Sping配置跨域详解

已于 2024-03-14 00:22:12 修改
阅读量1.1k 收藏 15
点赞数 17
文章标签: java intellij-idea
于 2024-03-08 17:50:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28623001/article/details/136568223
版权

目录

跨域

一、概念

二、同源策略

三、违反规则

四、解决方案

跨域问题CORS解决方案

方案一:控制器加特定请求头【Access-Control-Allow-Origin】

方案二:注解@CrossOrigin

*方案一和方案二的优缺点

方案三:拦截器加特定请求头【Access-Control-Allow-Origin】

*方案三有一个简化方法,就是直接在【spring-mvc.xml】配置cors,如方案四

方案四:配置【mvc:cors】

(1)跨域请求默认无法携带凭证,不需要携带凭证的情况下

(2)如果需要携带凭证(如Cookie),那么除了前端需要做相应配置外,后端也要做修改

*配置cors后,若因业务需要再增加拦截器(如令牌检验)后,跨域问题会重新出现

Spring加拦截器后重新出现的跨域问题

案例一:拦截器验证请求头(如Token)

出现问题

分析

解决方案

案例二:在案例一基础上,需要携带凭证(如Cookie)

总结

跨域预检请求相关请求头

跨域预检请求相关响应头

参考资料

跨域

前后端分离项目时,首先浏览器就会报如下错误

Access to XMLHttpRequest at 'http://localhost:54321/projectName' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

一、概念

  • 违反同源策略现象被称为跨域

二、同源策略

浏览器的一种保护措施,主要用于预防浏览器通过JS代码进行跨站点的访问操作。

三、违反规则

  • 链接(url)三要素其中一个不同均为违反同源策略

  • url: 协议://主机地址:端口

协议://主机地址:端口
例:
http://localhost:8080
​
http://localhost:8080 与 https://localhost:8080   --协议不同
http://localhost:8080 与 http://127.168.0.2:8080  --主机地址不同
http://localhost:8080 与 http://localhost:8088    --端口不同

四、解决方案

  • JSONP(JSON with Padding):一些标签比如<scripti>,<link>,<a>,<img>,这样的获取静态资源的标签是没有跨域限制的

  • CORS(Cross-Origin Resource Sharing):即跨域资源共享。是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他源域、协议或端口),使得浏览器允许这些源访问加载自己的资源

跨域问题CORS解决方案

方案一:控制器加特定请求头【Access-Control-Allow-Origin】

@RequestMapping("/pathDemo")
public String methodDemo(HttpServletResponse response){
    response.setHeader("Access-Control-Allow-Origin","*");
    //*表示所有人都可以,也可以设置成固定站点
    return "success";
}

方案二:注解@CrossOrigin

/**
* @CorssOrigin 注解相当于自动给每个响应加上方案一的特定请求头
* 该注解只能用在Controller中
*/
​
@RestController
@CrossOrigin //加在此处,整个控制器所有方法都生效
public class TestController{
    @RequestMapping("/pathDemo")
    @CrossOrigin //加在此处,当前方法生效
    public String methodDemo(){
        return "success";
    }
}

*方案一和方案二的优缺点

  • 优点:随用随加,使用上比较灵活

  • 缺点:解决跨域问题的范围太小

方案三:拦截器加特定请求头【Access-Control-Allow-Origin】

  • 在interceptor包中创建类

/**
* 拦截器类
*/
​
public class CorsInterceptor implements handlerInterceptor{
    @Override
    public boolean preHandle(HttpServletRequest requst, HttpServletResponse response, Object Handler)throws Exception {
        response.setHeader("Access-Control-Allow-Origin","*");
    }
}

  • 在【spring-mvc.xml】中配置创建的拦截器

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <!-- /**代表所有路径,及其下的所有子路径-->
        <mvc:exclude-mapping path="/log"/>
        <!-- 使用exclude-mapping 排除登录请求 -->
        <bean id="corsInterceptor" class="org.w.interceptor.CorsInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

*方案三有一个简化方法,就是直接在【spring-mvc.xml】配置cors,如方案四

方案四:配置【mvc:cors】

(1)跨域请求默认无法携带凭证,不需要携带凭证的情况下

<!-- 全局配置 -->
    <!-- 其中:
        allowed-origins 为允许的访问源地址(*为所有请求)
        allowed-methods 为允许访问方式
	    allowed-headers 为允许携带的请求头
    -->
    <mvc:cors>
        <mvc:mapping path="/**"
                     allowed-origins="*"
                     allowed-methods="*"
                     allowed-headers="*"
        />
    </mvc:cors>

