SpringBoot跨域问题

最新推荐文章于 2024-01-02 17:23:58 发布
最新推荐文章于 2024-01-02 17:23:58 发布
阅读量80 收藏
点赞数 1
分类专栏: SpringBoot spring java 文章标签: java spring spring boot 后端 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44102261/article/details/116139526
版权
java 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
spring
8 篇文章 0 订阅
订阅专栏
SpringBoot
7 篇文章 0 订阅
订阅专栏

一、同源策略

同源策略是由Netscape提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指协议域名以及端口要相同。同源策略是基于安全方面的考虑提出来的,这个策略本身没问题,但是我们在实际开发中,由于各种原因又经常有跨域的需求,传统的跨域方案是JSONP,JSONP虽然能解决跨域但是有一个很大的局限性,那就是只支持GET请求,不支持其他类型的请求,而今天我们说的CORS(跨域源资源共享)(CORS,Cross-origin resource sharing)是一个W3C标准,它是一份浏览器技术的规范,提供了Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,这是JSONP模式的现代版。

在Spring框架中,对于CORS也提供了相应的解决方案。

非同源限制
  • 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB
  • 无法接触非同源网页的 DOM
  • 无法向非同源地址发送 AJAX 请求

二、java后端实现CORS跨域请求的方式

  1. 返回新的CorsFilter
  2. 重写 WebMvcConfigurer
  3. 使用注解 @CrossOrigin
  4. 手动设置响应头 (HttpServletResponse)
  5. 自定web filter 实现跨域

注意:

  • CorFilter / WebMvConfigurer / @CrossOrigin 需要 SpringMVC 4.2以上版本才支持,对应springBoot 1.3版本以上
  • 上面前两种方式属于全局 CORS 配置,后两种属于局部 CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则,所以可以通过 @CrossOrigin 注解来进行细粒度更高的跨域资源控制。
  • 其实无论哪种方案,最终目的都是修改响应头,向响应头中添加浏览器所要求的数据,进而实现跨域
1.返回新的 CorsFilter(全局跨域)

在任意配置类,返回一个 新的 CorsFIlter Bean ,并添加映射路径和具体的CORS配置路径。

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1. 添加 CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //放行哪些原始域
        config.addAllowedOrigin("*");
        //是否发送 Cookie
        config.setAllowCredentials(true);
        //放行哪些请求方式
        config.addAllowedMethod("*");
        //放行哪些原始请求头部信息
        config.addAllowedHeader("*");
        //暴露哪些头部信息
        config.addExposedHeader("*");
        //2. 添加映射路径
        UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
        corsConfigurationSource.registerCorsConfiguration("/**",config);
        //3. 返回新的CorsFilter
        return new CorsFilter(corsConfigurationSource);
    }
}
2. 重写 WebMvcConfigurer(全局跨域)
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
              //是否发送Cookie
              .allowCredentials(true)
              //放行哪些原始域
              .allowedOrigins("*")
              .allowedMethods(new String[]{"GET", "POST", "PUT", "DELETE"})
              .allowedHeaders("*")
              .exposedHeaders("*");
    }
}
3. 使用注解 (局部跨域)

在控制器(类上)上使用注解 @CrossOrigin:,表示该类的所有方法允许跨域。

@RestController
@CrossOrigin(origins = "*")
public class HelloController {
    @RequestMapping("/hello")
    public String hello() {
        return "hello world";
    }
}

在方法上使用注解 @CrossOrigin:

@RequestMapping("/hello")
@CrossOrigin(origins = "*")
//@CrossOrigin(value = "http://localhost:8081") //指定具体ip允许跨域
public String hello() {
    return "hello world";
}
4. 手动设置响应头(局部跨域)

使用 HttpServletResponse 对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里 Origin的值也可以设置为 “*”,表示全部放行。

@RequestMapping("/index")
public String index(HttpServletResponse response) {
    response.addHeader("Access-Allow-Control-Origin","*");
    return "index";
}
5. 使用自定义filter实现跨域

