SpringBoot配置Cors解决跨域问题

最新推荐文章于 2024-05-17 09:28:31 发布
最新推荐文章于 2024-05-17 09:28:31 发布
阅读量882 收藏 7
点赞数
分类专栏: SpringBoot 文章标签: cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42055737/article/details/90766154
版权

在研发过程中,跨域资源共享会经常碰到,使用CORS(英文全称:Cross-Origin Resource Sharing 即我们常说的跨域资源共享)可以帮助我们快速实现跨域访问,只需在服务端进行相应的授权配置,无需在前端添加额外设置,相比传统的JSONP跨域更安全和便捷。

相关术语理解
1.origin:理解为源,就是协议、域名和端口,如果请求地址的协议、域名和端口都相同则属于同源
例如:

   http://www.abc.com:80和 http://www.abc.com:80/text.html --同源
   http://www.abc.com:80和 http://www.abc.com:8080/text.html --端口号不同,不属于同源
   http://www.abc.com:80和 https://www.abc.com:80/text.html --协议不同,不属于同源
   http://www.abc.com:80和 http://www.def.com:80/ --域名不同,不属于同源

2.什么是同源策略

浏览器采用是同源策略(保证浏览器的安全),禁止浏览器加载或执行与当前网页资源来源不同的域的任何脚本

情景:
比如一个恶意网站的页面通过iframe嵌入了第三方网站的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录的时候获取第三方网站的用户名和密码。

浏览器中有哪些不受同源限制呢?
<script>、<img>、<iframe>、<link>这些包含 src 属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。

3.跨域
跨域是指从一个域的网页去请求另一个域的资源。比如从http://www.abc.com/ 页面去请求 http://www.def.com 的资源。

SpringBoot中的跨域授权方式

a.返回新的CorsFilter

@Configuration
public class CorsConfiger { 
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig()); // 4 对接口配置跨域设置
        return new CorsFilter(source);
    }

     private CorsConfiguration corsConfig() {

        CorsConfiguration corsConfiguration = new CorsConfiguration();
        if(RString.isBlank(AppResource.getProperty("AllowedOrigins"))){
        	corsConfiguration.addAllowedOrigin("*");
        }else{
        	corsConfiguration.setAllowedOrigins(Arrays.asList(AppResource.getProperty("AllowedOrigins").split(",")));
        }
        
        corsConfiguration.addAllowedHeader("*"); // 2 设置访问源请求头
        corsConfiguration.addAllowedMethod("*"); // 3 设置访问源请求方法
        return corsConfiguration;
    }
}

b.重写WebMvcConfigurer
说明:spring boot2.0之后在构造spring配置文件时建议推荐直接实现WebMvcConfigurer或者直接继承WebMvcConfigurationSupport ,经测试实现WebMvcConfigurer是没问题,但继承WebMvcConfigurationSupport类是会导致自动配置失效的。

@Configuration
public class CorsConfig extends WebMvcConfigurer {
 
     @Override  
        public void addCorsMappings(CorsRegistry registry) {  
            registry.addMapping("/**")  
                    .allowedOrigins("*")  
                    .allowCredentials(true)  
                    .allowedMethods("GET", "POST", "DELETE", "PUT","PATCH")  
                    .maxAge(3600);  
        }  
}

c.使用注解(@CrossOrigin)
@CrossOrigin(origins=“http://test.com”,maxAge=3600)
参数解释:
origins:允许可访问的域列表
maxAge:准备响应前的缓存持续的最大时间(以秒为单位),默认30分钟

注解@CrossOrigin不起作用的原因
1.是springMVC的版本要在4.2或以上版本才支持@CrossOrigin
2.在Controller注解上方添加@CrossOrigin注解后,仍然出现跨域问题,解决方案之一就是,在@RequestMapping注解中没有指定Get、Post方式,具体指定后,问题解决

例如:

@RestController
@RequestMapping("/account")
public class AccountController {
      @CrossOrigin
      @GetMapping("/{id}")
      public Account retrieve(@PathVariable Long id) {
        //...
      }
 }

4.Request Headers(请求头)如下:

  Origin:表示跨域请求的原始域。
  Access-Control-Request-Method:表示跨域请求的方式。(如GET/POST)
  Access-Control-Request-Headers:表示跨域请求的请求头信息。

5.Response headers(响应头 )说明如下:

  Access-Control-Allow-Origin:表示允许哪些原始域进行跨域访问。(字符数组)
  Access-Control-Allow-Credentials:表示是否允许客户端获取用户凭据。(布尔类型)
                      使用场景:例如现在从浏览器发起跨域请求,并且要附带Cookie信息给服务器。则必须具备两个条件:
                      1. 浏览器端:发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。
                      2.服务器端:设置Access-Control-Allow-Credentials为true。两个条件缺一不可,否则即使服务器同意发送Cookie,浏览器也无法获取。

  Access-Control-Allow-Methods:表示跨域请求的方式的允许范围。(例如只授权GET/POST)
  Access-Control-Allow-Headers:表示跨域请求的头部的允许范围。
  Access-Control-Expose-Headers:表示暴露哪些头部信息,并提供给客户端。(因为基于安全考虑,如果没有设置额外的暴露,跨域的通信对象XMLHttpRequest只能获取标准的头部信息)
  Access-Control-Max-Age:表示预检请求 [Preflight Request] 的最大缓存时间。

a.例如:设置响应头(HttpServletResponse)

