springboot跨域配置(cors)

最新推荐文章于 2024-06-26 22:31:24 发布
最新推荐文章于 2024-06-26 22:31:24 发布
阅读量7.6k 收藏 8
点赞数 2
分类专栏: springboot应用 文章标签: springboot cors 跨域配置 跨域原理实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/runbat/article/details/86679137
版权

这篇文章需要读者对nginx和springboot相关的知识有一定了解,起码入过门。

一、什么是跨域(cors)?

关于跨域的介绍网上有很多,我参考跨域资源共享 CORS 详解,阮老师写的很到位,我们来做个简单的总结

1、首先我们知道ajax只能同源使用限制,这是跨域问题产生的原因,我们前端在ajax中请求了跨域资源。

2、然后才有了cors,cors允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制

3、cors只和浏览器、服务端(我们的springboot项目)有关系,浏览器会自动判断是否跨域并在请求头加上相应的信息(这部分在我的落地代码里会在谈到,先不展开),因此cors的关键就是服务端的设置了。

二、web服务跨域基本实现

我们现在知道了跨域只需要关心服务端配置就可以了,使用springboot架构来做跨域配置非常简单,可参看 springboot文档

我截了一段代码, @RequestMapping(value = {"/whatever/cors"}) 这个接口可以允许来自http://local.sveqxiu.net域名的跨域请求。

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/whatever/cors").allowedOrigins("http://local.sveqxiu.net");
            }
        };
    }
}

前端代码如下:(前端代码基本没用到,如果你不想自己动手配置nginx验证的话)

<html>
<body>
	<style></style>
</body>
<!DOCTYPE html>
<html>
<head>
	<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script type="text/javascript">
$(function(){
		$.ajax({
			url:'http://localhost:8090/whatever/cors',
			success:function(data) {
				console.info(data);
			}
		});
});
</script>
</head>
<body>
<p>cors跨域设置。</p>
</body>
</html>

我使用的ubuntu系统,可使用curl来验证跨域, curl -H 可模拟指定Access-Control-Allow-Origin: http://local.sveqxiu.net,这时候因为在代码里配置了/whatever/cors接口允许来自http://local.sveqxiu.net的跨域请求。所以请求返回200

suibing@suibing-ThinkPad-T430:~/work/ws/muti-module$ curl -I -H "origin: http://local.sveqxiu.net"  "http://localhost:8090/whatever/cors"
HTTP/1.1 200 
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
Access-Control-Allow-Origin: http://local.sveqxiu.net
Content-Type: text/plain;charset=UTF-8
Content-Length: 13
Date: Mon, 28 Jan 2019 09:01:26 GMT

suibing@suibing-ThinkPad-T430:~/work/ws/muti-module$

我们修改MyConfiguration类的代码改变cors配置"http://local.sveqxiu.net" 为 "http://test.net" 再次测试,结果如下,返回403,这里403是跨域,如果在浏览器模拟的话 错误信息是 【js.html:1 Failed to load http://localhost:8090/whatever/cors: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://local.sveqxiu.net' is therefore not allowed access.】(为了简单所以使用了curl做测试,请耐心往下看,后面会使用nginx来模拟浏览器真实的情况)

suibing@suibing-ThinkPad-T430:~/work/ws/muti-module$ curl -I -H "origin: http://local.sveqxiu.net"  "http://localhost:8090/whatever/cors"
HTTP/1.1 403 
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
Content-Length: 20
Date: Mon, 28 Jan 2019 09:11:19 GMT

suibing@suibing-ThinkPad-T430:~/work/ws/muti-module$

正确和错误的情况我们都验证了,那如果我们不配置跨域会怎么样呢? 让我们来试试,把MyConfiguration类的@Configuration注解去掉,这便取消了cors配置,再来测试,结果如下,返回了200,但是和配置了cors的时候少返回了些头信息。这说明了如果服务端不做cors配置是可以接受来自任何域的请求并做成响应的。假如服务没有跨域限制会出现什么问题?项目的可接受来自任何人的访问,数据安全岌岌可危,有兴趣的可参看跨域资源共享(CORS)安全性浅析,回到正题,服务端不做跨域配置,虽然请求成功了但是浏览器可不同意呢?先看结论:如下图,请求返回200,浏览器报错,页面不会展示资源,但是在response里已经返回了数据了,这是非常不安全的。