首先编写一个过滤器,可以起名字为MyCorsFilter.java

@Component
public class MyCorsFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,content-type");
        chain.doFilter(req, res);
    }
    public void init(FilterConfig filterConfig) {}
    public void destroy() {}
}

在web.xml中配置这个过滤器,使其生效

<!-- 跨域访问 START-->
<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>com.mesnac.aop.MyCorsFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 跨域访问 END  -->

三、例子

首先创建两个普通的SpringBoot项目,第一个命名为provider提供服务,第二个命名为consumer消费服务,第一个配置端口为8080,第二个配置配置为8081,然后在provider上提供两个hello接口,一个get,一个post,如下:

@RestController
public class Provider {
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    @PostMapping("/hello")
    public String hello2() {
        return "post hello";
    }
}

在consumer的resources/templates目录下创建一个html文件,发送一个简单的ajax请求,如下:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8">
    <title>CORS</title>
  </head>
  <body>
    <div id="app"></div>
    <input type="button" onclick="btnClick()" value="get_button">
    <input type="button" onclick="btnClick2()" value="post_button">
    <script>
        function btnClick() {
            $.get('http://localhost:8080/hello', function (msg) {
                $("#app").html(msg);
            });
        }

        function btnClick2() {
            $.post('http://localhost:8080/hello', function (msg) {
                $("#app").html(msg);
            });
        }
    </script>
  </body>
</html>

然后分别启动两个项目,发送请求按钮,观察浏览器控制台如下:

Access to XMLHttpRequest at ‘http://localhost:8080/hello’ from origin ‘http://localhost:8081’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource

可以看到,由于同源策略的限制,请求无法发送成功。

使用CORS可以在前端代码不做任何修改的情况下,实现跨域,那么接下来看看在provider中如何配置。首先可以通过@CrossOrigin注解配置某一个方法接受某一个域的请求,如下:

@RestController
public class Provider {
    @CrossOrigin(value = "http://localhost:8081")
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    @CrossOrigin(value = "http://localhost:8081")
    @PostMapping("/hello")
    public String hello2() {
        return "post hello";
    }
}

这个注解表示这两个接口接受来自http://localhost:8081地址的请求,配置完成后,重启provider,再次发送请求,浏览器控制台就不会报错了,consumer也能拿到数据了。

provider上,每一个方法上都去加注解未免太麻烦了,在Spring Boot中,还可以通过全局配置一次性解决这个问题,全局配置只需要在配置类中重写addCorsMappings方法即可,如下:

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://localhost:8081")
                .allowedMethods("*")
                .allowedHeaders("*");
    }
}

/**表示本应用的所有方法都会去处理跨域请求,allowedMethods表示允许通过的请求数,allowedHeaders则表示允许的请求头。经过这样的配置之后,就不必在每个方法上单独配置跨域了。

四、存在的问题

了解了整个CORS的工作过程之后,我们通过Ajax发送跨域请求,虽然用户体验提高了,但是也有潜在的威胁存在,常见的就是CSRF(Cross-site request forgery)跨站请求伪造。跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,举个例子:

假如一家银行用以运行转账操作的URL地址如下:http://icbc.com/aa?bb=cc,那么,一个恶意攻击者可以在另一个网站上放置如下代码:<img src="http://icbc.com/aa?bb=cc">,如果用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会遭受损失。

