Spring Boot 对 跨源(域)资源共享 的支持(CORS)

最新推荐文章于 2022-11-26 00:45:11 发布
最新推荐文章于 2022-11-26 00:45:11 发布
阅读量364 收藏
点赞数
分类专栏: Spring Boot 文章标签: java spring boot spring 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175706/article/details/117574158
版权
本文详细介绍了CORS(跨源资源共享)的概念及其在SpringBoot中的应用。通过实例展示了如何使用@CrossOrigin注解处理跨域请求,包括简单请求和预检请求。同时,还演示了当请求头发生变化时,CORS策略如何阻止请求。最后,讲解了如何在SpringBoot中设置全局CORS配置,以允许特定域名的跨域请求。
摘要由CSDN通过智能技术生成

Spring Boot 对跨源(域)资源共享的支持(CORS)

首先,什么是跨域资源?

跨源资源共享(CORS) (或通俗地译为跨域资源共享) 是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他 origin(域,协议,端口),这样浏览器就可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否辉允许要发送的真是请求,该机制通过浏览器发起一个服务器托管的跨源资源的预检请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

例子: 运行在 http://domain-a.com 的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。

Spring Boot 对 CORS 的介绍:是一个由大多数浏览器实现的 W3C 规范,它允许你以一种灵活的方式指定哪种跨域请求是合法的,而不是使用一些不那么安全和强大的方法,如 IFRAME 或 JSONP。

专业解释,强烈推荐阅读!!!
关于CORS 更详细的介绍请参考 MDN 跨源资源共享(CORS)

跨域请求错误以什么形式出现呢?

演示:此 testCrossOrigin.html位于 http://localhost:8080域下

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
        <script>
            var invocation = new XMLHttpRequest();
            var url = 'http://localhost:8333/testCrossOrigin';
            // 简单请求
            function callOtherDomain(append) {
                if (invocation) {
                    invocation.open('GET', url+append, true);
                    invocation.onloadend = () => {
                        console.log(invocation.responseText);
                        document.write(invocation.responseText);
                    };
                    invocation.send();
                }
            }
        </script>
    </head>
    <body>
        <button onclick="callOtherDomain('')">testCrossOrigin</button>
    </body>
</html>

为了模拟跨域, 在http://localhost:8333 域下创建 testCrossOrigin Controller

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class TestCrossOriginController {
	@ResponseBody
	@RequestMapping("/testCrossOrigin")
	public String testCrossOrigin() {
		String s = "ok";
		return s;
	}
}

在浏览器中打开 http://localhost:8080/testCrossOrigin.html 点击testCrossOrigin 按钮

在这里插入图片描述

出现错误信息:
在这里插入图片描述

可以看到 请求已被CORS策略阻止

Access to XMLHttpRequest at 'http://localhost:8333/testCrossOrigin' from origin 'http://localhost:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Spring Boot 添加对跨域的支持

Spring Boot 中使用 @CrossOrigin 注解支持 CORS

修改上例 TestCrossOriginController类,添加@CrossOrigin(originPatterns = "http://localhost:8080")

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@CrossOrigin(originPatterns = "http://localhost:8080")
public class TestCrossOriginController {
	@ResponseBody
	@RequestMapping("/testCrossOrigin")
	public String testCrossOrigin() {
		String s = "ok";
		return s;
	}
}

浏览器测试

在这里插入图片描述

ok~! 对于一个简单的跨域请求 已经ok。

预检请求

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。即请求时向服务器发送自定义,或者 HTTP 规范请求头,以供服务器对此请求检查。

演示:

此 testCrossOrigin.html位于 http://localhost:8080域下

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
        <script>
            var invocation = new XMLHttpRequest();
            var url = 'http://localhost:8333/testCrossOriginPreInspection';
            var body = '<?xml version="1.0"?><person><name>Arun</name></person>';
            // 预检请求
            function callOtherDomain(){
                if(invocation)
                {
                    invocation.open('POST', url, true);
                    invocation.setRequestHeader('X-PINGOTHER', 'pingpong');
                    invocation.setRequestHeader('Content-Type', 'application/xml');
                    invocation.onloadend = () => {
                        console.log(invocation.responseText);
                        document.write(invocation.responseText);
                    };
                    invocation.send(body);
                }
            }
        </script>
    </head>
    <body>
        <button onclick="callOtherDomain()">testCrossOrigin</button>
    </body>
</html>

http://localhost:8333 域下创建 testCrossOrigin Controller

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@CrossOrigin(originPatterns = "http://localhost:8080")
public class TestCrossOriginController {

	@CrossOrigin(originPatterns = "http://localhost:8080", allowedHeaders = {"X-PINGOTHER", "Content-Type"},
			methods = {RequestMethod.GET,RequestMethod.POST,RequestMethod.OPTIONS})
	@RequestMapping("/testCrossOriginPreInspection")
	public String testCrossOriginPreInspection(HttpServletRequest request,@RequestBody String requestBody) {
		request.setAttribute("requestBody",requestBody);
		return "formCrossOrigin";
	}
}

浏览器测试

在这里插入图片描述

在这里插入图片描述

服务器可以接收到请求时的数据,并且执行了响应的Controller。

而当我们对 testCrossOrigin.html 中 script 中 invocation 设置的请求头做出更改时

 invocation.setRequestHeader('X-PINGOTHER', 'pingpong');

修改

 invocation.setRequestHeader('X1-PINGOTHER', 'pingpong');

测试浏览器请求

在这里插入图片描述

受到了 CORS 策略的阻止

Spring Boot 添加全局 CORS
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration(proxyBeanMethods = false)
public class MyCorsConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {

            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/api/**");
            }

        };
    }

}
Voryla
关注
专栏目录
Spring Boot CORS资源共享实现方案
JessicaWin
07-25 561
cors
Spring Boot Web应用开发 CORS请求支持
08-30
CORS(Cross-Origin Resource Sharing,跨资源共享)是一种机制,它允许Web页面从不同的名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS请求支持是非常重要的,下面我们将详细地...
微服务系列之SpringBoot基础:CORS资源共享
kuangpengfei的博客
02-21 297
SpringBoot CORS资源共享 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录SpringBoot CORS资源共享前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机
springboot通过CORS(cross-origin resourse sharing 跨资源共享)解决跨问题
qq_40820916的博客
07-07 735
源 简单来说,源就是指协议,名和端口号,所谓同源就是协议相同,名相同,端口号相同,以下举个例子: 对于 http://www.aa.com/test/index.html 判断是否同源(协议为http协议,名为www.aa.com,端口号为80(默认,可以省略)) 1、http://www.aa.com/bb/index.html ——同源; 2、http://www.baidu.aa.com/bb/index.html ——非同源,名不一致; 3、https://www.aa.com/bb/ind
Spring Boot:跨资源共享CORS
kaven
02-10 737
跨源资源共享(Cross-origin resource sharing,CORS)是大多数浏览器实现的W3C规范,它允许以灵活的方式指定授权的跨请求类型,而不是使用一些不太安全、功能也不太强大的方法,如IFRAME或JSONP。 CORS需要浏览器和服务器同时支持。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会感知到这些附
SpringBoot应用篇】【AOP+注解】SpringBoot集成Mybatis实现多数据源配置+跨数据源事务
输入技术、输出想法
11-26 4447
开发中经常有这样的需要:。微服务环境下可以实现一个服务读取一个数据库,另一个服务写库。但是在实际应用中有时也需要在一个服务中读写不同的数据库。可以在一个SpringBoot单体项目中配置多个数据源解决读写库分离。
Spring boot 和Vue开发中CORS问题解决
10-18
CORS全称是Cross-Origin Resource Sharing,即跨源资源共享。这个概念是W3C的一个标准,它允许浏览器从一个向另一个发起HTTP请求,突破了早期浏览器只允许同源脚本发起请求的限制。同源策略主要是出于安全考虑,...
如何在Spring Boot中实现跨资源共享CORS)以支持前后端分离的校园外卖服务系统?
最新发布
10-26
资源共享CORS)是Web开发中经常遇到的问题,特别是在前后端分离的架构下,前端Vue应用可能需要从后端Spring Boot服务获取数据。为了解决这一问题,Spring Boot提供了灵活的CORS配置方式。你可以在Spring Boot...
Spring Boot 三种跨方式梳理
泠青沼
03-02 619
跨源资源共享 (CORS)(或通俗地译为跨资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。
CORS(跨源资源共享)
IT新技术
05-02 861
目前为止,在Web应用程序中,可以通过使用JSON-P(基于安全因素的考虑而被受限使用)或设置一个自定义代理(安装与维护比较麻烦)的方法来实现跨请求。 CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C小组制定的一个标准,它允许浏览器实现跨通信。通过建立一个XmlHttpRequest对象,CORS允许开发者象实现同源请求那样实现跨源请求。 COR
SpringBoot系列——CORS(跨源资源共享)
weixin_30692143的博客
07-11 529
  前言   出于安全原因,浏览器禁止ajax调用当前源之外的资源(同源策略),我们之前也有写个几种跨的简单实现(还在问跨?本文记录js跨的多种实现实例),本文主要详细介绍CORS跨源资源共享,以及如何在SpringBoot的几种实现方式   这里主要参考spring的这篇:https://docs.spring.io/spring/docs/5.1.8.RELEASE/spring-...
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决跨资源访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1877
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(跨请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题:跨资源访问 CORS
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5597
一、什么是CORSCORS是一个W3C标准,全称是”跨资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨请求。 CORS Header Acce..
SpringMvc框架使用过滤器(Filter)实现跨
MoncyXu的博客
12-17 2283
@WebFilter(filterName = "CrosFilter",urlPatterns = {"/*"}) public class CrosFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } ...
SpringBoot Cors配置+原理分析(corsfilter)
z69183787的专栏
06-24 3986
(951条消息) 跨的那些事 - CorsWebFilter 跨源码分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS(前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot设置(CORS)_骑个小蜗牛的博客
SpringBoot解决CORS
Muscleheng的博客
12-20 589
前言 CORS(Cross-Origin Resource Sharing)"跨资源共享",是一个W3C标准,它允许浏览器向跨服务器发送Ajax请求,打破了Ajax只能访问本站内的资源限制,CORS在很多地方都有被使用,开放Ajax访问可被跨访问的服务器大大减少了后台开发的工作,前后台工作也可以得到很好的明确以及分工,下面我们就看讲一下如何让你的SpringBoot项目支持CORS。 ...
SpringBoot设置(CORS
热门推荐
骑个小蜗牛的博客
03-23 4万+
目录什么是跨资源共享CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是跨 请求url的协议、名、端口三者有任意一个不同即为跨。跨问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、名、端口三者都相同即为同源(同一个)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
SpringBoot2——向对象共享数据与SpringMVC的视图(笔记)
weixin_46949627的博客
04-08 1196
对象共享数据与SpringMVC的视图
浏览器材阻止了跨源资源共享CORS)怎么设置
09-30
当浏览器阻止跨源资源共享(Cross-Origin Resource Sharing,简称CORS)时,通常是因为当前网页(源站)试图从其他名获取资源,而这通常是出于安全考虑,防止恶意网站滥用。为了设置允许特定源访问,你需要在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值