springboot中有哪些方式可以解决跨域问题

于 2024-09-27 09:07:35 发布
阅读量390 收藏 10
点赞数 7
分类专栏: springboot 文章标签: spring boot 后端 java 跨域 cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39654841/article/details/140716673
版权

文章目录

前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。

Talk is cheap , 先看代码。

在Springboot项目中新建一个测试接口,端口号默认8080

@RestController
@RequestMapping("test")
public class TestController {

    @GetMapping("1")
    public String test1(){
        System.out.println("1");
        return "111111111";
    }
}

再新建一个HTML页面,在页面内访问上述接口:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>

    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
    <script>
        function cors() {
            $.get('http://localhost:9090/test/1', function(data) {
                alert(data)
            });
        }
    </script>
</head>
<body>
<button onclick="cors()">CORS</button>
</body>
</html>

Idea中打开,并在浏览器访问, 点击CORS按钮,你猜会发生什么?


是的,你猜对了,浏览器控制台会出现如下提示,就是告诉你跨域了。

cors.html:1 Access to XMLHttpRequest at 'http://localhost:9090/test/1' from origin 'http://localhost:63342' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

什么是跨域

介绍跨域之前要介绍一下同源策略,什么是同源策略呢?

同源策略是浏览器的一种安全策略,用于限制一个网页文档或脚本如何与其他源的资源进行交互。同源策略的核心思想是:网页文档或脚本只能与加载它们的同一个源下的资源进行交互,而不能与不同源的资源直接进行数据交换。

同源策略有如下3点要求:

  1. 协议相同:两个页面的协议必须相同(如都是 https)。
  2. 域名相同:两个页面的域名(包括子域名)必须相同。
  3. 端口相同:如果指定了端口号,两个页面的端口号必须相同。

举个例子:

  • 如果页面 A 加载自 https://www.example.com,那么它只能与 https://www.example.com 下的资源进行交互,比如可以通过 JavaScript 发送 AJAX 请求。
  • 页面 A 不能直接与 https://api.example.nethttp://sub.example.com 这些不同源的资源进行交互,因为它们的协议、域名或端口不同。

为什么要有同源策略?

如果没有同源策略,网站A就可以访问网站B的Cookie,Cookie中可能会存在用户的token或者其他敏感信息,通过这些敏感信息可能会发送一些伪请求到网站B,从而窃取一些数据。这就相当于你们家什么安全措施都不做,别人想进就进,那可不丢家吗。

跨域或者叫跨域资源共享(Cross-origin resource sharing, CORS) :当浏览器访问不同源的网站时,就会产生跨域问题。

为了让不同源之间的能够访问,就要解决跨域问题。

解决方案

在Springboot中通常有3种方式:

  1. 使用**@CrossOrigin注解**
  2. 实现WebMvcConfigurer接口
  3. 使用CorsFilter过滤器

@CrossOrigin注解

@CrossOrigin注解可以作用于类或者方法级别,当作用于类级别时,表示该类中所有方法都可以实现跨域访问。当应用于方法级别时,表示该方法可以实现跨域访问。

举个例子:

@RestController
@RequestMapping("test")
public class TestController {

	@CrossOrigin(origins = "http://localhost:63342") // 仅允许来自localhost:63342的请求跨域
    @GetMapping("1")
    public String test1(){
        System.out.println("1");
        return "111111111";
    }
}

@CrossOrigin注解有如下属性:

  • origins:允许访问的源列表。可以指定一个或多个 URL,或者使用 * 来允许所有源。注意,如果 allowCredentials 设置为 true,则不能使用 *,必须明确指定源。

  • methods:允许的方法列表,如 GETPOSTPUT 等。同样,也可以使用 * 来允许所有方法。

  • allowedHeaders:请求中允许的头列表。使用 * 可以允许所有头。

  • exposedHeaders:响应中暴露给客户端的头列表。这些头会被添加到 Access-Control-Expose-Headers 响应头中。

  • allowCredentials:是否允许发送 cookies。如果设置为 true,浏览器将允许前端 JavaScript 访问响应中设置的 Cookies 和 HTTP 认证信息。这个选项和配置的域建立了很高的信任度,不过呢,也因为暴露了像 CookiesCSRF 令牌这类敏感的用户特定信息,增加了应用程序被攻击的可能性。 当 allowCredentialstrue 时,origins 不能设置为 *

