Spring Web MVC:跨域资源共享(CORS)

最新推荐文章于 2024-08-28 08:49:24 发布
最新推荐文章于 2024-08-28 08:49:24 发布
阅读量804 收藏 8
点赞数 28
文章标签: spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panghuangang/article/details/136862148
版权

https://docs.spring.io/spring-framework/reference/web/webmvc-cors.html

Spring MVC允许处理CORS(跨源资源共享)。

介绍

出于安全原因,浏览器禁止对当前源以外的资源进行AJAX调用。例如,可能在一个标签页中有银行账户,而在另一个标签页中有evil.com。evil.com上的脚本不应该能够使用你的凭据对你的银行API发起AJAX请求——例如从你的账户中提取资金!

跨源资源共享(CORS)是W3C规范,大多数浏览器都实现了这一规范。它允许你指定哪些跨域请求是授权的,而不是使用基于IFRAME或JSONP的较不安全且功能较弱的替代方案。

带凭据的请求

在使用CORS进行带凭据的请求时,需要启用allowedCredentials。此选项与配置的域建立高度信任,并且通过暴露敏感的用户特定信息(如cookie和CSRF令牌)增加了Web应用程序的攻击面。

启用凭据还会影响已配置的“*”CORS通配符的处理方式:

  • 在allowOrigins中不允许使用通配符,但可以使用allowOriginPatterns属性来匹配一组动态来源。
  • 当在allowedHeaders或allowedMethods中设置时,Access-Control-Allow-Headers和Access-Control-Allow-Methods响应头是通过复制CORS预探测请求(preflight request)中指定的相关头部和方法来处理的。
  • 当在exposedHeaders中设置时,Access-Control-Expose-Headers响应头被设置为配置的头部列表或通配符字符。虽然CORS规范在Access-Control-Allow-Credentials设置为true时不允许使用通配符字符,但大多数浏览器都支持它,并且在CORS处理过程中并非所有响应头都是可用的。因此,无论allowCredentials属性的值如何,当指定时,通配符字符都将用作头部值。

虽然这种使用通配符的配置可能很方便,但建议在可能的情况下配置一个有限的值集,以提供更高级别的安全性。

处理

CORS规范区分了预探测请求(preflight request)、简单请求(simple request)和实际请求(actual request)。

Spring MVC 的 HandlerMapping 实现为 CORS 提供了内置支持。在成功将请求映射到处理器之后,HandlerMapping 实现会检查给定请求和处理器对应的 CORS 配置,并采取进一步的操作。预探测请求(Preflight requests)会被直接处理,而简单和实际的 CORS 请求则会被拦截、验证,并设置所需的 CORS 响应头。

为了启用跨域请求(即请求中存在 Origin 头部并且与请求的主机不同),你需要明确声明一些 CORS 配置。如果没有找到匹配的 CORS 配置,预探测请求将被拒绝。简单请求和实际 CORS 请求的响应中不会添加任何 CORS 头部,因此浏览器也会拒绝这些请求。

每个 HandlerMapping 可以根据 URL 模式配置单独的 CorsConfiguration 映射。在大多数情况下,应用程序使用 MVC Java 配置或 XML 命名空间来声明这些映射,结果是将一个全局映射传递给所有的 HandlerMapping 实例。

可以将 HandlerMapping 级别的全局 CORS 配置与更细粒度的处理器级别的 CORS 配置相结合。例如,使用注解的控制器可以在类或方法级别使用 @CrossOrigin 注解(其他处理器可以实现 CorsConfigurationSource)。

全局和局部配置相结合的规则通常是累加性的——例如,所有全局和所有局部来源。对于那些只能接受单个值的属性,例如 allowCredentials 和 maxAge,局部值将覆盖全局值。

@CrossOrigin

@CrossOrigin 注解允许在带注解的控制器方法上进行跨域请求,如下例所示:

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

默认情况下,@CrossOrigin 允许:

  • 所有来源。
  • 所有头部。
  • 与控制器方法映射的所有 HTTP 方法。

allowCredentials 默认情况下并未启用,因为这建立了一种信任级别,会暴露敏感的用户特定信息(如 cookie 和 CSRF 令牌),因此只应在适当的情况下使用。当启用它时,要么必须将 allowOrigins 设置为一个或多个特定的域名(但不能是特殊值 “*”),或者可以使用 allowOriginPatterns 属性来匹配动态的一组来源。

maxAge 设置为 30 分钟。

@CrossOrigin 注解也支持在类级别上使用,并且会被所有方法继承,如下例所示:

@CrossOrigin(origins = "https://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

可以在类级别和方法级别上都使用 @CrossOrigin 注解,如下例所示:

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin("https://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

全局配置

除了细粒度的控制器方法级别配置外,你可能还想定义一些全局 CORS 配置。可以在任何 HandlerMapping 上单独设置基于 URL 的 CorsConfiguration 映射。然而,大多数应用程序使用 MVC Java 配置或 MVC XML 命名空间来完成此操作。

默认情况下,全局配置启用以下内容:

  • 所有来源。
  • 所有头部。
  • GET、HEAD 和 POST 方法。

allowCredentials 默认情况下并未启用,因为这建立了一种信任级别,会暴露敏感的用户特定信息(如 cookies 和 CSRF 令牌),因此只应在适当的情况下使用。当启用它时,必须将 allowOrigins 设置为一个或多个特定的域名(但不能是特殊值 “*”),或者可以使用 allowOriginPatterns 属性来匹配动态的一组来源。

maxAge 被设置为 30 分钟。

Java 配置

要在 MVC Java 配置中启用 CORS,可以使用 CorsRegistry 回调,如下例所示:

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

	@Override
	public void addCorsMappings(CorsRegistry registry) {

		registry.addMapping("/api/**")
			.allowedOrigins("https://domain2.com")
			.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
			.exposedHeaders("header1", "header2")
			.allowCredentials(true).maxAge(3600);

		// Add more mappings...
	}
}

XML 配置

要在 XML 命名空间中启用 CORS,可以使用 <mvc:cors> 元素,如下例所示:

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="https://domain1.com, https://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="true"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="https://domain1.com" />

</mvc:cors>

CORS 过滤器

可以通过内置的 CorsFilter 来应用 CORS 支持。

如果尝试将 CorsFilter 与 Spring Security 一起使用,请注意 Spring Security 内置了对 CORS 的支持。

要配置过滤器,请将 CorsConfigurationSource 传递给其构造函数,如下例所示:

CorsConfiguration config = new CorsConfiguration();

// Possibly...
// config.applyPermitDefaultValues()

config.setAllowCredentials(true);
config.addAllowedOrigin("https://domain1.com");
config.addAllowedHeader("*");
config.addAllowedMethod("*");

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);

