SpringBoot接口跨域问题

最新推荐文章于 2024-03-02 09:38:15 发布
最新推荐文章于 2024-03-02 09:38:15 发布
阅读量2.6k 收藏 3
点赞数 4
分类专栏: SpringBoot实践 JAVA 文章标签: 跨域 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33591903/article/details/103732470
版权

前后端未分离前,前端界面和代码写在一起,维护成本高,开发效率低。当前后端分离后,就要考虑到接口跨域的问题。

首先,在这里先简要解释一下,什么是同源

所谓同源是指,域名,协议,端口相同。

比如www.abc.com下的js脚本采用ajax去访问www.xyz.com下的resource资源,在xyz没有明确授权跨域的情况下,请求一定会失败。即使js脚本已经请求到数据,F12也可以看到响应的数据,但浏览器拒绝将数据塞入请求结果中,也拒绝显示在页面上。因为js脚本和resource资源分别属于两个不同的源——他们的域名不相同。

那么为什么浏览器要遵守同源策略?

浏览器遵守同源策略,是为了安全考虑。

如果不遵守同源策略,那么我的ajax可以随便调用任何人的后端隐私接口,我的脚本可以任意读取别人网站下的cookie。我把这些恶意脚本放在自己的网站上,只要你访问我的网站,浏览器就会执行我的脚本,我就可以拿到你的所有cookie数据。

我现在有www.abc.com和www.xyz.com,我就想让abc下的脚本访问xyz下的数据,那么我该怎么办?

——利用CORS(跨域资源共享)

CORS简介

CORS允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。

对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。

浏览器一旦发现请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

在进行跨域请求时,有时候浏览器发送一个请求,有时候发送两个请求,这是怎么回事?

浏览器将CORS请求分成两类:

  • 简单请求(simple request)
  • 非简单请求(not-so-simple request)。

浏览器发出CORS简单请求,只需要在头信息之中增加一个Origin字段,接着,直接发送该请求。

浏览器发出CORS非简单请求,会在正式通信之前,增加一次OPTIONS查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

简单请求就是HEAD、GET、POST请求,并且HTTP的头信息不超出以下几种字段

  1. Accept
  2. Accept-Language
  3. Content-Language
  4. Last-Event-ID
  5. Content-Type

注:Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

否则,就是非简单请求,需要发送一个OPTION预检请求,然后再发送真正的数据请求。

当我发送一个跨域请求时,服务器的响应头是怎样的?

跨域情况下,服务器的响应头有以下几种

Access-Control-Allow-Origin
该字段必填。它的值要么是请求时Origin字段的具体值,要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Methods
该字段必填。它的值是逗号分隔的一个具体的字符串或者*,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

Access-Control-Expose-Headers
该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie.默认情况下,不发生Cookie,即:false。对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。

Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另一条预检请求。

顺便提一下,如果在开发中,发现每次发起请求都是两条,一次OPTIONS,一次正常请求,注意是每次,那么就需要配置Access-Control-Max-Age,避免每次都发出预检请求。

当浏览器发送一个跨域请求时,我不需要改动前端的任何代码,还向往常一样发送请求。那么当跨域的情况下,服务端该怎么配置?

由上面的响应头,我们可以有这样的想法,只要我们每次给response设置好这些响应头信息,不就可以实现跨域了吗?

每次都需要,那么我们新增一个拦截器,应用到所有请求上。

package com.yang.plm.handler;


import org.springframework.http.HttpMethod;
import org.springframework.http.HttpStatus;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class SecurityInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "86400");
        response.setHeader("Access-Control-Allow-Headers", "*");

        // 如果是OPTIONS则直接返回无响应体的响应
        if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) {
            response.setStatus(HttpStatus.NO_CONTENT.value());
            return false;
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}

并在配置中应用该拦截器

package com.yang.plm.config;


import com.yang.plm.handler.SecurityInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.servlet.config.annotation.*;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    //不拦截静态资源
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }

