说说跨域和@CrossOrigin注解的作用

已于 2023-04-27 17:10:41 修改
阅读量985 收藏 2
点赞数
文章标签: javascript 跨域 java
于 2023-04-27 17:05:06 首次发布
原文链接:https://blog.csdn.net/zjy15203167987/article/details/77330992
版权

一、讲讲什么是跨域

在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用?

what?

 @CrossOrigin是用来处理跨域请求的注解

先来说一下什么是跨域:

(站在巨人的肩膀上)

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子:

http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非跨域)

http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:123/456,跨域)

http://abc.123.com/index.html 调用 http://def.123.com/server.php(子域名不同:abc/def,跨域)

http://www.123.com:8080/index.html调用 http://www.123.com:8081/server.php(端口不同:8080/8081,跨域)

http://www.123.com/index.html 调用 https://www.123.com/server.php(协议不同:http/https,跨域)

请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。

浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。

当域名www.abc.com下的js代码去访问www.def.com域名下的资源,就会受到限制。

@CrossOrigin可以处理跨域请求,让你能访问不是一个域的文件。
————————————————
版权声明:本文为CSDN博主「青苔小榭」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zjy15203167987/article/details/77330992

二、讲讲@CrossOrigin注解是干什么用的

@CrossOrigin是一个Java注解,用于指示浏览器允许跨域请求资源。在Web应用程序中,如果JavaScript代码试图从一个域名获取来自不同域名的资源,这将会触发浏览器的同源策略,从而导致浏览器阻止跨域请求。使用@CrossOrigin注解可以允许浏览器绕过同源策略,从而允许跨域请求。

@CrossOrigin注解可以用于类级别或方法级别,如果用于类级别,将适用于整个类中的所有方法。它接受一些参数,包括:

  • origins:指示允许跨域请求的来源。默认情况下,它是"*",表示允许来自任何来源的跨域请求。
  • methods:指示允许的HTTP方法。默认情况下,它包括GETHEADPOST
  • maxAge:指示浏览器可以缓存预检请求的时间(以秒为单位)。
  • allowedHeaders:指示允许的请求头。
  • exposedHeaders:指示可以访问响应头的列表。

总之,使用@CrossOrigin注解可以解决跨域请求的问题,使得Web应用程序能够更灵活地使用跨域资源。

优缺点分析

使用@CrossOrigin注解可以解决跨域请求的问题,从而使Web应用程序能够更灵活地使用跨域资源。下面是@CrossOrigin注解的一些优缺点:

优点:

  1. 使得Web应用程序能够更灵活地使用跨域资源,提高了开发效率。
  2. 允许跨域请求,使得多个域之间的交互更加便利。
  3. 可以控制允许的请求来源、请求方法、请求头等,从而增强了安全性。

缺点:

  1. 允许跨域请求可能会导致一些安全风险,例如跨站脚本攻击(XSS)和跨站请求伪造(CSRF)
  2. 使用@CrossOrigin注解可能会使代码更难以维护和测试,因为它可能会增加代码的复杂度。
  3. 在处理跨域请求时,可能会出现性能问题,因为浏览器需要进行额外的预检请求。

总之,@CrossOrigin注解的使用需要在安全性和开发效率之间做出权衡,开发人员需要根据具体情况进行选择和配置。

其他推荐解决跨域方法的选择

Java处理跨域问题的方法有很多种,下面列举几种常用的方法:

  1. 使用@CrossOrigin注解:如前面所述,可以使用@CrossOrigin注解来允许跨域请求。
  2. 使用Filter过滤器:使用Filter过滤器可以拦截所有请求并添加响应头,从而允许跨域请求。在Filter过滤器中,可以设置允许的请求来源、请求方法、请求头等。
  3. 使用代理服务器:使用代理服务器可以将跨域请求发送到代理服务器,代理服务器再将请求发送到目标服务器,并将响应返回给浏览器。在这个过程中,浏览器只与代理服务器通信,避免了跨域问题。
  4. 使用JSONP技术:JSONP是一种在客户端使用的跨域技术,它允许在不受同源策略限制的情况下获取跨域资源。在Java中,可以通过返回一个JavaScript函数调用来实现JSONP
  5. 使用WebSocket协议:WebSocket是一种新型的协议,可以在浏览器和服务器之间建立双向通信的连接。使用WebSocket协议可以避免跨域问题,并且可以实现实时通信等功能。

