meethigher-同源策略以及SpringBoot的常见跨域配置

已于 2023-08-28 22:39:33 修改
阅读量706 收藏 2
点赞数
文章标签: spring boot 后端 java
于 2023-08-27 01:16:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30460361/article/details/132518018
版权

先说明一个坑。在跨域的情况下,浏览器针对复杂请求,会发起预检OPTIONS请求。如果服务端对OPTIONS进行拦截,并返回非200的http状态码。浏览器一律提示为cors error。

一、了解跨域

1.1 同源策略

浏览器的同源策略(Same-Origin Policy),用于限制网页中的JavaScript代码与来自不同源的资源进行交互。

同源策略的规则包括

  1. 协议相同
  2. 域名或主机地址相同
  3. 端口相同

下图为是否同源的示例

1.2 跨域资源共享

1.2.1 概念

跨域资源共享(Cross-Origin Resource Sharing,CORS)是一种机制,为了绕过浏览器的同源策略(Same-Origin Policy)而设计的,它允许网页从不同源(域名、协议、端口)获取或发送HTTP请求,以实现跨域数据交换。

CORS将HTTP请求分为两类,如果详细了解,请查阅跨域资源共享-W3C

  1. 简单请求
    • 请求方式
      • GET
      • POST
      • HEAD
    • 特定的Content-Type值
      • text/plain
      • multipart/form-data
      • application/x-www-form-urlencoded
    • 请求头Accept, Accept-Language, Content-Language
  2. 预检请求
    • 当浏览器检测到一个跨域请求不符合"简单请求"的条件时,它会自动发送一个预检请求以获得服务器的授权。
    • 非简单请求的请求方式
    • 非简单请求的Content-Type值
    • 非简单请求的请求头

1.2.2 服务器

服务器通过在响应中包含相应的CORS头部来授权或拒绝请求。常见的CORS头部包括:

  • Access-Control-Allow-Origin:指定哪些源可以访问资源。
  • Access-Control-Allow-Methods:指定允许的HTTP方法。
  • Access-Control-Allow-Headers:指定允许的自定义HTTP头部。
  • Access-Control-Allow-Credentials:指定是否允许发送凭据,如Cookie。
  • Access-Control-Max-Age:时间单位为秒。指定预检请求的缓存时间,减少后续请求的预检请求次数。

二、SpringBoot示例配置

SpringBoot配置跨域三种方式,启动项目进行测试。访问http://127.0.0.1:4321/

源码地址

2.1 局部注解

@PostMapping("/annotation")
@CrossOrigin
public String annotation() {
    return "注解实现跨域";
}

2.2 第一种全局

/**
 * 方式一
 *
 * @see <a href="https://blog.csdn.net/qq_37651252/article/details/106630443">跨域配置方式一</a>
 */
@Bean
public CorsFilter first() {
    CorsConfiguration config = new CorsConfiguration();
    //允许所有域名进行跨域调用
    //config.addAllowedOrigin("*");//springboot2+不适用该方法
    config.addAllowedOriginPattern("*");
    //允许跨越发送cookie
    config.setAllowCredentials(true);
    //放行全部原始头信息
    config.addAllowedHeader("*");
    //允许所有请求方法跨域调用,使用大写的方可
    config.addAllowedMethod("GET");
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

2.3 第二种全局

/**
 * 方法二
 */
@Bean
public FilterRegistrationBean second() {
    FilterRegistrationBean registrationBean = new FilterRegistrationBean();
    //注入过滤器
    registrationBean.setFilter((servletRequest, servletResponse, filterChain) -> {
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
        //响应头设置
        httpServletResponse.setHeader("Access-Control-Allow-Headers", "*");
        //响应类型
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
        //允许跨越发送cookie
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        filterChain.doFilter(servletRequest, servletResponse);
    });
    //过滤器名称
    registrationBean.setName("CrossOrigin");
    //拦截规则
    registrationBean.addUrlPatterns("/*");
    //过滤器顺序
    registrationBean.setOrder(FilterRegistrationBean.HIGHEST_PRECEDENCE);

