SpringBoot配置cors

已于 2023-09-07 16:59:40 修改
阅读量1.7k 收藏
点赞数
分类专栏: cors 文章标签: spring boot javaweb
于 2021-09-16 15:06:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nyzzht123/article/details/120328198
版权
本文介绍了浏览器的同源策略以及跨域资源共享CORS标准,详细阐述了SpringBoot如何配置CORS以解决跨域问题。文中提到在SpringBoot中通过`@Bean`注解配置`CorsConfigurationSource`和`CorsFilter`,并展示了如何创建自定义的`CorsProcessor`以增强默认处理器的功能,以适应项目中特定的检查需求。
摘要由CSDN通过智能技术生成

先简单介绍一下CORS的背景

同源策略

跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。

同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

跨域资源共享 CORS

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

公司有一个查询接口,该接口本身用于end to end一直没有产生跨域的问题,后来了解到还有一个JS SDK,该SDK也会通过AJAX调用这个接口就产生了跨域问题,需要后端进行支持。

简单请求与非简单请求

(1)工作中比较常见 【简单请求】:
方法为:

  • GET
  • HEAD
  • POST

(2)请求header里面:
无自定义头

          Content-Type为以下几种:

                text/plain

                multipart/form-data

                application/x-www-form-urlencoded

除此以外的请求都为非简单请求,最常见的场景中由ajax发送json报文。这两种请求浏览器会有不同的行为,具体可以参考CORS详解。本文主要介绍如何在SpringBoot中如何处理CORS。

SpringBoot配置

	@Bean
    public CorsConfigurationSource corsConfigurationSource(){
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("POST"));
        configuration.setAllowedHeaders(Arrays.asList("*"));
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/test",configuration);
        return source;
    }

由于我们项目中使用了SpringSecurity,还需要一个额外的配置上面才能生效

@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http 
        	.....
            .and().cors();
    }
}

上述完成之后,会在filterChain中加入一个新的CorsFilter,该filter中有一个map存放url和CorsConfiguration,当有新的request时,会通过url获取到对应的CorsConfiguration,然后交给DefaultCorsProcessor来进行处理,主要是检查headers,origin,HttpMethod是否匹配,不匹配的话就返回http403的错误,下面是源代码。

public class CorsFilter extends OncePerRequestFilter {

	private final CorsConfigurationSource configSource;

	private CorsProcessor processor = new DefaultCorsProcessor();


	/**
	 * Constructor accepting a {@link CorsConfigurationSource} used by the filter
	 * to find the {@link CorsConfiguration} to use for each incoming request.
	 * @see UrlBasedCorsConfigurationSource
	 */
	public CorsFilter(CorsConfigurationSource configSource) {
		Assert.notNull(configSource, "CorsConfigurationSource must not be null");
		this.configSource = configSource;
	}


	/**
	 * Configure a custom {@link CorsProcessor} to use to apply the matched
	 * {@link CorsConfiguration} for a request.
	 * <p>By default {@link DefaultCorsProcessor} is used.
	 */
	public void setCorsProcessor(CorsProcessor processor) {
		Assert.notNull(processor, "CorsProcessor must not be null");
		this.processor = processor;
	}


	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
			FilterChain filterChain) throws ServletException, IOException {

		CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
		boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
		if (!isValid || CorsUtils.isPreFlightRequest(request)) {
			return;
		}
		filterChain.doFilter(request, response);
	}

}

到这里其实CORS就已经结束了,但是DefaultCorsProcessor不太符合我们的需要,我们在interceptor增加了各种检查,而options类型的请求不会进入到interceptor中,我们需要定制化的Processor来完善这一功能。

仔细看CorsFilter,可以发现其实有一个方法setCorsProcessor(CorsProcessor processor)可以进行替换,我们先定义一个CustomCorsProcessor

public class CustomCorsProcessor extends DefaultCorsProcessor {

  private static Logger logger = LoggerFactory.getLogger(DefaultCorsProcessor.class);

