java实现跨域访问(CORS)及验证

最新推荐文章于 2024-04-12 13:54:08 发布
最新推荐文章于 2024-04-12 13:54:08 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mynameismt/article/details/101522919
版权

  • 老生常谈之跨域

1.什么是跨域问题:

因为浏览器的同源策略规定某域下的客户端在没明确授权的情况下,不能读写另一个域的资源。而在实际开发中,前后端常常是相互分离的,并且前后端的项目部署也常常不在一个服务器内或者在一个服务器的不同端口下。前端想要获取后端的数据,就必须发起请求,如果不做一些处理,就会受到浏览器同源策略的约束。后端可以收到请求并返回数据,但是前端无法收到数据。

同源怎么理解:如果两个页面的协议、域名和端口都相同,则两个页面具有相同的源。

2.非同源没有处理跨域会有哪些限制

(1) Cookie、LocalStorage 和 IndexDB 无法读取。

(2) DOM 无法获得。

(3) AJAX 请求无法使用,不能读取响应结果。

3.两种跨域请求

* 请求方式:HEAD,GET,POST
* 请求头信息:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type 对应的值是以下三个中的任意一个
                        application/x-www-form-urlencoded
                        multipart/form-data
                        text/plain

同时满足上述请求方式和请求头信息属于简单请求,其他都是非简单请求。值得一提的是,非简单请求,在正式请求之前会增加一次OPTIONS请求,称为预检请求

4.CORS字段梳理

(1)Access-Control-Allow-Origin

表示允许资源共享的域名,可以设置为*允许全部域名,此时无法使用cookie

String curOrigin = request.getHeader("Origin");
response.setHeader("Access-Control-Allow-Origin", curOrigin == null ? "true" : curOrigin);

(2)Access-Control-Expose-Headers

CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定

response.addHeader("Access-Control-Expose-Headers", "sysid");

(3)Access-Control-Allow-Credentials

用来指定浏览器请求服务端时是否可以携带身份凭证,比如常用的cookie,设置为false时无法使用cookie

response.addHeader("Access-Control-Allow-Credentials", "true");

(4)Access-Control-Allow-Methods

表示允许的浏览器请求方法类型

response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, PUT");

(5)Access-Control-Allow-Headers

用于预检请求中,列出将在正式请求中支持的头部信息字段

response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, Token,sysid");

(6)Access-Control-Max-Age

表示本次预检请求的有效时间,单位为秒,失效前不需要重新预检

response.addHeader("Access-Control-Max-Age", "3600");

 

  • CORS方案

1.java后端处理方案:http响应体设置Access-Control-Allow-Origin,具体实现的方案可以有很多种。

(1) 在过滤器中设置httpServletResponse.setHeader("Access-Control-Allow-Origin","*");

@Component
@WebFilter(urlPatterns = "/*", filterName = "originFilter")
public class OriginFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        // 指定允许其他域名访问
        String curOrigin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", curOrigin == null ? "true" : curOrigin);
        response.addHeader("Access-Control-Allow-Credentials", "true");
        response.addHeader("Access-Control-Expose-Headers", "sysid");
        if ("OPTIONS".equals(request.getMethod())) {//判断预检请求
            response.setStatus(HttpStatus.OK.value());//返回一个200状态吗,标示允许跨域
            response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, PUT");//当判定为预检请求后,设定允许请求的方法
            response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, Token,sysid");  //当判定为预检请求后,设定允许请求的头部类型
            response.addHeader("Access-Control-Max-Age", "3600");
        }
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

 

(2)springboot全局处理跨域方案本质与方案(1)相同,区别在于基于框架具体实现方式不同。

@Configuration
@EnableWebMvc
public class GlobalCorsConfig implements WebMvcConfigurer {

    //
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/**")
                //设置允许跨域请求的域名
                .allowedOrigins("*")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(3600);
    }
}

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}

 

(3)springboot局部处理方案

@CrossOrigin(origins = "*")
@RestController
@RequestMapping("/test")
public class TestController {
}

 

2.tomcat处理方案:执行过滤器

(1)首先在tomcat/lib文件夹中添加cors-filter-2.4.jar、java-property-utils-1.9.1.jar两个jar包。

(2)在tomcat/conf/web.xml中增加过滤器配置

<filter>    
        <filter-name>CORS</filter-name>    
        <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>    
        <init-param>    
            <param-name>cors.allowOrigin</param-name>   
            <param-value>*</param-value>   
        </init-param>    
        <init-param>    
            <param-name>cors.supportedMethods</param-name>   
            <param-value>GET, POST, HEAD, PUT, DELETE</param-value>   
        </init-param>    
        <init-param>    
            <param-name>cors.supportedHeaders</param-name>   
            <param-value>Accept, Origin, X-Requested-With, Content-Type, Last-Modified</param-value>   
        </init-param>    
        <init-param>    
            <param-name>cors.exposedHeaders</param-name>   
            <param-value>Set-Cookie</param-value>   
        </init-param>    
        <init-param>    
            <param-name>cors.supportsCredentials</param-name>   
            <param-value>true</param-value>   
        </init-param>    
</filter>    
<filter-mapping>    
        <filter-name>CORS</filter-name>    
        <url-pattern>/*</url-pattern>    
</filter-mapping>

  • 验证CORS(跨域资源共享)

根据对同源的理解,我们可以在本地启动两个端口不同的应用,在一个应用的console中执行以下代码。

var jq = document.createElement('script');
jq.src = "https://cdn.staticfile.org/jquery/3.3.1/jquery.min.js";
document.getElementsByTagName('head')[0].appendChild(jq);
 