基于此,浏览器在实际操作中,会对请求进行分类,分为简单请求,预先请求,带凭证的请求等,预先请求会首先发送一个options探测请求,和浏览器进行协商是否接受请求。默认情况下跨域请求是不需要凭证的,但是服务端可以配置要求客户端提供凭证,这样就可以有效避免csrf攻击。

ycfxhsw
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Failed to load resource netERR_NAME_NOT_RESOLVED 加载资源失败,错误名称无法解析,已拦截源请求:(原因:CORS 请求未能成功)
m0_54849887的博客
02-21 2943
1.先找到加载资源的地址(~~~~.com) 1.1火狐浏览器的报错——原因,CORS请求未能成功 1.2 Chrome浏览器的报错——加载资源失败,错误名称无法解析 a.先找加载资源的目标地址 把地址复制下来去终端ping 2.把http://后面的地址复制下来去终端ping,(比如 ping -t www.baidu.com) ping通的话,就说明能访问这个网址,如果出现下面这种一开始就请求超时,可能是对方关机,也可能是你请求不了这个网址,此处我的是因为公司内部有个安全软件,需要登录上,并且加
CORS GET、POST、PUT、DELETE等请求
白衣若尘的博客
11-26 9224
请求一直是网页编程中的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题。不过现在,我们可以考虑一下W3C中一项新的特性——CORS(Cross-Origin Resource Sharing)了。 客户端: 创建XmlHttpRequest对象:      对于CORS,Chrome、FireFox以及Safari,需要使用XmlHttpRequest2对象;而对于IE,
【SSL证书更换】:已拦截源请求:同源策略禁止读取位于 https://xxxxxx.top:8181/staff/login?xxx的远程资源(原因:CORS 请求未能成功)问题解决
最新发布
要思考,要努力
01-02 660
1.问题出现:出现了CORS请求不能成功的问题,原因是因为 SSL 证书过期了。2.在更换 前端 SSL 证书之后,问题并不能得到解决。3.解决办法:必须同时更换后端的 SSL - tomcat 版本的证书。
原因:cors 请求未能成功_关于前端的、CORS和JSONP
weixin_39664998的博客
12-03 755
什么是就是不同源的数据相互访问,受到浏览器同源策略的限制。那甚么又是同源策略?同源策略是浏览器故意设置的一个功能限制,为的是限制来自不同源的向自己发送请求的时候进行拦截,浏览器这样做的目的是为了保护用户的隐私。同源的定义:源:window.origin 或 location.origin可以得到当前源源 = 协议 + 名 + 端口号。如果两个url的协议名和端口都完全相同,那么这两...
uni-app项目在uniClound中前端托管进行登录时报错误 已拦截源请求:同源策略禁止读取位于***** 的远程资源。(原因:CORS 请求未能成功)
wang_9909的博客
02-22 2641
111
Springboot问题三种解决方案
08-19
主要介绍了Springboot问题三种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot问题解决方案
08-25
主要介绍了springboot问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot 问题的解决方案
08-25
主要介绍了SpringBoot 问题的解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决 springboot请求问题
05-11
springboot做前后端分离,ajax请求问题 前后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生请求的问题。 两种解决方案
解决springboot实现session共享问题
01-25
解决springboot实现session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
springboot通过CORS(cross-origin resourse sharing 资源共享)解决问题
qq_40820916的博客
07-07 675
源 简单来说,源就是指协议,名和端口号,所谓同源就是协议相同,名相同,端口号相同,以下举个例子: 对于 http://www.aa.com/test/index.html 判断是否同源(协议为http协议,名为www.aa.com,端口号为80(默认,可以省略)) 1、http://www.aa.com/bb/index.html ——同源; 2、http://www.baidu.aa.com/bb/index.html ——非同源,名不一致; 3、https://www.aa.com/bb/ind
CorMappings 问题 SpringBoot解决CorsRegistry
qq_38457494的博客
01-20 1079
1 2 3 4 5 6 7 8 9 10 11 12 13 实现webMvcCofigurer接口重写addCorsMappings(CorsRegistry registry){}方法 @Configuration publicclassWebConfigimplementsWebMvcConfigurer { @Ov...
CORS资源共享
路虽远,行将至。事虽难,做必达。
05-16 699