  • maxAge:预检请求的结果可以被缓存多久(以秒为单位)。这可以减少不必要的预检请求,提高性能。

  • originPatternsSpring 5.3 版本开始新增的属性。允许使用通配符模式来定义允许访问的域名。比如,originPatterns={https://*.domain1.com},就是可以匹配以 domain1.com 结尾的网站。

  • allowPrivateNetworkSpring 5.3.32 版本开始新增的属性。是否允许来自私有网络地址的请求通过跨域请求。

实现WebMvcConfigurer接口

WebMvcConfigurer接口是Spring MVC的一个配置接口,通过它可以自定义配置Spring MVC的行为,包括但不限于视图解析器静态资源处理消息转换器拦截器跨域等。

只要实现WebMvcConfigurer接口重写addCorsMappings方法即可。

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 对所有路径生效
                .allowedOriginPatterns("*") // 允许源地址的通配符
//                .allowedOrigins("http://localhost:63342") // 允许源地址http://localhost:63342
                .allowCredentials(true) // 是否允许发送Cookie
                .allowedMethods("GET", "POST", "DELETE", "PUT") // 允许的请求方法
                .allowedHeaders("*"); // 允许的请求头
    }
}

CorsRegistry 是一个用于配置跨域的工具类。

CorsRegistry 类中的属性和@CrossOrigin注解中的跨域属性基本相同,作用也是一样的,这里不做过多介绍。

CorsFilter过滤器

CorsFilter 过滤器,见名知意就是一个用于处理跨域请求的过滤器。具体用法如下:

@Configuration
public class CorsFilterConfig {

    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("http://localhost:63342");
        config.setAllowCredentials(true);
        config.addAllowedMethod("*");
        config.addAllowedHeader("*");
//        config.addAllowedOriginPattern("*");

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // 匹配路径
        source.registerCorsConfiguration("/**", config);

        return new CorsFilter(source);
    }
}

看它的用法是不是特别熟悉,是的,没错,它也和@CrossOrigin注解中的跨域属性基本相同。

如何选择?

既然@CrossOrigin注解、WebMvcConfigurer配置类、CorsFilter过滤器都能解决跨域问题,那使用哪个好呢?

先来看一下它们之间的区别:

  • WebMvcConfigurer:用于全局配置CORS策略,适合需要全局配置的场景。
  • CorsFilter:可以精细配置CORS策略,并适用于对不同路径设置不同的CORS策略。
  • @CrossOrigin:用于局部配置,非常适合单个Controller或方法需要不同的CORS策略的情况。

在实际项目中,可以根据需求选择合适的方式来解决跨域问题。如果项目中的跨域需求较为统一,且希望有一个全局性的解决方案,那么WebMvcConfigurer可能是一个不错的选择。如果需要对跨域请求进行更细粒度的控制,或者项目中的跨域需求较为分散,那么CorsFilter或@CrossOrigin可能更适合。

所以,没有好不好,只有合不合适,合适你的就是最好的。

以上在Springboot中解决跨域的三种方式其实都是对CorsConfiguration跨域配置类的封装,感兴趣的可以看一看CorsConfiguration跨域配置类。