(2)如果需要携带凭证(如Cookie),那么除了前端需要做相应配置外,后端也要做修改

<!-- 全局配置 -->
    <!-- 其中:
        allowed-origins 为允许的访问源地址(此处不能使用*,而是"")
		allowed-origin-patterns 为自动将访问源地址加入允许列表中(即响应请求头中)
        allow-credentials 为允许携带凭证(如cookies)(允许时origins不能为*)
    -->
    <mvc:cors>
        <mvc:mapping path="/**"
                     allowed-origin-patterns="*"
                     allow-credentials="true"
                     allowed-origins=""
                     allowed-headers="*"
        />
    </mvc:cors>

*配置cors后,若因业务需要再增加拦截器(如令牌检验)后,跨域问题会重新出现

Spring加拦截器后重新出现的跨域问题

案例一:拦截器验证请求头(如Token)

出现问题

  • 登录请求可以正常访问,而其他被拦截的请求全部报错

  • 拦截器收到的请求头header里token为null

  • 在拦截器处理token为null时不会返回非200状态码时,前端浏览器仍然返回CORS:ERR错误

分析

  • 查看浏览器发送的请求,会发现浏览器发送了两个请求,其中一个是不带token的OPTIONS请求

  • 查看CORS介绍后发现,原来CROS复杂请求时会首先发送一个OPTIONS请求做嗅探,来测试服务器是否支持本次请求,请求成功后才会发送真实的请求;

  • 而OPTIONS请求不会携带任何数据,导致这个请求不符合我们拦截器的校验规则被拦截了,直接返回了状态码,响应头中也没携带解决跨域需要的头部信息,进而出现了跨域问题

  • 将拦截器先关闭,查看正常情况下(即仅仅配置了mvc:cors)发出的预检请求如下:

Accept: */*
Accept-Encoding: gzip, deflate, br, zstd
Accept-Language: zh-CN,zh;q=0.9
Access-Control-Request-Headers: token
Access-Control-Request-Method: GET
Cache-Control: no-cache
Connection: keep-alive
Host: localhost:54321
Origin: http://localhost:8080
Pragma: no-cache
Referer: http://localhost:8080/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36

  • 后端配置的cors跨域会自动回复响应如下:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: token
Access-Control-Allow-Methods: GET,HEAD,POST
Access-Control-Allow-Origin: http://localhost:8080
Access-Control-Max-Age: 1800
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH
Connection: keep-alive
Content-Length: 0
Date: Sat, 09 Mar 2024 15:13:36 GMT
Keep-Alive: timeout=20
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers

  • 由此可以看出,CORS的预检请求是通过请求中携带了一些特定的请求头(如Access-Control-Request-Headers,Access-Control-Request-Method,Origin)来告知服务器,在正式请求中,将会携带的请求头、请求方式、以及请求源。

  • 而响应中,必须根据特定请求头做出响应,例如上述的Access-Control-Allow-Headers、Access-Control-Allow-Methods、Access-Control-Allow-Origin。当前端浏览器接收到这些特定的响应头后,这次预检请求才算成功。

  • 而加了拦截器后,拦截器会将预检请求当作正常请求对待,回复的自然不包含以上这些CORS专属请求头了。那么浏览器在接收到这个响应后,会认为服务器不接收本次跨域请求,那么正式请求就不会发送,自然会报CORS:ERR错误了。此时后端只收到了一个不带token的预检请求,根本没有进行后续操作,所以后端数据自然也到不了前端。

解决方案

  • 拦截器将OPTIONS方法的响应增加允许跨域的响应头

package org.w.interceptor;

/**
 * 店铺员工拦截器
 */
public class StaffInterceptor implements HandlerInterceptor {

    /**
     * 前置拦截器(解析请求头token)
     * */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (request.getMethod().equals("OPTIONS")){
            System.err.println("request method is OPTIONS");
            response.setHeader("Access-Control-Allow-Origin","*");//允许所有访问源
            response.setHeader("Access-Control-Allow-Headers","*");//允许携带所有请求头
            response.setHeader("Access-Control-Max-Age","1800");//可选,在1800秒内同源请求无须预检
            return false;//若拦截器下控制器接口中没有使用OPTIONS方法,则可以直接将其拦截
        }

        String token = request.getHeader("token");
        //后续代码省略
        return HandlerInterceptor.super.preHandle(request, response, handler);
    }
}

  • springmvc.xml文件配置拦截器和CORS

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/staff/**"/>
        <bean id="staffInterceptor" class="org.w.interceptor.StaffInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>


<!-- 全局配置 -->
    <!-- 其中:
        allowed-origins 为允许的访问源地址(*为所有请求)
        allowed-methods 为允许访问方式
	    allowed-headers 为允许携带的请求头
    -->
    <mvc:cors>
        <mvc:mapping path="/**"
                     allowed-origins="*"
                     allowed-methods="*"
                     allowed-headers="*"
        />
    </mvc:cors>

经测试,前端响应恢复正常

案例二:在案例一基础上,需要携带凭证(如Cookie)

