Cors跨域访问

最新推荐文章于 2024-05-20 10:06:29 发布
最新推荐文章于 2024-05-20 10:06:29 发布
阅读量788 收藏
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qixiang_chen/article/details/86692517
版权

Http协议访问资源需要符合同源策略,同源策略[same origin policy]是浏览器的一个安全功能, 同源策略是浏览器安全的基石。同源就是必须访问的域名与端口号完全相同。例如下面例子

http://test.com与http?/test.com:81不同源
http://test.com与http?/a.test.com不同源
http://test.com/a.html与http://test.com/b.html同源

互联网应用系统需要高可用和高并发,架构设计需要将也分解到不同的域名,再通过Nginx代理统一起来,这样不可避免地处理不同源间系统访问。为了解决这个问题,提出了跨源资源共享,即 CORS(Cross-Origin Resource Sharing)。

CORS实现原理
传统的Http协议头信息包括:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type

CORS扩展了头信息:
Origin:
Access-Control-Allow-Origin:
Access-Control-Allow-Methods:
Access-Control-Allow-Headers:
Access-Control-Allow-Credentials:
Access-Control-Max-Age:

CORS跨域访问有两种访问方式,一是直接访问,在HTTP请求头上添加Origin字段(记录本域名),如果访问的服务器允许此域名CORS访问,在响应头上添加如下字段
Access-Control-Allow-Origin: http://mydomain1.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000
如果不允许此域名CORS访问,不需要添加上述响应头信息。

二是间接范围,首先发生一个OPTION请求询问服务器端是否运行本域名跨域访问,如果允许访问返回响应头信息
Access-Control-Allow-Origin: http://mydomain1.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

测试不同源Ajax访问结果

mydomain1.com域名下的页面使用Ajax访问mydomain2.com域名下的服务,系统提示错误

mydomain1.com的JSP

<%@page language="java" contentType="text/html; charset=UTF-8"%>
<html>
<head>
<script src="http://libs.baidu.com/jquery/2.1.1/jquery.min.js"></script>

<script>

$(document).ready(function(){ 
   $.ajax({
        type: "get",
        async: false,
        url: "http://mydomain2.com/myjsonp.jsp?city=BeiJing",
        dataType: "jsonp",
        jsonp: "callback",//获取jsonp回调函数名的参数名
        jsonpCallback:"showName2",//自定义的jsonp回调函数名称,必须非空,默认为jQuery自动生成的随机函数名
        success: function(json){
    		var len = json.colleges.length;
    		var str = '';
    		for(var i=0;i<len;i++)
    			str = str + json.colleges[i] +',';
            alert('名称=' + json.name + ' 国家=' + json.country + ' 大学='+str);
        },
        error: function(){
            alert('fail');
        }
    });
});


function doclick()
{
	   $.ajax({
	        type: "get",
	        async: false,
	        url: "http://mydomain2.com/test",
	        success: function(data){
	        	for(var i=0;i<data.length;i++)
	        	{
	    			$('#testdiv').append('<li>'+data[i]+'</li>');
	        	}
	        },
	        error: function(){
	            alert('fail');
	        }
	    });
}
</script>

</head>
<body>
<h2>Hello World!</h2>
<input type="button" value="Test Cors" onclick="doclick()"/>
<div id="testdiv"></div>
</body>
</html>

mydomain2.com下的Controller

package com.gf;

import java.util.ArrayList;
import java.util.List;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class TestCtrl {
	

	@RequestMapping("/test")
	@ResponseBody
	public List<String> test()
	{
		List<String> lst = new ArrayList<String>();
		lst.add("Java");
		lst.add("Python");
		lst.add("NodeJS");
		return lst;
	}
}

范围结果,出现跨域错误
在这里插入图片描述

SpringBoot服务端添加跨域访问支持

package com.gf;

import java.util.ArrayList;
import java.util.List;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class TestCtrl {
	
	@CrossOrigin(origins = {"http://mydomain1.com", "null"})
	@RequestMapping("/test")
	@ResponseBody
	public List<String> test()
	{
		List<String> lst = new ArrayList<String>();
		lst.add("Java");
		lst.add("Python");
		lst.add("NodeJS");
		return lst;
	}
}

结果
在这里插入图片描述

为Controller所有方法添加跨域访问支持

package com.gf;

import java.util.ArrayList;
import java.util.List;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@CrossOrigin(origins = {"http://mydomain1.com", "null"})
@Controller
public class TestCtrl {
	
	@RequestMapping("/test")
	@ResponseBody
	public List<String> test()
	{
		List<String> lst = new ArrayList<String>();
		lst.add("Java");
		lst.add("Python");
		lst.add("NodeJS");
		return lst;
	}
}