索码理
关注
专栏目录
SpringBoot 中到底如何解决跨域问题
m0_67402731的博客
07-29 2184
同源策略是浏览器的一个重要的安全策略,它用于限制一个源的文档或其加载的脚本如何与另外一个源进行交互,它能够隔绝恶意文档,减少被攻击的媒介。如果两个URL的协议、主机名和端口号都是相同的,那么这两个URL就是同源的,否则不同源,不同源的访问就会出现跨域问题,就会出现上面的错误。下表给出了与URLhttp的源进行对比的示例URL结果原因http同源只有路径不同https非同源协议不同http非同源端口号不同http非同源主机名不同也就是说当在http这个网站中向、和。...
SpringBoot解决跨域问题的六种方式
m0_61083409的博客
07-29 330
错误原因2.4.0之后如果写。
Springboot解决跨域问题方案总结(包括Nginx,Gateway网关等)
热门推荐
qq_35716689的博客
03-23 25万+
跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、域名和端口)的资源,当 JavaScript 发起的请求跨越了同源策略,即请求的目标与当前页面的域名、端口、协议不一致时,浏览器会阻止请求的发送或接收。
springboot如何解决跨域问题
qq_42077317的博客
07-09 4495
但这个保护机制也带来了新的问题,它的问题是给不同站点之间的正常调用,也带来的阻碍,跨域 它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。缺陷:此方式虽然实现(跨域)比较简单,但也能发现,使用此方式只能实现局部跨域,当一个项目中存在多个类的话,使用此方式就会比较麻烦(需要给所有类上都添加此注解)。
Springboot解决跨域问题
Yang19950816的博客
05-06 2128
前言 跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、域名和端口)的资源,当 JavaScript 发起的请求跨越了同源策略,即请求的目标与当前页面的域名、端口、协议不一致时,浏览器会阻止请求的发送或接收。 同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览
SpringBoot 解决跨域问题的 5 种方案!
m0_71777195的博客
09-13 3万+
跨域问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决跨域问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部跨域、通过配置文件实现全局跨域、通过 CorsFilter 对象实现全局跨域、通过 Response 对象实现局部跨域,通过 ResponseBodyAdvice 实现全局跨域
SpringBoot解决跨域的5种方式
weixin_39255905的博客
04-22 6万+
目录 文章目录 什么是跨域 一、同源策略 二、跨域问题 三、spring boot解决跨域问题 1、使用CorsFilter java解决CORS跨域请求的方式 返回新的CorsFilter(全局跨域) 重写WebMvcConfigurer(全局跨域) 使用注解 (局部跨域) 手动设置响应头(局部跨域) 使用自定义filter实现跨域 ## ajax跨域访问增加响应头 什么是跨域 跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascr.
Springboot解决跨域问题的三种方式
weixin_50528222的博客
05-30 2769
对应的方法上添加@CrossOrigin或者类上添加@CrossOrigin。新建配置类CorsConfig,创建。
Spring: 在SpringBoot项目中解决前端跨域问题
玉汝于成
03-30 2507
跨域问题,也称为跨域资源共享(CORS,Cross-Origin Resource Sharing)问题,主要出现在Web开发中,尤其是当前端代码和后端代码分别部署在不同的域名下时。由于浏览器的同源策略限制,一个域的网页中通过JavaScript发起的跨域请求会被浏览器阻止,除非响应报文包含了正确的CORS相关头部信息。同源与跨源:如果两个页面的协议、域名和端口都相同,则它们是同源的;否则,它们是跨源的。浏览器限制:浏览器默认会阻止跨源请求,除非后端服务器明确允许这种请求。CORS头部。
Springboot是怎么解决跨域问题的?
凡夫编程
03-16 2104
跨域访问问题的出现,起因于浏览器的同源策略,然而事情的事相是跨域请求可以发出去,服务器端也可以收到请求并返回正常的结果,只是最终的响应结果被浏览器拦截了。如今是什么形形势了?前后端分离,分布式部署、微服务等如雨后春笋般出现了,都有跨域访问的需要,同源策略限制,似乎有点不合时宜。那么解决这个问题的思路是什么呢? 其实理解了什么是同源策略以及跨域问题出现的原因,解决思路也就再明显不过了。既然是前端发起请求后,后端收到请求也处理了请求并响应了结果,只是浏览器把结果给拦截了,那么最直接的想法就是在前端绕过同源策略限
Springboot解决ajax+自定义headers的跨域请求问题
10-16
Spring Boot解决跨域问题主要有两种方式: 1. **普通跨域请求解决方案**: - 对单个接口使用`@CrossOrigin`注解。例如,你可以在控制器方法上添加此注解,指定允许的源(如`@CrossOrigin(origins = ...
springboot中如何通过cors协议解决跨域问题
08-27
在现代Web应用中,前后端分离的架构变得越来越普遍,随之而来的是跨域问题的挑战。跨域是指浏览器出于安全原因限制了JavaScript从一个源(域名、协议或端口)向另一个源发起HTTP请求的能力。这导致了前端(通常运行...
springboot后端解决跨域问题
08-26