    @Override
    // 这样在项目启动是就会默认访问resource下的static文件夹的index.html
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("forward:/index.html");
        registry.setOrder(Ordered.HIGHEST_PRECEDENCE);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //拦截所有请求,允许跨域
        registry.addInterceptor(new SecurityInterceptor()).addPathPatterns("/**");
    }

}

如果需要对每个接口配置不同的跨域控制,则需要利用@CrossOrigin注解,不过,这个就显得太细了,这里不作阐述了。

配置好跨域控制后,我们就可以在后端允许的任何域上实现跨域请求了。

SunAlwaysOnline
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决Vue调用springboot接口403跨域问题
10-16
主要介绍了解决Vue调用springboot接口403跨域问题,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
跨域的五种解决方案
祁_z
06-25 3644
跨域的五种解决方案
Spring Boot如何彻底解决跨域问题,五种方案来看看吧
最新发布
2301_77899321的博客
03-02 1443
在Spring Boot项目中可以通过配置来解决跨域问题,在Spring Boot的配置类中添加一个跨域配置的Bean。
2022.9.24 浏览器请求接口跨域问题解决
xiaoxiaocainiao_的博客
09-24 1094
同源指的是协议相同、域名相同,端口相同 域的组成:协议 + 域名 + 端口 跨域:不同源的网址之间的通信会出现跨域,一旦出现跨域,请求响应会被浏览器拒绝。 其实跨域和跨源就是同个意思。
接口开发-跨域访问-解决方案简单汇总
韩超的博客 (hanchao5272)
02-07 1万+
1 引言 这是16年写的一篇小调查,现在贴到博客中。 因为当时时间有限、水平有限,所以内容较浅,而且还有很多不当之处。 还有就是当时参考的那些文章现在也记不得了,深感抱歉! 1.1 编写目的 编写接口开发跨域访问解决方案汇总的主要目的是,归纳整理目前可供选用的解决接口跨域访问的解决方案。 接口调用开发模式需要考虑一个重要的问题,即跨域访问问题。 跨域访问有两个方向的解决策略:
解决跨域请求和接口安全问题
wuyang19920226的博客
06-16 5267
写在前面:最近一个月因为事杂且多,没有抽出时间来整理技术点。早就想好写这方面的内容了,这周末才勉强挤出时间整理下。 步入正题,既然是解决跨域请求,那么要知道什么是跨域请求,为什么会有跨域请求。 一、什么是跨域请求: 首先引入一个概念:同源策略。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。为了保护本地数据不被JavaScript代码获取回...
浅谈spring-boot 允许接口跨域并实现拦截(CORS
08-29
本篇文章主要介绍了浅谈spring-boot 允许接口跨域并实现拦截(CORS),具有一定的参考价值,有兴趣的可以了解一下
SpringBoot接口解决跨域问题
weixin_45947759的博客
03-08 592
跨域配置 1、什么是跨域 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 。前后端分离开发中,需要考虑ajax跨域的问题。 这里我们可以从服务端解决这个问题 2、配置 在Controller类上添加注解@CrossOrigin @RestController @CrossOrigin //解决跨域问题 @RequestMapping("/test") public class EduTeacherController { } 详情参考 注解@CrossOrigin详
前后端分离跨域问题的解决方案
weixin_44192363的博客
07-19 1712
package com.huaxin.wenjuan.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConf
Spring Boot 设置允许跨域请求
青藤光年的博客
09-15 561
在Spring Boot项目中添加配置类 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import or...
spring boot 支持js跨域请求
09-09
spring boot 支持跨域 前台不需要jsonp 请求 正常js即可 spring boot 支持跨域 前台不需要jsonp 请求 正常js即可
SpringBoot框架RESTful接口设置跨域允许
08-25
主要为大家详细介绍了SpringBoot框架RESTful接口设置跨域允许,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot解决跨域请求拦截问题代码实例
08-25