为全部Controller设置跨域支持

package com.gf;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}
华科易迅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS访问框架jra包
11-15
`CORS访问框架jra包`则提供了一种方便的方式来实现CORS支持,使得开发者可以轻松地在服务器端配置CORS策略。 `cors-filter-1.7.jar` 是这个框架的核心组件,它是一个基于Java的过滤器(Filter),可以集成到...
cors问题对应的jar包.zip
08-19
"cors问题对应的jar包.zip"这个压缩包文件包含了处理问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
CORS访问漏洞
m0_73896875的博客
07-13 5765
全称是“资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决资源访问限制的机制。它允许在浏览器中进行请求,并控制请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的名、协议和端口必须与资源所在的名、协议和端口完全匹配。如果两个资源的名、协议和端口不匹配,浏览器会限制请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的请求。
CORS访问
weixin_44510483的博客
10-29 128
CORS(Cross-Origin Resource Sharing)“资源共享”,是一个W3C标准,它允许浏览器向服务器发送Ajax请求,打破了Ajax只能访问本站内的资源限制,CORS在很多地方都有被使用,微信支付的JS支付就是通过JS向微信服务器发送请求。开放Ajax访问可被访问的服务器大大减少了后台开发的工作,前后台工作也可以得到很好的明确以及分工,下面我们就看讲一下如何让你的SpringBoot项目支持CORS。 2 问题的解决方案 2.1 jsonp jsonp应
推荐开源项目:测试神器 - Test-CORS.org
最新发布
gitblog_00094的博客
05-20 422
推荐开源项目:测试神器 - Test-CORS.org 项目地址:https://gitcode.com/monsur/test-cors.org 项目介绍 Test-CORS.org 是一个强大的在线工具,用于测试和理解资源共享(CORS)机制。这个开源项目提供了客户端代码和服务器端代码的全透明体验,帮助开发者在不同起源之间实现真正的请求。通过访问 http://test-cors....
SpringBoot3 CORS访问
MyFreeIT
05-31 3199
需要认真的学习每个细节。allowCredentials(true) 和 allowed-origins: "*" 不能同时配置allowCredentials(true) 和 allowed-origins: "http://127.0.0.1:5500" 匹配。
CORS访问
m0_73876302的博客
11-21 233
当一个资源请求一个其它名的资源时会发起一个HTTP请求。名A的Web应用通过img标签引入了名B的某图片资源,名A的Web应用就会导致消览器发起一个药或HTP请求。浏览器一旦发现AlAX请求源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。cORS 是一个 W3C 标准,全称是“资源共享”,它允许浏览器向源服务器发出xMLHttpRequest请求,从而克服了AlAX只能同源使用的限制。浏览器将CORS请求分成两类:简单请求和非简单请求。
如何解决CORS问题
superioc的博客
03-30 1271
:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
修复Cors漏洞
压力是什么?
09-24 4400
修复Cors漏洞
JavaEE - CORS
MinggeQingchun的博客
09-03 711
是一个W3C标准,全称是””(),允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起请求。实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以源通信。CORS需要浏览器和服务器同时支持。
解决CORS问题
m0_60226911的博客
04-12 829
CORS问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。
CORS资源共享
weixin_46511008的博客
05-09 1120
CORS资源共享 1、 接口的问题 (1)编写的 GET 和 POST 接口,存在一个很严重的问题:不支持请求。 解决接口问题的方案主要有两种: ① CORS(主流的解决方案, 推荐使用 ) ② JSONP(有缺陷的解决方案:只支持 GET 请求) (2)这里主要分析使用 CORS 解决的问题。 2、使用 cors 中间件 解决问题 cors 是 Express 的一个第三方中间件。通过安装和配置 cors 中间件,可以很方便地解决问题。
12:CORS设置-Java Spring
Yeats_Liao的博客
10-05 1974
12:CORS设置-Java Spring
你可能不知道的CORS资源共享
10-17
CORS资源共享)是Web开发中解决访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
corsTomcat文件
04-21
【标题】"corsTomcat文件"涉及的是在Web开发中解决问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
详解Spring MVC CORS
08-30
CORS 全称是资源共享,它允许 Web 应用程序可以访问不同名下的资源,而不受同源策略的限制。例如,一个名为 http://example1.com 的 Web 应用程序想要访问另一个名为 http://example2.com 的资源,这时就...
SpringBoot四大组件
热门推荐
qixiang_chen的博客
08-05 3万+
package com.gufang.annotation; import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.Retention...
SpringBoot集成JasperReport
qixiang_chen的博客
03-09 7010
使用JasperReport 引擎PDF报表,因为iText版本升级,由原来的包名com.lowagie.text.pdf.fonts转化为com.itextpdf.text.pdf.fonts,如果引用的Jar包报表不一致,通常报无法找到字体错误 2020-03-09 13:39:44.784 WARN 10876 --- [nio-6060-exec-1] n.s.j.engine.expo...
SpringBoot实现WebService
qixiang_chen的博客
05-14 5147
SpringBoot集成Apache的cxf-rt-frontend-jaxws实现WebService服务 POM.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:/...
cors漏洞概述
10-11
CORS来源资源共享)是一个用于浏览器和服务器之间通信的机制,它允许服务器在响应中添加一些响应头来明确指示哪些被允许访问该资源。由于同源策略的限制,浏览器通常不允许从一个源加载另一个源的资源,但如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值