资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出请求XMLHttpRequest(XHR),从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据。则是在使用设定的请求方式请求数据前,先发送一个OPTIONS预检请求,验证请求源是否为服务端允许源,只有验证为允许后才会再次发送一次请求用于数据传输。:在浏览器进行请求时,自动在请求头中添加Origin字段信息,服务端通过验证Origin字段来判断请求是否被允许,从而实现浏览器资源访问。
Spring、Spring-Boot、Spring-Security中对CORS(资源共享)的支持
盲目的拾荒者的博客
04-04 1万+
出于安全原因,浏览器禁止AJAX调用当前之外的的资源。源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您指定哪些类型的请求是被授权的,而不是基于IFRAME或JSONP的不安全且功能较差的工作区。 Spring MVC HandlerMapping提供了对CORS的内置支持。在成功地将请求映射到处理程序之后,HandlerMapping将检查给定请求...
Spring Boot问题简介
weixin_52721608的博客
09-08 1267
在Web开发中,指的是在浏览器中访问一个不同于当前名的资源。浏览器出于安全考虑,限制了这种资源的访问。具体来说,当浏览器使用XMLHttpRequest或Fetch API发送请求时,目标服务器必须在响应头中包含特定的CORS(源资源共享)规则,否则浏览器会阻止该请求。如果需要更精细地控制请求的处理逻辑,你可以自定义一个过滤器。首先,创建一个实现接口的类,然后在其中编写你自己的处理逻辑。最后,在Spring Boot应用程序中注册该过滤器。@Component。
CORS on Nginx
huangbaokang的博客
04-10 600
The following Nginx configuration enables CORS, with support for preflight requests. # # Wide-open CORS config for nginx # location / { if ($request_method = 'OPTIONS') { add_header 'A...
原因:cors 请求未能成功_三种对CORS错误配置的利用方法(转)
热门推荐
weixin_39752087的博客
11-29 6万+
同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子传递到另一个子,或者在不同之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。为了允许通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于...
(CORS)产生原因分析与解决方案,这一次彻底搞懂它
weixin_44829437的博客
08-10 2623
Cross-origin Resource Sharing 中文名称 “资源共享” 简称 “CORS”,它突破了一个请求在浏览器发出只能在同源的情况下向服务器获取数据的限制。本文会先...
nginx 配置Https强转和Cross配置撞车遇到的坑
TimerBin的博客
07-25 1954
一、背景说明 项目中Https强转逻辑是在nginx层面配置的,Cross逻辑处理是在项目的Java代码层面处理的。 向服务器发起Http请求时,出现Cross逻辑处理失效问题 nginx 中Https 强转配置,如下所示: if ($server_port = 80 ) { rewrite ^(.*)$ https://$host$1 permanent; } Cros...
springboot 问题
08-18
Spring Boot 的问题可以通过配置来解决。下面是一种常见的解决方法: 在 Spring Boot 项目中,可以使用 `@CrossOrigin` 注解来处理问题。这个注解可以直接添加在 Controller 类或者方法上,用于指定允许的源。 示例代码如下: ```java @RestController @CrossOrigin(origins = "http://example.com") public class MyController { @GetMapping("/api/data") public String getData() { // 处理请求 return "data"; } } ``` 在上述示例中,`@CrossOrigin(origins = "http://example.com")` 指定了允许访问的源,即来自 http://example.com 的请求可以访问该接口。 如果需要允许多个源进行访问,可以使用数组形式指定多个源,如: ```java @CrossOrigin(origins = {"http://example.com", "http://another-domain.com"}) ``` 此外,还可以通过全局配置方式解决问题。在 Spring Boot 项目的配置类中添加如下配置: ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); } } ``` 上述配置中,`allowedOrigins` 指定允许访问的源,`allowedMethods` 指定允许的请求方法,`allowedHeaders` 指定允许的请求头,`allowCredentials` 表示是否允许发送身份凭证(如 cookie),`maxAge` 指定预检请求的有效期。 这是一种常见的解决 Spring Boot 问题的方法,你可以根据实际情况选择适合的方式来解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值