Java CORS:跨越资源边界,探索跨域资源共享的无限可能

最新推荐文章于 2024-08-23 00:00:00 发布
最新推荐文章于 2024-08-23 00:00:00 发布
阅读量568 收藏 9
点赞数 8
文章标签: java 前端 交互 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44771627/article/details/141438978
版权

引言

随着前端技术的飞速发展,越来越多的应用程序开始使用多种不同的后端服务。这些服务往往部署在不同的域上,这就引发了跨域访问的问题。CORS作为一种解决跨域问题的有效机制,对于现代Web开发至关重要。本文将详细介绍如何在Java环境中配置和使用CORS,帮助你轻松应对跨域访问带来的挑战。

基础语法介绍

CORS核心概念

CORS是一种安全机制,它允许浏览器请求来自不同源的服务。简单来说,当一个Web应用尝试从另一个域名获取数据时,浏览器会自动检查该请求是否符合CORS的安全策略。

Java中的CORS支持

在Java中,我们可以通过使用过滤器(Filter)来实现CORS的支持。Spring框架提供了非常便捷的方式来处理CORS问题,而无需直接操作HTTP响应头。

配置CORS过滤器

首先,我们需要创建一个CORS过滤器,该过滤器会在每个HTTP请求到达应用前进行拦截,并设置相应的响应头以支持CORS。

import javax.servlet.*;
import java.io.IOException;

public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        httpResponse.setHeader("Access-Control-Max-Age", "3600");
        httpResponse.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }
}

基础实例

接下来,我们将通过一个简单的例子来演示如何使用上面定义的CorsFilter

  1. 添加过滤器

    web.xml文件中添加如下配置:

    <filter>
    <filter-name>CorsFilter</filter-name>
    <filter-class>com.example.CorsFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>CorsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

  2. 测试跨域请求

    使用Postman或其他工具发送一个跨域GET请求到服务器,你会看到请求成功执行,并且响应头中包含了我们之前设置的CORS相关的信息。

进阶实例

配置Spring Security支持CORS

在复杂的项目中,我们通常会使用Spring Security来进行安全控制。下面是一个示例,展示了如何在Spring Security中配置CORS。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

这段代码告诉Spring Security允许所有来源的请求,并且指定了允许的方法列表。

实战案例

假设你正在开发一个电商应用,其中前端部分托管在一个域上,而后端API服务部署在另一个域。为了让前端能够调用后端API,你需要在后端服务中启用CORS。

问题描述

  • 前端使用Ajax请求后端API失败。
  • 浏览器控制台显示“跨域请求被拒绝”。

解决方案

  1. 修改后端代码 - 添加CORS过滤器或配置Spring Security支持CORS。
  2. 调整前端代码 - 确保前端正确发送带有必要头部信息的请求。

代码实现

  • 后端配置

    @Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
                .maxAge(3600);
    }
}

  • 前端调用

    fetch('https://api.example.com/products', {
    method: 'GET',
    headers: {
        'Content-Type': 'application/json'
    }
}).then(response => {
    // 处理响应
});

通过上述配置,前端可以顺利地向后端发送跨域请求,并获取到正确的响应。

扩展讨论

CORS与安全性

虽然CORS为我们解决了跨域访问的问题,但它也可能带来一些安全风险。例如,如果配置不当,恶意用户可能会利用CORS漏洞发起攻击。因此,在实际应用中,建议限制允许的源地址和方法,并且谨慎设置其他CORS相关选项。

其他跨域解决方案

除了CORS之外,还有其他几种解决跨域问题的方法,比如JSONP(JSON with Padding)。但是由于JSONP存在安全性和灵活性上的限制,现在大多数情况下推荐使用CORS。