要验证以上内容,需要配置nginx服务, nginx安装什么的自己去搞吧, 安装完之后准备一个文件发布html的配置文件(当然只要能把静态资源发布出去就可以了iis啥的都可以)

前端nginx配置文件如下:

server {
  listen 80;  #web项目监听80端口
  server_name local.sveqxiu.net;#需要配置hosts 127.0.0.1 local.sveqxiu.net
  location /h2 {
        root /home/suibing/Documents/; #放静态文件的url。
  }

}

----------------------------------------------------------------  分割线  ----------------------------------------------------------------------------------------

springboot配置cors以及验证结束了,但是如果没有spring架构,我们如何实现自己的cors呢?

根据原理,浏览器跨域请求分为简单请求和非简单请求,简单请求浏览器会给头信息加上Origin字段,非简单请求会发”预检“请求,头信息包括Origin、Access-Control-Request-Method和Access-Control-Request-Header,依据这些信息来辨别请求类型,然后根据不同类型做处理就可以了,如今springboot架构已经非常善了,为什么还要重复造轮子呢?就我而言,肯定是兴趣所在,springboot固然完善,但企业级的应用却非常复杂,比如公司一级域名下有成百上千个二级域名,而二级域名都允许跨域的话,每个开发团队都去配置一遍无疑是很多重复的工作量,另外,如果想动态配置跨域域名,原生的技术好像是无法实现呢

下面一个简单的demo ,只要把 cors方法里的内容封装到一个filter就可以实现全局的过滤配置了,我这里只处理了简单请求demo代码如下

@Controller
public class CORSController {

    private List<String> allowOrigin = new ArrayList<String>()
    {
        {
         add("http://local.sveqxiu.net");
         add("http://h2.veqxiu.net");
        }
    };
    @RequestMapping(value = {"/whatever/cors"})
    @ResponseBody
    public String cors(HttpServletRequest request, HttpServletResponse response) {
        String origin = request.getHeader("Origin");
        String method = request.getHeader("Access-Control-Request-Method");
        String header = request.getHeader("Access-Control-Request-Header");
        // 是简单跨域请求
        if (!StringUtils.isEmpty(origin) && StringUtils.isEmpty(method) && StringUtils.isEmpty(header)) {
            if (allowOrigin.contains(origin)) {
                response.addHeader("Access-Control-Allow-Origin", origin);
                response.addHeader("Access-Control-Allow-Credentials", "true");
            } else {
                return "denied origin" + origin;
            }
        }
        // 复杂跨域请求
        if (!StringUtils.isEmpty(origin) && !StringUtils.isEmpty(method) && !StringUtils.isEmpty(header)) {

        }
        return "whatever cors";
    }

}

我结合springboot开发了一款可外部化配置的cors框架,代码在github上 https://github.com/superbing09/cors , 有兴趣的朋友可以pull下来看下。

 

