被浏览器阻止,这对开发者来说是很痛苦的一件事,尤其是要开发前后端分离的应用时。 在现代化的Web开发中,不同网络环境下的资源数据共享越来越普遍,同源策略可以说是在一定程度上限制了Web API的发展。 简单的说,CORS就是为了AJAX能够安全跨
Spring MVC研究】Spring MVC如何处理跨域请求(CORS
yuchangyuan5237的博客
09-26 549
请了解什么是CORS跨域)参考:https://gitee.com/firefish985/article-list/tree/master/Spring/Spring Web MVC/CORS/Spring MVC中的跨域概念名词解释.md。
springMVCCORS跨域问题
qq_40447680的博客
02-11 303
首先了解几个东西 同源策列:一样的协议,域名,端口,即为同源,也叫同域。 跨域:就是上面中的任何一个不同即为跨域CORS跨域资源共享,是一种基于http请求头的机制 CORS的出现本质上是为了请求数据的安全,降低请求的风险。 当我们发起一个请求,如果我们所在的域不在服务器允许的域中,那么服务器就不会响应本次的数据回来。 (一般具体的请求是,先发送一个预请求到服务器,服务器告诉我,我有没有资格去访问他,如果有,客户端就会再发一次请求,服务器响应数据,如果没有服务器就直接不会响应数据回来)。 而请求有
SpringMVC cors配置
q826qq1878的博客
07-27 8293
目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分2种 网上资料很多。我这里简单概述一下 1、简单请求:平常get、post(表单提交) 啥头信息都不加的情况 就是...
Spring MVC CORS 跨域实现源码详解与配置
标题:"Spring MVC CORS跨域实现源码解析" 描述:本文深入探讨了Spring MVC框架中如何实现跨域资源共享(Cross-Origin Resource Sharing, CORS)。自Spring MVC 4.2版本开始,该框架提供了对CORS的支持,使得开发人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值