Spring Boot中,我们可以使用@CrossOrigin注解来解决跨域问题。例如,在Controller类上添加一个“@CrossOrigin“注解就可以实现对当前controller的跨域访问了,当然这个标签也可以加到方法上。 ```java @...
SpringBoot 跨域问题解决方案
08-25
SpringBoot 可以基于 Cors 解决跨域问题Cors 是一种机制,告诉我们的后台,哪边(origin)来的请求可以访问服务器的数据。全局配置配置实例如下: ```java @Configuration public class CorsConfig implements ...
美食共享圈:Spring Boot校园周边美食平台
2401_85761762的博客
09-22 993
美食鉴赏管理,管理员在美食鉴赏信息页面中可以查看发布时间、美食名称、美食类别、美食介绍、商品所在、推荐指数、美食照片、商品价格、用户名、姓名、美食介绍等信息,并可根据需要对已有美食鉴赏信息进行新增、修改或删除等详细操作,如图4-13所示。其工作主要有三个方面,分别是技术、经济和社会三方面的可行性。
Java项目实战II基于Java+Spring Boot+MySQL的洗衣店订单管理系统(开发文档+源码+数据库)
2401_86524610的博客
09-20 1304
随着生活节奏的加快,现代人对便捷、高效服务的需求日益增长,洗衣店作为日常生活服务的重要组成部分,其订单管理效率直接影响着客户体验和经营效益。传统的洗衣店订单管理方式大多依赖纸质记录或简单的电子表格,这种方式不仅效率低下,而且容易出错,难以追踪和统计订单信息。为了解决这些问题,我们设计并实现了一款基于Java+Spring Boot+MySQL的洗衣店订单管理系统。该系统充分利用了Spring Boot的简化开发和MySQL数据库的强大性能,实现了订单信息的数字化管理。
Spring BootSpring Security + JWT + MySQL实现基于Token的身份认证
最新发布
心猿意码
09-23 1294
JWT是一种紧凑、自包含的方式,用于在双方之间以JSON对象的形式安全地传输信息。它广泛应用于身份认证和授权。一个JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含两部分:令牌的类型(即JWT)和所使用的签名算法,如HMAC SHA256或RSA。载荷包含所要传递的信息。标准中注册的声明和公共的声明可以在此部分添加,例如用户ID(user_id)或角色(role)。
Spring Boot利用dag加速Spring beans初始化
HBLOG
09-20 1607
有向无环图(Directed Acyclic Graph),简称DAG,是一种有向图,其中没有从节点出发经过若干条边后再回到该节点的路径。换句话说,DAG中不存在环路。这种数据结构常用于表示并解决具有依赖关系的问题。DAG的特性首先,DAG中的节点可以有入度和出度。节点的入度是指指向该节点的边的数量,而节点的出度是指由该节点指向其他节点的边的数量。在DAG中,节点的入度可以是0或正整数,而出度可以是0或正整数,但不能同时为负数。DAG的另一个重要性质是存在一个或多个拓扑排序。
Spring Boot 学习之路 -- 配置项目
Thinking in Android & Compose & HarmonyOS
09-23 1139
程序开发人员在开发 Spring Boot 项目的过程中,会发现 Spring Boot 非常好用。这是因为 Spring Boot 项目所需要的数据都在其配置文件中完成了配置。配置文件中的数据有很重要的作用。例如,如果在一个 Spring Boot 项目的配置文件中缺少关于数据库的数据,这个 Spring Boot 项目就无法连接、操作数据库。在一个 Spring Boot 项目的配置文件中,有些数据在创建这个 Spring Boot 项目时就完成了配置,有些数据则需要程序开发人员进行配置。
springboot项目 解决跨域问题有哪些方式 实现代码
06-06
Spring Boot项目中,解决跨域问题有以下几种方式: 1. 使用@CrossOrigin注解 可以在Controller的方法上添加@CrossOrigin注解实现跨域请求。例如: ``` @CrossOrigin(origins = "http://localhost:8080") @GetMapping("/hello") public String hello() { return "Hello World!"; } ``` 2. 使用WebMvcConfigurer配置类 可以通过WebMvcConfigurer配置类来实现跨域请求。例如: ``` @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowCredentials(true) .maxAge(3600); } } ``` 3. 使用Filter过滤器 可以通过Filter过滤器来实现跨域请求。例如: ``` @Component public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request = (HttpServletRequest) req; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With"); response.setHeader("Access-Control-Allow-Credentials", "true"); chain.doFilter(req, res); } @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void destroy() { } } ``` 注意:以上代码仅供参考,实际使用需要根据具体情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

索码理

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值