1990_super
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot跨域设置(CORS
m0_67391121的博客
08-02 502
请求url的协议、域名、端口三者有任意一个不同即为跨域跨域问题是因为浏览器的同源策略的限制而产生的。同源请求url的协议、域名、端口三者都相同即为同源(同一个域)。同源策略同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全功能。同源策略会阻止非同源(同一个域)的内容进行交互。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法接触非同源网页的DOM无法向非同源地址发送AJAX请求浏览器限制发起跨域请求;预检请求。...
Springboot配置CORS跨域问题
weixin_44329984的博客
08-18 965
通过Springboot配置CORS跨域问题处理。
SpringBoot 跨域配置
热门推荐
菜鸟记录
08-14 1万+
SpringBoot 跨域配置
springboot实现跨域的五种方式
weixin_48581386的博客
02-16 6725
springboot跨域的5种方法
Spring Boot如何实现跨域资源共享(CORS)?
最新发布
学Java,找哪吒
06-26 1054
使用@CrossOrigin注解:可以在控制器类或方法上添加@CrossOrigin注解来允许特定的跨域请求。这个注解支持指定允许的源、方法、头部等信息。通过配置文件:在application.properties或application.yml中添加全局的CORS配置,以允许所有域的跨域请求或者限制只允许特定的域名进行跨域请求。自定义CorsFilter:创建一个CorsFilter类,实现Filter接口,并在doFilter方法中添加CORS相关的响应头。
SpringBoot系列】实现跨域的几种方式
weixin_46061874的博客
06-07 4146
跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,或者涉及到两个不同域名的资源之间的交互。由于同源策略(Same Origin Policy)的限制,浏览器不允许跨域请求。同源策略规定,A网页设置的Cookie、LocalStorage和IndexDB无法被同源以外的网页读取。跨域请求会被浏览器拒绝。举个例子:- DOMAIN-A.com 和 DOMAIN-B.com 是两个不同的域名,它们之间的请求就是跨域请求。
spring-boot中corsConfigurer 不起作用问题分析
weixin_34199405的博客
02-23 1293
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security Config : HttpSecurity安全配置CorsConfigurer
Details Inside Spring
06-08 2861
概述 介绍 作为一个配置HttpSecurity的SecurityConfigurer,CorsConfigurer的配置任务如下 : 配置如下安全过滤器Filter CorsFilter 如果CorsConfigurer上设置了属性configurationSource,则基于它创建一个CorsFilter并使用; 否则如果名称为corsFilter的bean存在,则使用该CorsFilt...
Springboot跨域CORS处理实现原理
08-19
Springboot 跨域 CORS 处理实现原理 本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源...
springboot跨域CORS处理代码解析
08-25
在上面的代码中,我们使用了 CorsRegistry 来配置 CORS 规则。我们允许来自 http://localhost:8082 的请求,允许 GET、POST、DELETE、PUT 和 PATCH 方法,并且设置了最大缓存时间为 1 小时。 现在,如果我们再次...
SpringBoot跨域Jsonp和Cors的方法
10-16
SpringBoot中,实现CORS配置有两种方式: 1. **全局定义**:通过实现`WebMvcConfigurer`接口,我们可以为所有路由定义统一的CORS策略。以下是一个示例: ```java @Configuration public class CorsConfig ...
Springboot处理CORS跨域请求的三种方法
08-19
在Spring Boot应用中,处理CORS跨域资源共享)请求是一项常见的需求,因为现代Web应用程序经常需要在不同的源之间交换数据。以下将详细介绍Spring Boot处理CORS跨域请求的三种方法。 1. **使用`@CrossOrigin`注解...
Springboot CORS跨域设置.md
03-25
Springboot CORS跨域设置
解决 springboot跨域请求问题
05-11
SpringBoot应用可以通过配置CORS来允许特定或所有来源的跨域请求。在SpringBoot应用中,你可以创建一个配置类,比如`CorsConfig`,并添加一个`CorsFilter`。在`buildConfig`方法中,设置`CorsConfiguration`对象,...
SpringBoot 跨域问题的解决方案
08-25
SpringBoot 可以基于 Cors 解决跨域问题,Cors 是一种机制,告诉我们的后台,哪边(origin)来的请求可以访问服务器的数据。全局配置配置实例如下: ```java @Configuration public class CorsConfig implements ...
springboot配置允许跨域访问代码实例
08-25
SpringBoot配置允许跨域访问代码实例 SpringBoot框架通常用于前后端分离项目,因此需要配置后台允许跨域访问,以便前端页面可以正常访问后台接口。下面将详细介绍如何配置SpringBoot允许跨域访问。 跨域访问的...
SpringBoot 实现跨域的六种方式
流沙QuickSand
07-31 4140
【代码】SpringBoot 实现跨域的六种方式。
Spring Boot 中实现跨域的 5 种方式
qq_45469347的博客
11-24 2511
Spring Boot 中实现跨域的 5 种方式
springboot跨域cors
10-12
在Spring Boot中实现跨域请求(CORS),可以通过以下步骤进行设置: 1. 在Spring Boot的配置类中添加`@Configuration`注解,确保该类会被Spring Boot自动加载。 2. 在配置类中添加一个`@Bean`方法,用于创建一个`WebMvcConfigurer`对象,并重写`addCorsMappings`方法,设置跨域配置。 下面是一个示例代码: ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); } }; } } ``` 在上面的示例中,我们设置了允许所有来源(`allowedOrigins("*")`),允许的请求方法(`allowedMethods("GET", "POST", "PUT", "DELETE")`),允许所有请求头(`allowedHeaders("*")`),允许发送认证信息(`allowCredentials(true)`),并设置了预检请求的缓存时间(`maxAge(3600)`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值