CorsFilter filter = new CorsFilter(source);
听海边涛声
关注
Spring Boot 3】【Web】处理跨域资源共享 CORS
又言又语
09-04 1224
本文介绍开发 Spring Boot Web 应用时如何处理跨域资源共享CORS)。跨域资源共享CORS,Cross-Origin Resource Sharing),是一种基于 HTTP 头的机制,允许服务器标识除了自己以外的其他源(域、协议或端口),使得浏览器允许这些源访问加载自己的资源。使用注解 Controller 类或方法配置CorsFilter创建实现接口的配置类,重写其方法自定义Filter设置。
RESTful开发风格8:跨域问题二:Spring MVC实现“CORS跨域访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置;
小枯林的博客
11-18 1333
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
Spring MVCCORS跨域的详细介绍
08-30
本文介绍了 CORS 的知识以及如何在 Spring MVC 中配置 CORS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 567
Spring MVC 4.2 增加 CORS 支持 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
什么是 CORS ?一文搞懂 CORS 跨域原理!零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-28 3945
CORS,全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。
Spring MVC(7)CORS
codezhuyc的博客
10-27 324
目录一 简介CORS 出现前的情况二 简单请求CORS处理策列后台处理浏览器处理描述 CORS 返回结果三 非简单请求预检请求处理策略后台处理四 配置 CORS针对某个接口针对一系列接口添加全局配置添加一个配置类添加 Filter 的方式五 原理六 携带cookie参考 一 简介 同源策略(same origin policy)是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 aj...
SpringMvc CORS-跨域处理
存在,即合理
05-26 685
同源"指的是"三个相同":同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。限制:如果非同源,共有三种行为受到限制。工作原理是添加新的HTTP headers来让服务器描述哪些源的请求可以访问该资源,对于可能对服务器造成不好影响的请求,规范规定浏览器需要先发送“预检”请求(也就是OPTION请求),在预检请求通过后再发送实际的请求,服务器还可以通知客户端是否应该随请求发送“凭据”(例如 Cookie 和 HTTP 身份验证)。Request HeaderResonse Header支持的源,
Spring MVC(四)— CORS、HTTP缓存及MVC配置
KEEP CODING
03-25 849
Spring CORS 允许开发者配置哪些域可以访问其Web应用的资源。HTTP缓存是提高Web应用程序性能的一种重要技术。通过实现WebMvcConfigurer接口来对MVC容器进行配置。
详解Spring MVC CORS 跨域
08-30
CORS 跨域Web 开发中一个非常重要的概念,Spring MVC 提供了多种方式来实现 CORS 跨域,包括使用 `@CrossOrigin` 注解和配置文件。通过使用 CORS 跨域,我们可以实现不同域名下的资源共享,提高 Web 应用程序的...
spring MVC cors跨域实现源码解析
08-31
Spring MVC CORS跨域资源共享)实现源码解析 跨域资源共享CORS)是一种机制,允许Web应用程序在浏览器中向不同源(域名、协议或端口)发送Ajax请求。根据W3C规范,如果请求的源与服务器资源的源不一致,就被...
MVC跨域CORS扩展
weixin_30879833的博客
12-10 129
一般的基于浏览器跨域的主要解决方法有这么几种:1.JSONP 2.IFrame方式 3.通过flash实现 4.CORS跨域资源共享 ,这里我们主要关注的是在MVC里面的CORS跨域,其余的方式大家可以在网上找到相关的知识看一下。 CORS的原理: CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。COR...
SpringMVC CORS跨域测试包
02-10
SpringMVC CORS跨域测试包
Spring Mvc处理CORS跨域问题
haitunxiaomo的专栏
08-26 577
对于前端来说,跨域问题会经常遇到,前端有很多的处理方法,例如JSONP 就是使用的比较多的方案,但 JSONP 是一个非官方的跨域协议同时也只支持 GET 请求。所以这里就使用CORS处理跨域。这种处理方式,将工作完全交付给了后台java层去做了。下面简单说明下使用的步骤: 1、在web.xml中添加如下代码: <filter> <filter-name>cors</filter-name> <filter-class>myCORSFi.
Spring MVC CORS配置详解及实例
m0_62153576的博客
08-10 300
在开发跨域应用时,CORS(Cross-Origin Resource Sharing)是一个重要的概念。Spring MVC提供了灵活的CORS支持,允许开发者轻松实现跨域资源共享。本文将详细介绍两种常用的Spring MVC CORS配置方法,并提供实例进行说明。
SpringMVC开启CORS支持
z69183787的专栏
11-09 5438
前言 浏览器出于安全考虑,限制了JS发起跨站请求,使用XHR对象发起请求必须遵循同源策略(SOP:Same Origin Policy),跨站请求会被浏览器阻止,这对开发者来说是很痛苦的一件事,尤其是要开发前后端分离的应用时。 在现代化的Web开发中,不同网络环境下的资源数据共享越来越普遍,同源策略可以说是在一定程度上限制了Web API的发展。 简单的说,CORS就是为了AJAX能够安全跨
Spring MVCCORS的支持
qq_33281710的博客
04-10 363
Spring MVC 从4.2版本开始增加了对CORS的支持,增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。Spring官网博客https://spring.io/blog/2015/06/08/cors-support-in-spring-framework1. 使用@CrossOrigin注解(Handler阶段的CORS)1.1 在Co...
Spring MVCCORS
huaweitman的专栏
05-09 382
http://www.cnblogs.com/Coding-net/p/6207122.html
SpringMVC CORS跨域解决方案 2021-9-20
qq_21438267的博客
09-20 1133
SpringMVC 应用开发 1 基础概念介绍 2 返回值处理 3 参数绑定处理 4 RequestMapping注解 5 RESTful支持 6 拦截器应用 7 CORS跨域解决方案 8 Mock测试(模拟测试) 9 ControllerAdvice 10 乱码解决 11 非注解开发方式 CORS跨域解决方案SpringMVC 应用开发一、 什么是跨域二、 如何解决跨域三、 使用CORS跨域3.1 什么是CORS3.2 客户端跨域处理 (了解)3.2.1 对于简单请求3.2.2 非简单请求请求信息3.3
SpringMVC中处理跨域请求资源共享(CORS)(学习笔记2020.3.26)
志豪的博客
03-26 406
SpringMVC中处理跨域资源共享(CORS)(学习笔记2020.3.26) 前言: 什么是跨域资源共享? CORS是一种允许当前域的资源(比如html/js/web service)被其他域的脚本请求访问的机制,通常由于同域安全策略浏览器会禁止这种跨域请求。 (详细介绍) 所谓跨域指的是域名不同或者端口不同或者协议不同,资源会发起一个跨域 HTTP 请求。站点 http://domain-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值