    return registrationBean;
}

2.4 第三种全局

@Component
public class SystemWebMvcConfigurer extends WebMvcConfigurationSupport {
    /**
     * 跨域配置
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry
                .addMapping("/**")
                .allowCredentials(true)
                .allowedOriginPatterns("*")
                .allowedHeaders("*")
                .allowedMethods("*");
    }
}
言成言成啊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot处理CORS跨域请求的三种方法
08-19
主要介绍了Springboot处理CORS跨域请求的三种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot配置允许跨域访问代码实例
08-25
SpringBoot配置允许跨域访问代码实例 SpringBoot框架通常用于前后端分离项目,因此需要配置后台允许跨域访问,以便前端页面可以正常访问后台接口。下面将详细介绍如何配置SpringBoot允许跨域访问。 跨域访问的...
Java Demo示例:Springboot解决Access-Control-Allow-Origin跨域问题、浏览器同源策略详解
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。...
SpringBoot ~ 同源策略配置
简单点
06-07 955
同源策略配置 ​ CROS(Cross-Origin Resource Sharing)是由W3C制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。 SpringBoot配置跨域有2种方式,一是方法注解配置,二是全局配置 注解配置 @RestController @RequestMapping("/cors") public class RestfulCorsController { @RequestMapping("/") @CrossOrigin(value =
同源策略及解决办法
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
Springboot解决跨域问题方案总结(包括Nginx,Gateway网关等)
热门推荐
qq_35716689的博客
03-23 14万+
跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、域名和端口)的资源,当 JavaScript 发起的请求跨越了同源策略,即请求的目标与当前页面的域名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
SpringBoot跨域Access-Control-Allow-Origin实现解析
08-25
跨域是指不同域名之间相互访问,浏览器不能执行其他网站的脚本,这是由浏览器的同源策略所造成的安全限制策略。只要协议、子域名、主域名、端口号有一项不同,就属于跨域跨域的解决方法可以分为前端和后端解决...
springboot vue 跨域问题的解决
08-26
跨域问题是由于浏览器的同源策略所致。同源策略规定,浏览器只能访问同一个域名下的资源。如果一个域名下的网页试图访问另一个域名下的资源,浏览器将阻止这种行为,避免恶意脚本窃取用户的敏感信息。 解决跨域问题...
深入浅析同源策略跨域访问
11-22
同源策略是Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
Spring Boot 中使用 WebSocket 构建在线日志系统
xiaoerbuyu1233的博客
07-15 486
感谢原作者 侵删在 Spring Boot 中使用 WebSocket 构建在线日志系统 - spring 中文网
Spring Boot实战:无缝对接OpenAI
德乐懿的博客
07-09 1257
通过本文的介绍,你应该已经了解了如何使用Spring Boot无缝对接OpenAI,并在你的应用中实现AI功能。你可以通过探索OpenAI的官方文档来了解更多关于这些功能的信息,并按照类似的方式在你的Spring Boot应用中实现它们。要使用OpenAI的API,首先需要注册一个OpenAI账号,并在Dashboard中获取你的API密钥。这个密钥将用于后续的API调用中,以验证你的身份。此外,你还可以考虑使用Spring Boot的其他特性来增强你的应用,如异步处理、安全性、数据库集成等。
Spring boot 2.0 升级到 3.3.1 的相关问题 (一)
飞一站的博客
07-15 1007
解决Spring boot 升级到3.X版本引起的Interceptor和 WebMvcConfigurer 无法使用的BUG
观察者模式实战:Spring Boot中联动更新机制的优雅实现
最新发布
心猿意码
07-15 532
观察者模式(Observer Pattern)是一种软件设计模式,它定义了对象之间的一种一对多依赖关系,以便当一个对象的状态发生改变时,所有依赖于它的对象都将得到通知并自动更新。在Spring框架中,观察者模式通常通过事件驱动的方式实现。首先,我们需要定义一个事件类,用于表示学生年龄的更新。Java深色版本246914 }1518 }1922 }23}通过上述步骤,我们成功地实现了当学生表中的年龄字段更新时,自动同步更新学生档案表和学生成绩表的功能。
java深入学习第7章】用 Spring BootJava Mail 轻松实现邮件发送功能
liyananweb的博客
07-15 622
通过本文的介绍,我们了解了如何在Spring Boot项目中整合Java Mail,实现发送邮件的功能。无论是简单的文本邮件,还是复杂的HTML邮件,Java Mail都能轻松应对。希望本文对你有所帮助,如果你有任何问题或建议,欢迎在评论区留言。AI写论文。
Spring Boot日志
persistence_PSH的博客
07-14 988
trace:微量,少许的意思,级别最低,一般记录了框架底层的日志,很少使用。fatal:致命的,因为代码异常导致程序退出执行的事件,例如jvm系统崩溃。warn:警告,不影响使用,但需要注意的问题,例如类的版本过时了。error:错误信息,级别较高的错误日志信息;debug:需要开发调试时候的关键信息打印;info:普通的打印信息(默认日志级别);SpringBoot预定义两个组。日志门面(日志的抽象层)all :打印所有的日志。off :关闭所有的日志。日志文件归档与滚动切割。
Spring Boot整合Minio实现文件上传和读取
m0_52620144的博客
07-15 1195
Spring Boot项目快速整合Minio实现文件上传读取
问题复盘|Spring Boot 项目启动时避免空指针异常的解决方案
weixin_44435110的博客
07-15 631
Spring Boot项目中,空指针异常(NullPointerException, NPE)是常见的问题之一,尤其是在Spring容器尚未完全初始化时试图获取Bean对象。今天我们将探讨在Spring Boot项目启动时如何避免此类异常,并提供几种有效的解决方案。
Spring Boot项目中,对接口请求参数打印日志
lw_jack的博客
07-15 767
记得在生产环境中,记录敏感信息时要格外小心,避免记录如密码、个人信息等敏感数据。在Spring Boot项目中,对接口请求参数打印日志是一种常见的做法,这有助于调试和监控API的行为。通过Spring AOP,你可以定义一个切面,拦截所有进入Controller的方法,并在方法执行前后打印日志。创建一个自定义的过滤器,在请求进入Controller之前打印参数。你可以创建一个全局异常处理器,来捕获所有请求并打印日志。创建一个拦截器,在请求处理前后进行日志记录。来获取请求参数,并在方法中打印。
springboot万能跨域配置
05-01
Spring Boot 中,可以通过配置 WebMvcConfigurer 来实现跨域访问。 具体实现步骤如下: 1. 创建一个配置类 CorsConfig。 ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 允许跨域访问的路径 .allowedOrigins("*") // 允许跨域访问的源 .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") // 允许请求方法 .maxAge(168000) // 预检间隔时间 .allowedHeaders("*") // 允许头部设置 .allowCredentials(true); // 是否发送cookie } } ``` 2. 在主类上添加注解 @EnableWebMvc。 ```java @SpringBootApplication @EnableWebMvc public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样就完成了跨域访问的配置,允许所有来源的请求访问。如果需要更细粒度的配置,可以根据需要修改 CorsConfig 类中的参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值