$.ajax({
  type: "GET",
  url: "http://localhost:8001/demo/test/cors",
  success: function(msg){
     alert( "Data Saved: " + msg );
   }
});

 测试通过的效果:

 测试未通过的效果:

 

 当然,失败的原因有很多,报错的内容也不尽相同,这里只是展示最常见的一种。

tomcat跨域问题解决:https://www.cnblogs.com/zhaoyanhaoBlog/p/9370830.html

阮一峰的网络日志:http://www.ruanyifeng.com/blog/2016/04/cors.html

有个有趣的灵魂
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 实现CORS请求跨域
i_yuanpeng的博客
04-21 2553
详解: CORS:全称"跨域资源共享"(Cross-origin resource sharing)。 CORS需要浏览器和服务器同时支持,才可以实现跨域请求,目前几乎所有浏览器都支持CORS,IE则不能低于IE10。CORS的整个过程都由浏览器自动完成,前端无需做任何设置,跟平时发送ajax请求并无差异。so,实现CORS的关键在于服务器,只要服务器实现CORS接口,...
Java实现CORS跨域请求的实现方法
08-29
本篇文章主要介绍了Java实现CORS跨域请求的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JavaCORS跨域问题
enjoy.day
04-11 3416
CORS CORS,全称Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。 后端处理跨域问题的几种方法 1.Java过滤器进行过滤 允许整个项目跨域访问,可设置过滤器 @WebFilter("/*") public class SimpleCORSF
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested
LIUXIAOYIN_CAIJI的博客
11-20 1375
解决方法 直接复制就ok了 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfig= new CorsConfiguration(); corsConfig.addAllowedOrigin(...
Java开发中解决跨域问题
最新发布
p13993233504的博客
04-12 570
java开发跨域问题
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1693
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。
SpringBoot解决跨域配置
hongs468的博客
01-04 329
前后端分离时端口和ip不同时会出现跨域,本文为解决跨域配置,直接cv到项目即可
Java利用cors实现跨域请求实例
08-30
本篇文章主要介绍了Java利用cors实现跨域请求实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cors实现java后端完全跨域实例
08-30
本篇文章主要介绍了Cors实现java后端完全跨域实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot实现前后端分离的跨域访问CORS
01-27
CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先...
GlobalCorsConfig.java
10-22
用于解决idea和vue跨域问题
java跨域CORS 微服务
11-08
微服务需要几个系统协同配合就需要解决跨域问题,这个就解决了跨域问题
前端获取不到后端set或add的Header的解决办法
zwj1030711290的CSDN
07-19 2782
Access-Control-Expose-Headers,Authorization
拦截器响应头中配置“Access-Control-Expose-Headers”实现跨域请求暴露token
hkl_Forever的博客
10-20 1万+
2】关键代码 response.setHeader("Access-Control-Expose-Headers", "token");和前端同事联调接口中,前端同事反映说在跨域请求的情况下无法获取token的值,后来找到解决办法。1】在登录拦截器处理类中的响应对象,把token对象暴露出来即可。
Access-Control-Expose-Headers 响应报头、跨域 公开响应头
热门推荐
weixin_46484674的博客
09-28 1万+
问题现象: 前端无法获取响应头 Response Header 原因 问题原因:跨域问题 启用跨域请求(CORS)Access-Control-Expose-Headers 响应报头 指示哪些报头可以 公开 为通过列出他们的名字的响应的一部分 默认情况下,只显示6个简单的响应头,在上方也有介绍。 如果你想要客户端能够访问其他的请求头,则必须使用Access-Control-Expose-Headers 列出他们。
java配置跨域springboot配置Cors跨域
终是庄周
11-06 1179
概念: 前端对Cross-Origin Resource Sharing 问题(CORS,中文又称’跨域’)应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对这个问题的总结,二是nginx下如何配置服务器允许跨...
Access-Control-Expose-Headers
weixin_42353499的博客
09-19 2732
Access-Control-Expose-Headers
Java之旅--跨域CORS
Java之旅
05-13 1万+
CORS全称:Cross-Origin Resource Sharing 在前后台分离的应用开发中,跨域是经常需要处理的场景。指的是访问不同域名的资源,对于静态资源的访问,比如CSS、GIF、Form请求,不存在跨域问题,一般说跨域问题,就是指的JavaScript的跨域问题以及Cookie的跨域使用问题(是使用,不是读取内容)。 一个Java应用,为了支持跨域,允许其他域名的JavaScript脚本访问本应用的资源,本文提供了一个解决办法。
springsecurity cors和csrf
08-18
Spring Security是一个强大的安全框架,用于在Spring应用程序中实现身份验证、授权和其他安全功能。它也提供了对CORS和CSRF的支持。 对于CORS,Spring Security提供了一些配置选项来允许跨域资源共享。你可以通过`cors()`方法来启用CORS支持,并配置允许访问的域、方法和头部。例如,以下配置允许来自任何域的GET和POST请求: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors().and() // 其他配置... } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.addAllowedOrigin("*"); configuration.addAllowedMethod("GET"); configuration.addAllowedMethod("POST"); configuration.addAllowedHeader("*"); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 对于CSRF防护,Spring Security默认会启用CSRF保护。它会自动生成一个CSRF令牌,并将其包含在表单中或者在请求头中发送。开发者可以通过配置来自定义CSRF令牌的生成和验证方式。以下是一个简单的配置示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).and() // 其他配置... } } ``` 上述配置将CSRF令牌存储在Cookie中,并且在响应中发送给客户端,客户端将令牌作为请求的一部分发送给服务器进行验证。 综上所述,Spring Security提供了对CORS和CSRF的支持,并且可以通过配置来自定义其行为。开发者可以根据具体需求进行相应的配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值