Spring Boot 对 跨源(域)资源共享 的支持(CORS)

最新推荐文章于 2024-07-06 20:36:20 发布
最新推荐文章于 2024-07-06 20:36:20 发布
阅读量306 收藏
点赞数
分类专栏: Spring Boot 文章标签: java spring boot spring 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175706/article/details/117574158
版权
本文详细介绍了CORS(跨源资源共享)的概念及其在SpringBoot中的应用。通过实例展示了如何使用@CrossOrigin注解处理跨域请求,包括简单请求和预检请求。同时,还演示了当请求头发生变化时,CORS策略如何阻止请求。最后,讲解了如何在SpringBoot中设置全局CORS配置,以允许特定域名的跨域请求。
摘要由CSDN通过智能技术生成

Spring Boot 对跨源(域)资源共享的支持(CORS)

首先,什么是跨域资源?

跨源资源共享(CORS) (或通俗地译为跨域资源共享) 是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其他 origin(域,协议,端口),这样浏览器就可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否辉允许要发送的真是请求,该机制通过浏览器发起一个服务器托管的跨源资源的预检请求。在预检中,浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

例子: 运行在 http://domain-a.com 的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。

Spring Boot 对 CORS 的介绍:是一个由大多数浏览器实现的 W3C 规范,它允许你以一种灵活的方式指定哪种跨域请求是合法的,而不是使用一些不那么安全和强大的方法,如 IFRAME 或 JSONP。

专业解释,强烈推荐阅读!!!
关于CORS 更详细的介绍请参考 MDN 跨源资源共享(CORS)

跨域请求错误以什么形式出现呢?

演示:此 testCrossOrigin.html位于 http://localhost:8080域下

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
        <script>
            var invocation = new XMLHttpRequest();
            var url = 'http://localhost:8333/testCrossOrigin';
            // 简单请求
            function callOtherDomain(append) {
                if (invocation) {
                    invocation.open('GET', url+append, true);
                    invocation.onloadend = () => {
                        console.log(invocation.responseText);
                        document.write(invocation.responseText);
                    };
                    invocation.send();
                }
            }
        </script>
    </head>
    <body>
        <button onclick="callOtherDomain('')">testCrossOrigin</button>
    </body>
</html>

为了模拟跨域, 在http://localhost:8333 域下创建 testCrossOrigin Controller

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class TestCrossOriginController {
	@ResponseBody
	@RequestMapping("/testCrossOrigin")
	public String testCrossOrigin() {
		String s = "ok";
		return s;
	}
}

在浏览器中打开 http://localhost:8080/testCrossOrigin.html 点击testCrossOrigin 按钮

在这里插入图片描述

出现错误信息:
在这里插入图片描述

可以看到 请求已被CORS策略阻止

Access to XMLHttpRequest at 'http://localhost:8333/testCrossOrigin' from origin 'http://localhost:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Spring Boot 添加对跨域的支持

Spring Boot 中使用 @CrossOrigin 注解支持 CORS

修改上例 TestCrossOriginController类,添加@CrossOrigin(originPatterns = "http://localhost:8080")

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@CrossOrigin(originPatterns = "http://localhost:8080")
public class TestCrossOriginController {
	@ResponseBody
	@RequestMapping("/testCrossOrigin")
	public String testCrossOrigin() {
		String s = "ok";
		return s;
	}
}

浏览器测试

在这里插入图片描述

ok~! 对于一个简单的跨域请求 已经ok。

预检请求

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。即请求时向服务器发送自定义,或者 HTTP 规范请求头,以供服务器对此请求检查。

演示:

此 testCrossOrigin.html位于 http://localhost:8080域下

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>Title</title>
        <script>
            var invocation = new XMLHttpRequest();
            var url = 'http://localhost:8333/testCrossOriginPreInspection';
            var body = '<?xml version="1.0"?><person><name>Arun</name></person>';
            // 预检请求
            function callOtherDomain(){
                if(invocation)
                {
                    invocation.open('POST', url, true);
                    invocation.setRequestHeader('X-PINGOTHER', 'pingpong');
                    invocation.setRequestHeader('Content-Type', 'application/xml');
                    invocation.onloadend = () => {
                        console.log(invocation.responseText);
                        document.write(invocation.responseText);
                    };
                    invocation.send(body);
                }
            }
        </script>
    </head>
    <body>
        <button onclick="callOtherDomain()">testCrossOrigin</button>
    </body>
</html>

http://localhost:8333 域下创建 testCrossOrigin Controller

import javax.servlet.http.HttpServletRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@CrossOrigin(originPatterns = "http://localhost:8080")
public class TestCrossOriginController {

	@CrossOrigin(originPatterns = "http://localhost:8080", allowedHeaders = {"X-PINGOTHER", "Content-Type"},
			methods = {RequestMethod.GET,RequestMethod.POST,RequestMethod.OPTIONS})
	@RequestMapping("/testCrossOriginPreInspection")
	public String testCrossOriginPreInspection(HttpServletRequest request,@RequestBody String requestBody) {
		request.setAttribute("requestBody",requestBody);
		return "formCrossOrigin";
	}
}

浏览器测试

在这里插入图片描述

在这里插入图片描述

服务器可以接收到请求时的数据,并且执行了响应的Controller。

而当我们对 testCrossOrigin.html 中 script 中 invocation 设置的请求头做出更改时

 invocation.setRequestHeader('X-PINGOTHER', 'pingpong');