  @Override
  protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,
      CorsConfiguration config, boolean preFlightRequest) throws IOException{
    logger.info("worked");
    return super.handleInternal(request, response, config, preFlightRequest);
  }

}

最初的想法是通过@Bean注解,看Spring本身会不会有机制进行方法注入,不过该尝试没有成功,最后干脆直接new一个CorsFilter

    @Bean
    public CorsFilter corsFilter(){
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("POST"));
        configuration.setAllowedHeaders(Arrays.asList("*"));
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/test",configuration);
        CorsFilter corsFilter = new CorsFilter(source);
        corsFilter.setCorsProcessor(new CustomCorsProcessor());
        return corsFilter;
    }

更新,手动创建CorsFilter 的话,可以省略.and().cors()的设置

nyzzht123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Springboot配置CORS跨域问题
weixin_44329984的博客
08-18 960
通过Springboot配置CORS跨域问题处理。
配置前端跨域访问
weixin_33407107的博客
08-06 585
@Configuration public class CorsConfig { public CorsConfig(){} @Bean public CorsFilter corsFilter(){ //1、添加cors配置信息 CorsConfiguration corsConfiguration=new CorsConfiguration(); corsConfiguration.addAllowedOrigin("http:.
Spring Boot中的CORS配置
最新发布
微赚淘客系统开发者博客
07-03 264
随着前后端分离架构的流行,前端应用通常运行在一个不同的域或端口上,这就涉及到跨域资源共享(CORS)问题。通过本文,我们详细介绍了在Spring Boot应用中如何配置CORS以实现安全的跨域数据访问。合理配置CORS能够有效地保护应用的安全性,并允许前端应用与后端服务进行安全而有效的通信。为了验证CORS配置的功能,可以使用前端应用向后端发送跨域请求,并确保请求能够正常响应。让我们通过一个简单的Java代码示例,演示如何在Spring Boot应用中配置CORS。在上面的示例中,我们创建了一个。
SpringBoot跨域设置(CORS
热门推荐
骑个小蜗牛的博客
03-23 4万+
目录什么是跨域跨域资源共享(CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是跨域 请求url的协议、域名、端口三者有任意一个不同即为跨域。跨域问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、域名、端口三者都相同即为同源(同一个域)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
SpringBoot解决CORS跨域问题
weixin_48040732的博客
03-28 1586
SpringBoot解决CORS跨域问题说明第一种方法代码第二种方法第三种方法第四种方法 说明 有时候在项目开发阶段的时候,前端在使用ajax请求的时候会存在跨域问题,这里记录一下在dev开发环境解决跨域问题的几种方法,如果是在生产环境,可以使用中间件来解决跨域问题,如nginx的反向代理。 第一种方法 这种方法是在类或者方法上加上@CrossOrigin注解来解决跨域问题, 加在类上就可以不用在该类里面的每个方法上面都加上该注解,如果是只允许该方法允许跨域,那么可以只在该方法上面加上该注解。 代码 pac
Spring Boot 如何配置 CORS 支持
stormjun的博客
09-26 1808
CORS是一种网络安全机制,用于控制跨源HTTP请求的访问权限。在默认情况下,浏览器会禁止跨源请求,以防止潜在的安全风险。CORS通过在HTTP响应头中添加特定的标头来启用跨域请求,这些标头指示浏览器允许请求来自不同源的资源。通过配置CORS支持,您可以明确指定哪些源可以访问您的应用程序的资源。通过简单的配置Spring Boot使CORS支持变得容易。通过明确指定允许的来源、方法和标头,您可以确保您的应用程序能够安全地与其他域的资源进行交互。
SpringBoot 如何使用 CORS 进行跨域资源共享
程序员徐师兄的博客
06-23 835
CORS 是一种 Web 应用程序的安全机制,用于限制跨域请求对目标服务器的访问。如果一个 Web 应用程序从一个源请求资源,而该资源位于另一个源,那么跨域就发生了。CORS 机制允许服务器在响应中设置一组跨域访问控制头来告诉浏览器哪些跨域请求是允许的。