小鹿( ﹡ˆoˆ﹡ )
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发中解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用中由于同源策略...
test-cors:跨域资源共享CORS
06-11
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头来告诉浏览器允许一个域上的网页访问另一个域上的资源。这在Web应用中尤其重要,因为JavaScript通常受到同源策略的限制,不能从...
跨域资源共享 CORS 详解
09-02
跨域资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
cors:koa 的跨域资源共享CORS
07-24
@koa/cors koa 的安装$ npm install @koa/cors --save快速开始使用默认选项启用 cors: origin: 请求源头允许方法:GET、HEAD、PUT、POST、DELETE、PATCH const Koa = require ( 'koa' ) ;const cors = require ( '@...
cors:PSR-15中间件实现跨域资源共享CORS
02-17
使用实现跨源资源共享CORS)。 要求 PHP> = 7.2 安装 该软件包可以通过Composer作为安装和自动加载。 composer require middlewares/cors 例子 use Neomerx \ Cors \ Strategies \ Settings ; use Neomerx \ ...
【链表在Java中DeBug】
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
08-19 272
时,你实际上是在告诉当前节点 cur:“你的下一个节点应该是这个新创建的节点。,你将 cur 的引用更新为新创建的节点,这样 cur 现在就指向了你刚刚添加到链表末尾的节点。实际上,head 是一个固定的引用,它始终指向链表的第一个节点(即头节点)。当你看到链表似乎“增长”了,这实际上是因为你通过操作 cur(当前节点的引用)在链表的末尾添加了新的节点。所以,当你看到链表“增长”时,你实际上是在通过更新节点之间的链接(即 next 指针)来扩展链表结构。它只是保持了对链表起始节点的引用。
【Spring框架】
m0_71941456的博客
08-18 1023
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 541
【代码】springboot网上商品订单转手系统bootpf
指针详解(四)
Limerence_Aries的博客
08-18 1018
目录1. 字符指针变量2. 数组指针变量3. 数组指针变初始化4. 二维数组传参的本质5. 函数指针变量1)函数指针变量的创建2)函数指针变量的使用3)代码解析6. typedef关键字7. 函数指针数组8. 转移表 代码const char* pstr = "hello bit."; 不是把字符串 hello bit 放到字符指针 pstr 里,而是把字符串hello bit.的首字符的地址放到了pstr中我们通过一道例题加深理解 所以数组指针变量:存放的应该是数组的地址,能够指向数组的指针变
笔记redis
风止的博客
08-22 572
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
如何使用 Java 记录简化 Spring Data 中的数据实体
08-20 523
Java 开发人员一直依赖Spring Data来实现高效的数据访问。但是,随着Java Records的引入,数据实体的管理方式发生了重大变化。在本文中,我们将讨论 Java Records 在 Spring Data 应用程序中的集成。我们将探讨使用 Java 记录创建健壮的数据实体的好处,并提供真实世界的示例来展示它们在 Spring Data 中的潜力。Java 记录的力量:概述J...
Java学习_18_Stream流
最新发布
qq_41136689的博客
08-23 674
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV17F411T7Ao流的出现让数据处理从几十行代码缩减到一两行就能实现,简化了很多集合数组的操作。
微服务框架
Founder_Xiao_Xin的博客
08-20 756
在分布式系统中,服务可能失败导致雪崩,Hystrix 是防雪崩利器,具有服务降级、服务熔断、服务隔离、监控等防止雪崩的技术。服务降级:接口调用失败调用本地方法返回空。服务熔断:接口调用失败进入熔断方法返回错误信息。服务隔离:隔离服务之间相互影响。服务监控:记录服务调用的运行指标。在分布式系统中,一个业务因跨越不同数据库或不同微服务而包含多个子事务,要求所有子事务同时成功或失败,这就是分布式事务。例如某电商系统下单操作,需请求订单服务、账户服务、库存服务。
SpringBoot如何做自动配置
Z_DOUBLE_Y的博客
08-18 821
Spring Boot通过注解开启自动配置,对autoconfigured的jar包下的META-INF下的spring包中下的spring.factories文件进行扫描,这个文件中包含了可以进行自动配置的类,当满足@Condition注解指定的条件时,便在依赖的支持下进行实例化,注册到Spring容器中。用注解来对一些常规的配置做默认配置,简化了各种xml配置内容,使项目能够快速运行。
Maven(源码+lw+部署文档+讲解等)
lpw1012的博客
08-22 506
🌞博主介绍:✌全网粉丝15W+,CSDN特邀作者、211毕业、高级全栈开发程序员、大厂多年工作经验、码云/掘金/华为云/阿里云/InfoQ/StackOverflow/github等平台优质作者、专注于Java、小程序技术领域和毕业项目实战,以及程序定制化开发、全栈讲解、就业辅导✌🌞👇🏻精彩专栏 推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅Java精品实战案例《500套》
字符串金额转换,字符串手机号屏蔽,身份证信息查看,敏感词替换
qq_63126439的博客
08-18 352
很简短的一小段,这里面注意的是需要截取的返回值,如果直接输出,那么还是原本的数字,这个只是这个方法的使用。String substring(int beginIndex, int endIndex)截取。1.遍历获取到每一个数字,然后把大写放到数组里面,将数字当作索引,在数组里面查找大写。我们用逆推法可以写成零零零贰壹叁伍->贰壹叁伍->2135。2135 在发票上面该写成零佰零拾零万贰仟壹佰叁拾伍元。注意:包头不包尾,包左不包右 只有返回值才是截取的小串。注意:只有返回值才是替换之后的效果。
使用Java通过身份证号码匹配省市县名称的技术博客
weixin_41489908的博客
08-21 279
每日自动更新各类学习教程及工具下载合集​​在中国,身份证号码包含了持有人的出生地信息。通过解析身份证号码的前六位,我们可以获取对应的省、市、县(区)信息。在这篇博客中,我们将探讨如何使用Java代码来实现这一功能,并展示详细的代码示例和运行结果。
JavaSE-详细介绍
qq_68874993的博客
08-19 725
Java SE是Java技术的核心和基础
MyBatisX逆向工程
戏拈秃笔的博客
08-18 360
正向工程:先创建Java实体类,由框架负责根据实体类生成数据库表。Hibernate是支持正向工程的。 逆向工程:先创建数据库表,由框架负责根据数据库表,反向生成如下资源Java实体类 Mapper接口 Mapper配置文件 注意:在使用逆向工程生成代码文件的时候,最好额外创建一个项目,不要在原来的项目中使用,因为如果你在原项目中有相同名字的文件,那么就会被新生成的文件所覆盖,导致之前写的代码没了,有一定的风险。所以实际开发中,我们一般新建一个项目,然后将生成的文件复制到自己的所需的工程中。
CORS跨域资源共享CORS
05-12
CORS(Cross-Origin Resource Sharing)是一种用于解决跨域访问问题的机制。在Web开发中,由于浏览器的同源策略限制,网页只能请求同源(协议、域名、端口号均相同)服务器上的资源,不能直接访问其他域名下的资源CORS机制允许浏览器向跨域服务器发送XMLHttpRequest请求,从而实现跨域资源共享CORS机制的核心是在服务器端设置响应头部信息,告诉浏览器是否允许跨域访问。如果服务器端返回的响应头部信息中包含了Access-Control-Allow-Origin字段,浏览器就会允许跨域访问。同时,服务器端还可以设置其他的Access-Control-Allow-*字段,如Access-Control-Allow-Methods、Access-Control-Allow-Headers等,来控制跨域访问的细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小鹿( ﹡ˆoˆ﹡ )

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值