主要介绍了SpringBoot解决跨域请求拦截代码实例,在微服务开发中,一个系统包含多个微服务,会存在跨域请求的场景。 本文讲解SpringBoot解决跨域请求拦截的问题。,需要的朋友可以参考下
springboot 跨域请求
02-05
springboot怎样实现跨域请求, springboot与mybatis结合
SpringBootSpringBoot整合Nginx的全部流程
热门推荐
阳阳的博客
05-31 5万+
SpringBoot整合Nginx的全部流程 对Nginx还不了解的同学可以先看这篇文章Nginx 相关介绍(Nginx是什么?能干嘛?) 今天的目标是将SpringBoot项目由默认部署方式(jar)替换成war形式,部署在同一台电脑上的两个不同端口的tomcat上,利用Nginx做反向代理,将请求自由的映射到不同端口的tomcat中...
【Tomcat】Error parsing HTTP request header的解决方案
阳阳的博客
03-17 3万+
最近个人的一个项目,总是不定时浮现Error parsing HTTP request header这样的问题,有以下两种具体报错 Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986. Invalid character found i...
SpringBoot】教你写个QQ机器人(2)搭建项目框架
阳阳的博客
07-07 1万+
教你写个QQ机器人(2)搭建项目框架 开始SpringBoot之旅 2019/7/5 18:05 未完待续.....(其实是下班了,回去再写) 目前项目的目录(可能会有所改动),详细代码见我的GithubSunAlwaysOnline/kq 以下是我用到的依赖 MyBatis-plus:是MyBatis的增强版,封装了一些...
SpringBoot】教你写个QQ机器人(1)准备哪些东西呢
阳阳的博客
07-05 1万+
教你写个QQ机器人(1)准备哪些东西呢 有一天,我的高中同学,闲着没事做着二手车倒腾生意。突然给我提了一个需求,说我能不能实现一个机器人。它能够监控群消息,如果有人发了设定好的关键词,比如二手车,就立马把这个人的QQ号转发给他,接下来去谈生意。 我一想,这怎么监控群消息啊,难度有点高啊(这个时候我丝毫没意识其实早就出现了这种技术,只不过Ja...
SpringBoot的自动装配原理、自定义starter与spi机制,一网打尽
阳阳的博客
08-24 9788
一、前言 Spring简直是java企业级应用开发人员的春天,我们可以通过Spring提供的ioc容器,避免硬编码带来的程序过度耦合。 但是,启动一个Spring应用程序也绝非易事,他需要大量且繁琐的xml配置,开发人员压根不能全身心的投入到业务中去。 因此,SpringBoot诞生了,虽然本质上还是属于Spring,但是SpringBoot的优势在于以下两个特点: (1)约定大于配置 SpringBoot定义了项目的基本骨架,例如各个环境的配置文件统一放到resource中,使用active来启
springboot处理跨域问题
08-12
在Spring Boot中处理跨域问题可以通过以下步骤进行: 1. 添加跨域配置类:创建一个类并注解为`@Configuration`,并实现`WebMvcConfigurer`接口。在该类中重写`addCorsMappings`方法。 ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 允许跨域访问的路径 .allowedOrigins("*") // 允许跨域访问的源 .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许请求方法 .allowCredentials(true) // 是否发送cookie .maxAge(3600); // 预检间隔时间 } } ``` 2. 注册跨域配置类:在`Application`类上添加注解`@EnableWebMvc`,并将跨域配置类添加到Spring Boot应用中。 ```java @SpringBootApplication @EnableWebMvc public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 3. 配置全局跨域过滤器(可选):如果上述方法无法解决跨域问题,可以使用全局跨域过滤器。 ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request = (HttpServletRequest) req; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, Accept"); response.setHeader("Access-Control-Max-Age", "3600"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } // 省略其他方法 } ``` 通过以上步骤,你就可以在Spring Boot中成功处理跨域问题了。请注意,跨域配置应该根据你的实际需求进行调整,例如允许的源、方法和头部等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SunAlwaysOnline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值