  • 前端axios请求需要进行相应默认设置

axios.defaults.withCredentials = true; //开启凭证携带功能

  • 后端拦截器配置(需要注意的是,前端携带凭证设置开启后,后端无法再用【*】号配置允许的访问源和允许携带的请求头了)

package org.w.interceptor;

/**
 * 店铺员工拦截器
 */
public class StaffInterceptor implements HandlerInterceptor {

    /**
     * 前置拦截器(解析请求头token)
     * */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (request.getMethod().equals("OPTIONS")){
            System.err.println("staff interceptor --- >request method is OPTIONS");
            String origin = request.getHeader("Origin");
            System.out.println("origin="+origin);
            response.setHeader("Access-Control-Allow-Origin",origin);//允许预检请求的访问源
            response.setHeader("Access-Control-Allow-Credentials","true");//允许携带凭证
            response.setHeader("Access-Control-Allow-Headers","token,Content-Type");//允许token,Content-Type请求头
            response.setHeader("Access-Control-Max-Age","1800");//可选,在1800秒内同源请求无须预检
            return false;//若拦截器下控制器接口中没有使用OPTIONS方法,则可以直接将其拦截
        }

        String token = request.getHeader("token");
        //后续代码省略
        return HandlerInterceptor.super.preHandle(request, response, handler);
    }
}

  • springmvc.xml文件配置

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/staff/**"/>
        <bean id="staffInterceptor" class="org.w.interceptor.StaffInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

<!-- 全局配置 -->
    <!-- 其中:
        allowed-origins 为允许的访问源地址(此处不能使用*,而是"")
		allowed-origin-patterns 为自动将访问源地址加入允许列表中(即响应请求头中)
        allow-credentials 为允许携带凭证(如cookies)(允许时origins不能为*)
    -->
    <mvc:cors>
        <mvc:mapping path="/**"
                     allowed-origin-patterns="*"
                     allow-credentials="true"
                     allowed-origins=""
                     allowed-headers="*"
        />
    </mvc:cors>

总结

由此可以看出,springmvc中,拦截器和CORS配置非前后关系,而是平行关系,即通过拦截器进入控制层的,不会再通过CORS配置。所以若一定要使用拦截器,可以将所有CORS的配置都放在对应拦截器中进行配置。此时只要针对预检请求进行对应的响应请求头的设置即可

跨域预检请求相关请求头

请求头说明
Origin请求的源URI,无论是否跨域都必然会发送
Access-Control-Request-Method实际请求方法
Access-Control-Request-Headers实际请求携带的请求头

跨域预检请求相关响应头

响应头说明
Access-Control-Allow-Origin允许发个文该资源的外域URI,若允许携带凭证,则不可为【*
Access-Control-Expose-Headers指定XMLHttpRequest的getResponseHeader可以访问到的响应头(即响应暴露的响应头)
Access-Control-Max-Age指定预检请求缓存时间,之后同源请求在缓存时间内无需预检
Access-Control-Allow-Credentials是否允许浏览器读取response的内容,即是否允许携带凭证(如Cookie)
Access-Control-Allow-Methods实际请求允许使用的HTTP方法
Access-Control-Allow-Headers实际请求允许携带的请求头

参考资料

学会Spring Mvc 跨域你只需要看完这一篇-腾讯云开发者社区 

Access-Control-Allow- 设置跨域资源共享CORS详解-CSDN博客

SpringBoot加了拦截器后出现的跨域问题解析 - 掘金 (juejin.cn)

【http】2、http request header Origin 属性、跨域 CORS、同源、nginx 反向代理、预检请求_requesthead 中的 origin-CSDN博客