修改

 invocation.setRequestHeader('X1-PINGOTHER', 'pingpong');

测试浏览器请求

在这里插入图片描述

受到了 CORS 策略的阻止

Spring Boot 添加全局 CORS
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration(proxyBeanMethods = false)
public class MyCorsConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {

            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/api/**");
            }

        };
    }

}
Voryla
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5300
一、什么是CORSCORS是一个W3C标准,全称是”跨资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨请求。 CORS Header Acce..
SpringBoot Cors配置+原理分析(corsfilter)
z69183787的专栏
06-24 3832
(951条消息) 跨的那些事 - CorsWebFilter 跨源码分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS(前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot设置(CORS)_骑个小蜗牛的博客
SpringBoot教程(七) | SpringBoot解决跨问题
最新发布
qq_20236937的博客
07-06 212
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为跨
3、SpringBoot 解决跨问题
小确幸的博客
01-18 2605
前端和后端都会遇到跨问题,这篇介绍几种 SpringBoot 解决跨的方案,并说明下跨失效问题
SpringBoot在使用SpringSecurity时,配置跨过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 5980
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
Spring Boot3 跨配置 Cors
xdpcxq1029的博客
01-19 1099
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
Spring Boot Web应用开发 CORS请求支持
08-30
CORS(Cross-Origin Resource Sharing,跨资源共享)是一种机制,它允许Web页面从不同的名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS请求支持是非常重要的,下面我们将详细地...
Spring Boot 通过CORS实现跨问题
09-07
然而,CORS(跨资源共享)是一种允许浏览器在遵循特定规则的情况下跨越源进行请求的机制,它扩展了同源策略,使得开发者能够安全地进行跨操作。 同源策略是浏览器为了保护用户数据安全而实施的一项基本策略,它...
Spring boot 和Vue开发中CORS问题解决
12-11
资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨资源...
spring boot的demo.zip
03-13
对于 H5 视频的显示,项目可能已经配置了适当的 MIME 类型,并确保了跨资源共享CORS)的设置,以允许不同源的客户端访问。你还可以使用 Spring Boot 的 WebMvcConfigurer 接口自定义 MVC 配置,添加过滤器或者...
浅谈spring-boot 允许接口跨并实现拦截(CORS
08-29
Spring Boot中实现CORS(Cross-Origin Resource Sharing,跨资源共享)机制是为了解决不同名、协议或端口下的资源请求问题。在Spring Boot项目中,我们可以使用CorsConfiguration和CorsFilter来实现CORS机制。 ...
Spring Boot笔记-对dto数据传输对象及物联网公司主创建主键的认识
IT1995的博客
07-31 6182
目录 基本概念 相关代码 基本概念 dto指:data transfer object,数据传输对象。 以本人目前的Java web水平,对此dto有如下的认识。 数据库列映射为java类的时候,如果某一个表和另外一个表是一对多的关系。 在dataobject层可以使用这个注解,防止此成员在数据库中没有对应的列。 如下所示: 这种方式不太好,因为这个data...
SpringBoot实体类——VO/DTO/PO简单总结
tang_seven的博客
03-13 1万+
简单记录一下springboot后端开发中的实体类VO、DTO、PO等的使用
SpringBoot配置CorsFilter
Yunje_Wu的博客
04-26 4284
在使用SpringBoot+SpringSecurity配置用户登录时,需要配置CorsFilter,如下: 然后在项目启动的时候报一下错误: 10:24:01.010 [restartedMain] WARN o.s.b.w.s.c.AnnotationConfigServletWebServerApplicationContext - [refresh,591] - Exception encountered during context initialization - cancellin
SpringBoot解决跨的五种方案
欢迎来到我的博客
07-17 2591
一、同源策略一、同源策略同源,就是咱们名、端口号、ip、采用的协议都相同,那么我们就是同源的反之就是不同源的!!!出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
springboot 与前端交互 已拦截跨源请求
fwk19840301的博客
03-10 4956
一、springboot 与前端交互  已拦截跨源请求火狐报错:谷歌报错:具体症状: 确定前端没问题解决方式RestController @RequestMapping("/infoUsers") @CacheConfig(cacheNames = "infoUsers") //就是一个注解的事 @CrossOriginpublic class InfoUserController { @...
使用Spring Boot跨源CORS设置,前后端分离的时候
qq_28929589的博客
01-09 1723
已拦截跨源请求:同源策略禁止读取位于 http://localhost:8899/login 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin') 如果使用postman就不会存在跨问题。 但是前后端分离的时候前后端都是要设置的,以下是后端的配置 参考http://blog.csdn.net/superpeepi_csdn/article/
Springboot解决前后端分离项目跨,配置多个
热门推荐
酸酸酱的博客
05-22 2万+
需求和想法 项目前后端分离以后需要配置跨,且需要允许浏览器多个名跨。我们知道Access-Control-Allow-Origin里面是只可以写一个名的,但是我们可以通过配置一个可被允许的origins数组,然后判断前端请求中的origin是否在这个数组中来解决这个问题~ Springboot的解决方法 方法有两种 第一种:使用springboot 已经实现的工具类org.springfr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值