使用HttpServletResponse对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里Origin的值也可以设置为”*” ,表示全部放行。

    @RequestMapping("/hello")
    @ResponseBody
    public String hello(HttpServletResponse response){
        response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");
        return "Hello World";
    }
薏米逗
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot跨域CORS处理实现原理
08-19
本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
Springboot处理CORS跨域请求的三种方法
08-19
以下将详细介绍Spring Boot处理CORS跨域请求的三种方法。 1. **使用`@CrossOrigin`注解** `@CrossOrigin`是Spring提供的一个注解,用于配置控制器或方法,允许特定的跨域请求。当在控制器类或具体方法上添加此...
SpringBoot 配置跨域问题处理
John的博客
07-17 1065
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentials 和AllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
Spring Boot3 跨域配置 Cors
xdpcxq1029的博客
01-19 1027
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1345
是 Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
SpringMVC系列-7 @CrossOrigin注解与跨域问题
Sheng_Q的博客
11-25 2165
理解同源策略是理解跨域的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成跨站脚本攻击;不同源之间进行限制。 不同源之间形成跨域,包括:协议、域名、端口。http和https,localhost和127.0.0.1也会形成跨域(即使经过域名解析后相同)。 由于浏览器引擎实现了同源策略,即对跨域访问进行了限制,因此存在跨域问题
注解 @CrossOrigin(更容易理解 )
weixin_44704605的博客
10-21 1万+
先说明@CrossOrigin是用来处理跨域请求的注解,在Controller中添加此注解 跨域是什么: 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同 如: http://www.index.com:8080 http是协议名 4399.com是域名 8080是端口号 浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。 当域名www.qwe.com
spring boot跨域设置
ycy白米饭的博客
11-22 601
package com.yingu.project.rest.config; import com.yingu.project.util.config.SysConfig; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Be...
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序中跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
springboot中如何通过cors协议解决跨域问题
08-27
总结起来,Spring Boot通过CORS支持为开发者提供了灵活的跨域解决方案,既可以设置全局策略,也可以针对特定资源进行精细控制。在实际开发中,可以根据项目的安全需求和资源的敏感程度,选择合适的CORS配置,确保...
详解springboot设置cors跨域请求的两种方式
08-26
CORS 机制可以解决这个问题,允许 Web 应用程序跨域请求资源。 2. 如何设置 CORS? 可以使用 CorsFilter 或者 CorsConfig 两种方式设置 CORS。使用 CorsFilter 需要 override doFilterInternal 方法,并在该方法中...
【注解】 @CrossOrigin
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
04-07 2942
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? @CrossOrigin是用来处理跨域请求的注解 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。     
跨域问题
keep12moving的博客
09-11 411
跨域:浏览器对于javascript的同源策略的限制 。 以下情况都属于跨域: 跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同...
SpringBoot项目跨域请求放行配置工具类
zhengTornado的博客
12-06 593
package com.ruoyi.framework.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfigurat...
CORS 跨站访问 origin头 和 跨域 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4177
cors 全局配置文件中,加入域名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
cannot be resolved to a type 错误解决方法
热门推荐
bamboo_cqh的博客
03-21 6万+
引言     eclipse新导入的项目经常可以看到“XX cannot be resolved to a type”的报错信息。本文将做以简单总结。  正文     (1)jdk不匹配(或不存在)      项目指定的jdk为“jdk1.6.0_18”,而当前eclipse使用的是“jdk1.6.0_22”。需要在BuildPath | Libraries,中做简单调整。
security跨域配置
程序三两行
08-01 2049
CORS是w3c指定的一种跨域资源共享的请求资源方式,体现就是协议+ip+端口三个相同才是同源,否则就是跨域,早期javaEE解决跨域方案是JSONP,Jsonp(JSONwithPadding)是json的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。但是jsonp只支持get方式,而CORS支持多种请求方式,是目前主流的跨域解决方案。...
spring cloud gateway跨域配置CORS Configuration
09-28 5075
spring cloud gateway跨域配置CORS Configuration
SpringBoot配置cors
java scala
09-16 1657
先简单介绍一下CORS的背景 同源策略 跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 跨域资源共享 CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRe
Springboot处理CORS跨域请求
09-09
Springboot处理CORS跨域请求的方式有多种。其中一种方式是通过委托给DefaultCorsProcessor来实现对CORS规则的校验。 另一种方式是使用@CrossOrigin注解,在控制器方法上添加该注解可以指定允许跨域的源、方法、头部信息等。这样在接收到跨域请求时,Springboot会自动处理CORS相关的响应头信息,实现跨域请求的处理。 浏览器将CORS请求分为两类:简单请求和非简单请求/预检请求。对于简单请求,浏览器会直接发送请求,而对于非简单请求,浏览器会先发送预检请求,获取服务器对跨域请求的授权信息。Springboot可以根据请求类型自动处理这两种类型的请求,包括在响应中添加Access-Control-Allow-Origin、Access-Control-Allow-Methods等头信息,以实现跨域请求的处理。 除了上述两种方式,还可以通过其他配置文件或过滤器来处理CORS跨域请求。例如,可以在application.properties或application.yml文件中添加相关配置,如设置Access-Control-Allow-Origin来指定允许跨域请求的源。另外,也可以通过编写自定义的过滤器来处理跨域请求,通过设置响应头信息来允许跨域请求的访问。不同的方式可以根据具体的需求选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值