w星曦y殒陌x
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring 跨域配置请求详解
08-26
主要介绍了Spring 跨域配置请求详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring boot跨域设置实例详解
08-28
主要介绍了Spring boot跨域设置实例详解,简单介绍了跨域的定义,原因,使用场景及解决方案,具有一定参考价值,需要的朋友可以了解下。
详解SpringMVC解决跨域的两种方案
08-29
本篇文章主要介绍了详解SpringMVC解决跨域的两种方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【Spring-MVC】跨域问题
MY9_19的博客
07-11 1262
文章目录15 跨域问题15.1 不同的域15.2 同源策略15.3 解决方法15.3.1 CORS15.3.2 JSONP15.3.3 局部解决方案15.3.4 全局解决方法15.3.4.1 手写过滤器15.3.4.2 配置Spring配置文件15.3.4.3 配置JavaConfig 15 跨域问题 15.1 不同的域 协议、域名、端口,三者只要有一个不同,就叫不同的域 比如: 从http:/moon.com/test去拉取下列url对应的资源 URL 是否跨域 http:/moo
Spring MVC 解决跨域问题
weixin_46566167的博客
11-05 4024
Spring MVC 解决跨域跨资源共享 (CORS:Cross-Origin Resource Sharing跨域资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(源,对应**主机,协议和端口**),这样浏览器就可以访问加载这些资源。 跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。
Spring Boot 3跨域方案详解:告别CORS烦恼
Yaml4的博客
03-26 983
如果需要更复杂的CORS逻辑,你可以创建一个拦截器来处理CORS请求。拦截器允许你在请求处理之前或之后添加逻辑。如果你希望全局配置CORS,而不是在每个Controller或方法上单独配置,你可以创建一个配置类来实现。你也可以将注解添加到特定的方法上,以对该方法应用CORS配置。表示允许所有来源的访问,这在生产环境中可能不是最佳实践,通常你会指定具体的域名。你可以直接在Controller类或者具体的请求处理方法上使用。注解被添加到了控制器类上,表示这个控制器下的所有方法都允许来自。注解来允许跨域请求。
SpringMVC 解决请求跨域问题
m0_51343808的博客
09-10 500
目录 1 什么是同源策略 2什么是跨域请求 3通过@CrossOrigin 解决跨域 1 什么是同源策略 同源策略是浏览器的一个安全功能,所谓的同源,指的是协议,域名,端口相同。浏览 器处于安全方面的考虑,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 哪些不受同源策略限制: 1. 页面中的链接,重定向以及表单提交是不会受到同源策略限制的。 2. 跨域资源的引入是可以的。如嵌入到页面中的<script src="..."></script&..
Spring Boot跨域详解
Sand_Bottle_Beer的博客
03-10 1682
跨域资源共享(CORS)是一种允许不同源之间进行安全通信的机制。在Spring Boot应用中实现跨域请求可以通过全局跨域配置或局部跨域配置来完成。全局跨域配置适用于整个应用的所有请求,可以通过配置类或过滤器统一设置CORS规则。而局部跨域配置适用于特定的控制器或处理器方法,通过注解的方式实现对特定API的跨域设置。选择合适的跨域配置方式取决于应用的具体需求和安全考虑。
java session跨域_springsession跨域详解,实践实例
weixin_32557949的博客
02-16 528
下面的内容要给大家讲到的就是springsession跨域方面的问题,一起来详细的了解一下springsession跨域方面的内容吧。问题:在上面的架构当中,客户端发起了一个请求,在这个请求到达了nginx上面之后,就被Nginx转达到了Tomcat A上面,之后,在TomcatA上面往Session当中保存了一份数据,之后,再来一个请求,这个请求就被转发到了TomcatB上面,这个时候,再去Se...
spring web项目跨域问题详解
drizzt_0808的博客
03-25 936
什么是跨域,以及spring web后端项目的几种常用跨域解决方案的解析。
java 跨域配置_Spring 跨域配置请求详解
weixin_29323365的博客
02-15 411
介绍跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会...
详解Spring MVC CORS 跨域
08-30
本篇文章主要介绍了详解Spring MVC CORS 跨域 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot设置支持跨域请求过程详解
08-18
主要介绍了Spring Boot设置支持跨域请求过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用Spring CROS解决项目中的跨域问题详解
08-25
主要介绍了使用Spring CROS解决项目中的跨域问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot 跨域配置
热门推荐
菜鸟记录
08-14 1万+
⏹ SpringBoot 跨域配置
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
最新发布
优树搭的博客
05-30 1587
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护时,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
Java事务入门:从基础概念到初步实践
Huazie
05-29 1173
本文 Huazie 从 Java 事物的基础概念出发,带大家通过不同的事物管理方式进行实践,进一步加深了对 Java 事物的理解。
spring2.2跨域配置
08-19
在Spring 2.2版本中,可以通过以下步骤来配置跨域支持: 1. 在你的Spring Boot应用程序的配置类上添加`@CrossOrigin`注解。这个注解可以用于整个应用程序或特定的控制器方法。例如: ```java @RestController @CrossOrigin(origins = "http://example.com") public class MyController { // 控制器方法 } ``` 2. 如果你需要更细粒度的控制,你可以使用`WebMvcConfigurer`接口的`addCorsMappings`方法来配置跨域。创建一个配置类并实现`WebMvcConfigurer`接口,然后重写`addCorsMappings`方法。例如: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST") .allowedHeaders("header1", "header2") .allowCredentials(true) .maxAge(3600); } } ``` 这个例子中,我们将跨域配置应用于以`/api/`开头的所有URL,并指定了允许的原始域、允许的HTTP方法、允许的请求头、是否允许发送身份验证信息以及预检请求的最大缓存时间。 请注意,这只是一种配置方式,具体根据你的需求进行调整。还可以使用其他方法,如在过滤器中处理跨域请求。 希望这能帮到你!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值