Spring 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)

于 2024-07-19 14:37:16 发布
阅读量912 收藏 7
点赞数 12
文章标签: java spring xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45576664/article/details/140548872
版权

Spring CORS 跨域使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)

出于安全原因,浏览器禁止AJAX调用当前源之外的资源。

跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。

Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。

一、注解方式使用

1.方法上添加@CrossOrigin注解
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

使用此种方式只会对当前方法生效。

2.Controller上添加@CrossOrigin注解
@CrossOrigin
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

使用此种方式会对整个Controller生效。

3.@CrossOrigin的两个参数使用
  1. origins: 允许可访问的域列表
  2. maxAge:准备响应前的缓存持续的最大时间(以秒为单位)
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

这两个参数也可以分开单独使用,如下所示:

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}
4.注意事项

如果有正在使用Spring Security,需要在Spring Security中启用CORS,以允许它利用Spring MVC定义的配置。如下所示:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

二、CORS全局配置使用

除了细粒度的、基于注释的配置之外,我们还可以自定义一些全局CORS配置。类似于使用过滤器,但可以在Spring MVC中声明,并结合细粒度的@CrossOrigin配置。默认情况下,所有的origin和GET、HEAD和POST方法都可以使用。

1.Java配置类方式

使用非常简单,如下所示:

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果是使用的Spring Boot,建议只声明一个WebMvcConfigurer bean,如下所示:

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

除此之外,我们还可以自定义更多的其他属性,比如将CORS配置应用于特定的路径模式:

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

同样,此处我们要注意Spring Security使用的情况,具体实现参考注解使用中的实现。

2.XML配置文件方式

当然,我们也可以使用xml配置文件的方式来进行全局配置,如下所示:

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

同样也可以在xml中自定义CORS映射,如下所示:

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

三、原理解释

CORS请求(包括带有OPTIONS方法的飞行前请求)被自动分派给已注册的各种HandlerMappings。它们处理CORS预飞行请求,并通过CorsProcessor实现(默认为DefaultCorsProcessor)拦截CORS简单和实际请求,以便添加相关的CORS响应头(如Access-Control-Allow-Origin)。CorsConfiguration允许您指定应该如何处理CORS请求:allowed origins, headers, methods, etc等。

可以通过多种方式提供,如:

  • AbstractHandlerMapping#setCorsConfiguration()允许在路径模式(如/api/)上指定多个CorsConfiguration映射的Map
  • 子类可以通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法来提供他们自己的CorsConfiguration
  • 处理程序可以实现CorsConfigurationSource接口(就像ResourceHttpRequestHandler现在做的那样),以便为每个请求提供CorsConfiguration。

除此之外,还可以使用基于CORS的过滤器支持,作为上述其他方法的替代方案,Spring Framework还提供了CorsFilter。在这种情况下,不使用@CrossOrigin或WebMvcConfigurer# addcorsmapping (CorsRegistry),我们可以像下面这样在Spring Boot中声明过滤器:

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

以上内容参考自Spring官方文档:https://spring.io/blog/2015/06/08/cors-support-in-spring-framework

小狗Ei
关注
RESTful开发风格8:跨域问题二:Spring MVC实现“CORS跨域访问”的两种策略:使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置
小枯林的博客
11-18 1325
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
Spring 跨域配置请求详解
08-26
总结来说,Spring提供了解决跨域问题的强大工具,通过配置响应头、开启OPTIONS处理和使用`@CrossOrigin`注解,开发者可以灵活地处理跨域请求,确保前后端分离的应用能够顺利通信。在实际开发中,应根据项目安全性和...
Spring @CrossOrigin 注解原理实现
08-18
主要介绍了Spring @CrossOrigin 注解原理实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring CORS 跨域使用原理(@CrossOrigin注解Java配置方式xml方式)
qq_45576664的博客
04-04 4331
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
注解 @CrossOrigin
青苔小榭
08-17 4万+
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
SpringMVC系列-7 @CrossOrigin注解跨域问题
Sheng_Q的博客
11-25 5237
理解同源策略是理解跨域的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成跨站脚本攻击;不同源之间进行限制。 不同源之间形成跨域,包括:协议、域名、端口。http和https,localhost和127.0.0.1也会形成跨域(即使经过域名解析后相同)。 由于浏览器引擎实现了同源策略,即对跨域访问进行了限制,因此存在跨域问题。
SpringAOP源码解析:AOP对跨域请求(@CrossOrigin)的支持原理
AOP概述和原理 ## 1.1 什么是AOP AOP(Aspect-Oriented Programming),面向切面编程,是一种软件开发的方法论。它通过将业务逻辑划分为多个模块,每个模块独立处理某一方面的功能,称为切面。AOP可以在不改变...
java cxf webservice接口解决跨域问题
05-02
Java CXF Webservice接口在处理Web服务时,可能会遇到跨域问题,...同时,如果项目使用Spring框架,还可以利用`@CrossOrigin`注解进行局部或全局的跨域配置。部署时,确保所有依赖项都已包含,并正确配置了服务器环境。
使用Spring CROS解决项目中的跨域问题详解
08-25
除了使用@CrossOrigin注解之外,还可以使用Java Config或XML Config来配置CROS使用Java Config配置CROS,需要创建一个实现WebMvcConfigurerAdapter的配置,在其中配置CORS。 ```java @Configuration @...
spring 跨域注解
qq_35226176的博客
11-28 2531
@CrossOrigin
spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1545
Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
@CrossOrigin注解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
10-15 248
在Web应用程序中,如果JS代码试图从一个域名获取来自不同域名的资源,这将会触发浏览器的同源策略,从而导致浏览器阻止跨域请求。使用下面的注解可以允许浏览器绕过同源策略,从而允许跨域请求!该注解可以接解决跨域请求的问题@CrossOrigin。可以用在方法上或者上。
@CrossOrigin注解跨域访问
weixin_30235225的博客
01-21 841
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
getstring方法_分分钟学会微服务:从源码学习SpringBoot解决跨域方法
weixin_39880150的博客
11-26 147
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。但是,没有任何一款可以说没有缺点的框架或者没有BUG的软件,...
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 1万+
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
springboot post jsonp_Spring Boot 中三种跨域场景总结
weixin_39553757的博客
11-23 296
松哥周末抽空给 Spring Security 系列也录制了一套视频,目录如下:感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程跨域这个问题松哥之前写过文章,但是最近收到小伙伴们的一些问题,让我发现之前的总结不够全面,因此打算再写一篇文章,来和大家分享一下 Spring Boot 中的跨域问题。这次我把 Spring Boot 中的跨域问题分为了三个场景:普...
Spring 注解面面通 之 @CrossOrigin 注解应用详解
只为成功找方法 不为失败找借口
06-10 2653
默认情况下,只允许客户端访问:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。注意:CORS处理时,从Forwarded、X-Forwarded-Host、X-Forwarded-Port、X-Forwarded-Proto取请求源值。若为Cache-Control、Content-Language、Expires、Last-Modified、Pragma,则无需设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值