总之,Java处理跨域问题的方法有很多种,开发人员需要根据具体情况选择合适的方法。在使用这些方法时,需要注意安全性和性能等方面的问题。

铁汉柔情li
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring @CrossOrigin 注解原理实现
08-18
在 Spring 中,RequestMappingHandlerMapping 类的 initCorsConfiguration 方法会根据 Controller 中的 @CrossOrigin 注解和方法上的 @CrossOrigin 注解来生成 CorsConfiguration 对象。如果 Controller 或方法上...
@CrossOrigin解决问题
06-22
使用@CrossOrigin注解解决前后台分离中的问题
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、(CORS)支持: Spring Framework
SpringMVC系列-7 @CrossOrigin注解问题
Sheng_Q的博客
11-25 2143
理解同源策略是理解的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成站脚本攻击;不同源之间进行限制。 不同源之间形成,包括:协议、名、端口。http和https,localhost和127.0.0.1也会形成(即使经过名解析后相同)。 由于浏览器引擎实现了同源策略,即对访问进行了限制,因此存在问题。
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1332
是 Spring Framework 中的一个注解,用于处理资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
springboot之访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9531
1.springboot之访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
项目中解决方式:HttpClient、注解、网关
chaojiyingxiong的博客
02-07 1834
、网关、springcloud、httpclient
SpringBootAccess-Control-Allow-Origin实现解析
08-25
SpringBoot Access-Control-Allow-Origin 实现解析 ...解决问题需要前端和后端的配合,可以使用 JSONP、实现 WebMvcConfigurer 接口、使用 @CrossOrigin 注解或实现 Filter 接口等方法来解决问题。
YApi 请求插件 cross-request 3.0.0
04-07
前端和后端都可以需要,给yapi测试集合的时候使用
解决springboot添加@CrossOrigin支持不起作用
qq_45721173的博客
05-07 9046
问题描述 在springboot开发中,为解决请求问题,在代码中添加注解@CrossOrigin不起任何作用。 后端报错信息如下 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" resp
三种解决方案:HttpClient、注解、网关
民工哥的博客
01-31 227
点击关注公众号,Java干货及时送达????为什么会有问题因为浏览器的同源政策,就会产生。比如说发送的异步请求是不同的两个源,就比如是不同的的两个端口或者不同的两个协议或者不同的名。由于浏览器为了安全考虑,就会产生一个同源政策,不是同一个地方出来的是不允许进行交互的。常见的解决方式在控制层加入允许注解@CrossOrigin使用httpclient,不依赖浏览器使用网关Gatew...
注解@CrossOrigin具有什么功能呢?
qq_25073223的博客
11-01 468
注解@CrossOrigin的功能简介说明
Springboot解决问题的三种方式
weixin_50528222的博客
05-30 2622
对应的方法上添加@CrossOrigin或者类上添加@CrossOrigin。新建配置类CorsConfig,创建。
Spring CORS 使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 3587
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
【SpringBoot系列】实现的几种方式
Venus's Blog
04-27 8万+
是指一个下的文档或脚本试图去请求另一个下的资源,或者涉及到两个不同名的资源之间的交互。由于同源策略(Same Origin Policy)的限制,浏览器不允许请求。同源策略规定,A网页设置的Cookie、LocalStorage和IndexDB无法被同源以外的网页读取。请求会被浏览器拒绝。举个例子:-和是两个不同的名,它们之间的请求就是请求。和虽然路径不同,但是名相同,所以不是。ss。
Spring Boot 系列:处理请求
风尘博客
03-15 7万+
一、何为 前端请求于后端处理符合三个要求(同一名,同一端口,同一协议)下,即可访问,有一个不符合就会出现问题。 1.1 一次正常的请求 Controller层代码: @RequestMapping("/demo") @RestController public class CorsTestController { @GetMapping("/sayHello&
问题(@CrossOrigin和Proxy)
少猿的博客
03-27 1321
因此,如果客户端需要请求的数据,可以先将请求发送给代理服务器,然后由代理服务器转发到目标服务器上,从而避免了请求的问题。使用代理服务器可以解决请求的问题,但是也可能会带来一些安全问题,因此需要谨慎使用。如果只是需要在开发环境中进行测试,可以暂时使用代理服务器来解决问题,但是在生产环境中最好还是使用其他更安全的方式来解决请求的问题。在Web开发中,如果前端页面和后端接口不在同一个名下,就会发生请求的问题,这时候就需要使用。,则这两个页面就不在同一个名下,就会发生请求的问题。
@CrossOrigin注解作用
08-19
@CrossOrigin注解作用是启用资源共享(CORS)。它可以用于控制器方法上的@RequestMapping注解上,用于配置请求的行为。通过添加@CrossOrigin注解,可以允许来自指定源的请求,从而解决浏览器的同源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值