(六)CorsConfig前后端数据跨域连接---基于SpringBoot+MySQL+Vue+ElementUI+Mybatis前后端分离面向小白管理系统搭建
wdyan297的博客
01-19 6089
本次任务,我们来到激动人心的时刻,实现前后端跨域连接,把我们查询到的数据在前端进行展示,并且实现分页查询功能。
SpringBoot项目跨域请求放行配置工具类
zhengTornado的博客
12-06 597
package com.ruoyi.framework.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfigurat...
Spring Boot CORS配置
ACMer_AK的博客
01-03 5481
不依赖spring-boot-starter-security包 @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arra
SpringBoot配置CorsFilter
Yunje_Wu的博客
04-26 4284
在使用SpringBoot+SpringSecurity配置用户登录时,需要配置CorsFilter,如下: 然后在项目启动的时候报一下错误: 10:24:01.010 [restartedMain] WARN o.s.b.w.s.c.AnnotationConfigServletWebServerApplicationContext - [refresh,591] - Exception encountered during context initialization - cancellin
Springboot跨域CORS处理实现原理
08-19
示例代码使用 @Configuration 注解,实现了 WebMvcConfigurer 接口,并在 addCorsMappings 方法中配置CORS 设置,允许来自 http://localhost:8082 的请求。 本文详细介绍了 Springboot 跨域 CORS 处理实现原理,...
springboot跨域CORS处理代码解析
08-25
在上面的代码中,我们使用了 CorsRegistry 来配置 CORS 规则。我们允许来自 http://localhost:8082 的请求,允许 GET、POST、DELETE、PUT 和 PATCH 方法,并且设置了最大缓存时间为 1 小时。 现在,如果我们再次...
Springboot处理CORS跨域请求的三种方法
08-19
如果每个Controller都添加`@CrossOrigin`注解过于繁琐,可以配置全局的CORS策略。这通常在Spring Boot配置类中完成,通过`WebMvcConfigurer`接口实现。例如: ```java @Configuration public class WebConfig...
详解springboot设置cors跨域请求的两种方式
08-26
使用 CorsConfig 需要定义一个配置类,并在该类中设置 CORS 相关的配置。 无论使用哪种方式,都可以实现 CORS 跨域请求,提高 Web 应用程序的安全性和灵活性。 扩展知识点 1. 什么是 CORSCORS(Cross-Origin ...
Springboot CORS跨域设置.md
03-25
Springboot CORS跨域设置
Spring Boot——跨域CORS
秋书一叶的博客
05-31 2041
当使用Spring Boot开发Web应用程序时,有时需要处理跨域请求。跨域请求是指在浏览器中,使用JavaScript从一个域(或者端口、协议)向另一个域(或者端口、协议)发起请求。默认情况下,浏览器会限制跨域请求,以确保安全性。
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1741
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。
SpringBootSpringBoot配置CORS跨域和遇到的问题
sfh2018的博客
05-10 1万+
这里记录一次使用SpringBoot项目配置CORS跨域的写法和中间遇到的问题。 使用SpringBoot配置CORS跨域的方式有三种,下边分别介绍下。 一、方式一:使用@CrossOrigin注解 如果想要对某一接口配置 CORS,可以在方法上添加 @CrossOrigin 注解: @CrossOrigin(origins = {"http://localhost:8080", "null"}) @RequestMapping(value = "/test", method = RequestMethod
springboot 解决CORS问题
04-18
好的,关于 springboot 解决 CORS 问题,我可以给你一些建议。你可以在 SpringBoot 应用程序中配置 WebMvcConfigurer Bean,然后使用 addCorsMappings() 方法添加允许跨域访问的规则。具体代码如下: @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") .allowCredentials(true) .allowedHeaders("*") .maxAge(3600); } } 此外,你还可以使用 @CrossOrigin 注解来解决跨域问题。将此注解添加到控制器方法上,即可指定哪些源可以访问该方法,并可以更细致地指定允许的 HTTP 方法和头信息。 以上是我对 springboot 解决 CORS 问题的建议,希望对你有所帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值