Spring 里多种 CORS 配置方式

VIP文章 已于 2022-02-16 18:11:40 修改
阅读量2.1k 收藏 5
点赞数 3
文章标签: spring java 前端
于 2022-02-14 18:40:16 首次发布
许久
本文链接:https://blog.csdn.net/qq_45246098/article/details/122926998
版权

参考:https://cloud.tencent.com/developer/article/1703212
https://cloud.tencent.com/developer/article/1513473

一、CORS 介绍

CORS全称是Cross-Origin Resource Sharing,直译过来就是跨域资源共享。

  • 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情况下、允许跨域请求正常发送,这样的机制就是CORS
  • 要理解域、资源和同源策略这三个概念
    :指的是一个站点,由protocal、host和port三部分组成,其中host可以是域名,也可以是ip;port如果没有指明,则是使用protocal的默认端口
    资源:是指一个URL对应的内容,可以是一张图片、一种字体、一段HTML代码、一份JSON数据等等任何形式的任何内容
    同源策略:指的是为了防止XSS,浏览器、客户端应该仅请求与当前页面来自同一个域的资源,请求其他域的资源需要通过验证。
  • 当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域

二、预检请求——OPTIONS

跨域请求流程:
1.访问另一个域的资源
2.有可能会发起一次预检请求(非简单请求,或超过了Max-Age)
3.发起实际请求

  • 在CORS中,定义了一种预检请求,即preflight request,当实际请求不是一个简单请求时,会发起一次预检请求。预检请求是针对实际请求的 URL 发起一次OPTIONS请求,并带上下面三个headers:
    Origin:值为当前页面所在的域,用于告诉服务器当前请求的域。如果没有这个header,服务器将不会进行CORS验证。
    Access-Control-Request-Method:值为实际请求将会使用的方法
    Access-Control-Request-Headers:值为实际请求将会使用的header集合
  • 如果服务器端CORS验证失败,则会返回客户端错误,即4xx的状态码。
  • 否则,将会请求成功,返回200的状态码,并带上下面这些headers:
    Access-Control-Allow-Origin:允许请求的域,多数情况下,就是预检请求中的Origin的值
    Access-Control-Allow-Credentials:一个布尔值,表示服务器是否允许使用cookies
    Access-Control-Expose-Headers:实际请求中可以出现在响应中的headers集合
    Access-Control-Max-Age:预检请求返回的规则可以被缓存的最长时间,超过这个时间,需要再次发起预检请求
    Access-Control-Allow-Methods:实际请求中可以使用到的方法集合
  • 浏览器会根据预检请求的响应,来决定是否发起实际请求。

三、CORS 配置的方式

Spring 提供了多种配置CORS的方式,有的方式针对单个 API,有的方式可以针对整个应用;有的方式在一些情况下是等效的,而在另一些情况下却又出现不同。
在仅仅引入Spring Web的情况下,实现3.2 3.4这两种方式它们的区别会在引入Spring Security之后会展现出来

  • 假设我们有一个 API:
    @RestController
class HelloController {
     
    @GetMapping("hello")
    fun hello(): String {
     
        return "Hello, CORS!"
    }
}

3.1 @CrossOrigin注解

用@CorssOrigin注解需要引入Spring Web的依赖,该注解可以作用于方法或者类,可以针对这个方法或类对应的一个或多个 API 配置CORS规则:

@RestController
class HelloController {
   
    @GetMapping("hello"
最低0.47元/天 解锁文章
许久'
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring4.3 实现跨域CORS的方法
08-28
下面小编就为大家分享一篇spring4.3 实现跨域CORS的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Spring MVC 与 CORS跨域的详细介绍
08-30
本文介绍了 CORS 的知识以及如何在 Spring MVC 中配置 CORS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring 那么多种 CORS配置方式,到底有什么区别
gw的博客
12-03 1262
作为一个后端开发,我们经常遇到的一个问题就是需要配置CORS,好让我们的前端能够访问到我们的 API,并且不让其他人访问。而在Spring中,我们见过很多种CORS配置,很多资料都只是告诉我们可以这样配置、可以那样配置,但是这些配置有什么区别? CORS 是什么 首先我们要明确,CORS是什么,以及规范是如何要求的。这只是梳理一下流程,具体的规范请看这CORS全称是...
spring 跨域 Cors 解决方案
weixin_52834606的博客
09-06 1274
spring 跨域解决 ! cors 详情
使用Spring CROS解决项目中的跨域问题详解
08-25
主要介绍了使用Spring CROS解决项目中的跨域问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
cors跨域配置
xqhys的博客
03-18 5393
转载:https://blog.csdn.net/q826qq1878/article/details/81230936 目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response配置上各种允许。就好了。 cors又分...
SpringCORS配置详解
weixin_44144211的博客
12-23 301
转载:SpringCORS配置详解
Spring Boot全局支持CORS(跨源请求)的配置方法
心有猛虎,细嗅蔷薇
08-17 1916
http://blog.csdn.net/zhangchao19890805/article/details/53893735 开发的时候,后端应用了 RESTful 风格的开发方式。同时使用了前后端完全分离的架构设计。这样的话就会碰到浏览器需要处理ajax请求跨源资源的问题。因为需要所有 Web API 都需要支持跨源资源共享(CORS),所以需要进行全局设置。  sprin
springCORS
xiejx618的专栏
01-19 3067
先来看一下CORS(Cross-Origin Resource Sharing)是什么东西:https://spring.io/understanding/CORS,这篇文章做了详细的介绍.看这篇文章之前再先了解一下same-origin policy术语.可参考:https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_po
spring MVC cors跨域实现源码解析
08-31
本文主要介绍了spring MVC cors跨域实现源码解析。具有很好的参考价值,下面跟着小编一起来看下吧
详解Spring MVC CORS 跨域
08-30
本篇文章主要介绍了详解Spring MVC CORS 跨域 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
如何解决跨域问题
Crecendow
04-09 675
为什么会有跨域问题 跨域问题源于javaScript的同源策略,它是针对ajax传递参数的时候进行的一种限制。 一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。 值得一提的是,如果是静态资源的话,是不受跨域问题影响的,你在淘宝页面中去引用一个京东上的图片,是不会产生跨域问题的,同时,你请求这些静态资源的时候,无一例外都是用...
CORS(跨域资源共享) 的配置
ye1992的专栏
02-04 7029
各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和 android 浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现跨根域发送请求,需要服务端配置 nginx增加类似如下配置: server {       location / {           if ($ request_me
Spring 设置跨源资源共享(CORS)
谈谈1974
03-27 1543
文章目录背景1. Spring 解决方式:设置 CORS2. CORS 的前世今生2.1 CSRF 跨站请求伪造漏洞2.2 浏览器同源策略的产生2.3 跨源资源共享 CORS 的实现2.3.1 简单请求2.3.2 预检请求 背景 新起的项目需要前后端对接,联调时前端在浏览器窗口请求后端接口出现异常,浏览器控制台报出以下信息。由于当前主流的前后端分离架构,前端项目和后端项目通常不在同一个站点,所以在浏览器上很容易出现这个问题 has been blocked by CORS policy: No 'Acc
2. nginx CORS配置
kaifei的博客
06-01 6454
nginx CORS 配置
腾讯云cors配置
wangjun5159的专栏
05-21 3811
先解释一下,cors(cross origin[ˈɔ:rɪdʒɪn] resource share),跨域资源共享,是跨域访问的一种方式。问题的由来mozilla pdf.js是一款优秀的pdf在线预览插件,它通过ajax请求获取文档,然后呈现。因为文档存储在腾讯云上,所以这就产生了跨域访问。 注意这有两个要素, - 这是一个ajax请求,如果是一个普通请求,虽然是跨域,但是浏览器不会限制。
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
最新发布
阿里巴巴云原生的博客
04-29 970
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
spring-security配置跨域
08-31
Spring Security中配置跨域有多种方法。一种常见的方法是使用@CrossOrigin注解或重写addCorsMappings方法来配置跨域,但是当项目中引入了Spring Security依赖后,这种配置方式可能会失效。 为了解决这个问题,可以使用Spring Security提供的更专业的跨域方案。首先,需要创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法。在configure方法中,可以通过调用HttpSecurity对象的cors方法来启用跨域配置。 在cors方法中,可以通过CorsConfigurationSource对象的configurationSource方法来配置具体的跨域设置。可以使用CorsConfiguration对象来设置允许的请求头、请求方法和请求来源。此外,还可以设置预检请求的缓存时间。最后,需要将CorsConfiguration对象注册到UrlBasedCorsConfigurationSource对象中。 下面是一个示例的配置类的代码: ```java @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .mvcMatchers("/hello1").permitAll() .anyRequest().authenticated() .and() .formLogin() .and() .cors() // 跨域配置 .configurationSource(configurationSource()); } CorsConfigurationSource configurationSource() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.setAllowedHeaders(Collections.singletonList("*")); corsConfiguration.setAllowedMethods(Collections.singletonList("*")); corsConfiguration.setAllowedOrigins(Collections.singletonList("*")); corsConfiguration.setMaxAge(3600L); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", corsConfiguration); return source; } } ``` 通过以上配置Spring Security会自动应用跨域配置,并且保持其他安全配置不受影响。这种方式可以确保跨域配置Spring Security过滤器之前生效,避免了跨域配置失效的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Spring Security(七) ——跨域配置](https://blog.csdn.net/tongkongyu/article/details/125982927)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值